LoginSignup
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@bluesea_nishi(Shuji Nishimura)inNTT DATA P&S TSG Cloud Community

【Azure】App Service 証明書の購入で注意すべき点

Last updated at Posted at 2025-01-23

0. はじめに

本記事ではApp Service 証明書の購入時の注意点をご紹介します。

Azure環境でFront DoorやApplication Gatewayなどでカスタムドメインを利用する場合、自身で証明書を用意する必要があります。

信頼性の高いサーバ証明書が必要など、特別な要件がある場合を除き、App Service 証明書を購入するのがよいかと思います。理由は以下です。
・比較的、簡単な操作で証明書を購入できる
・証明書発行のリードタイムがほとんどかからない
・Azureを利用している場合は、リソースをAzureに集約できる
・他のAzureサービスと連携する場合、親和性が高い。纏めてMS社のサポートを受けることができるなど

App Service証明書をエクスポートして、利用可能ではありますが、証明書の適用先のサービスや製品の仕様などにより、利用不可の場合もあります。事前に製品サポートへ問い合わせるなど、適用先が利用可能かご確認頂くことをお勧めします。

本記事では、App Service 証明書の購入からエクスポートまでの手続きの中で、実際につまづいた点を踏まえて、注意点をご紹介します。なお、詳細な手順について、以下の公式ドキュメントや他の方のブログで解説されてますので、割愛します。

こんな方にオススメ
・App Service 証明書の購入を考えている
・App Service 証明書の購入の注意点を把握し、手戻りを防ぎたい
・サブドメインの委任をしている
・ワイルドカード証明書の利用を考えている

1. 前提

本記事の前提は以下の通りです。
・ドメインについて、サブドメイン(sub1.example.com、sub2.example.com)とルートドメイン(example.com)を管理するDNSが別々の、Azureのサブスクリプションで構成されている
・サブドメインの委任を行っている
・複数のサブドメインに対応可能なようにワイルドカード証明書を利用する

2. App Service 証明書の購入の流れ

App Service 証明書(以下、証明書)購入の大まかな流れは以下の通りです。

①事前準備 (3-1. 事前準備)
②証明書を購入する (3-2. 証明書を購入する)
③証明書を Azure Key Vault に格納する (3-3. 証明書を Azure Key Vault に格納する)
④ドメインの所有権を確認する (3-4. ドメインの所有権を確認する)

上記完了後、証明書が利用可能となります。
詳細は以下のドキュメントを参照下さい。

3. 各プロセスの留意事項

3-1. 事前準備

証明書格納用のKey Vaultのコンテナを事前に用意する必要があります。

Key Vaultのコンテナの権限について、アクセスポリシーでKey Vaultに対する操作権限をサービスプリンシパル(Azure.CertificateRegistration)へ付与する必要があります。

既存のKey Vaultを利用する場合で、RBACによりアクセス権限を制御している場合は注意が必要です。App Service 証明書はRBACに対応していません。その為、必要に応じて、新規にKey Vaultを作成し、アクセスポリシーによるアクセス制限を構成する必要があります。

a.png

3-2. 証明書を購入する

ワイルドカード証明書を購入する場合、購入時に以下を指定する必要があります。
 SKU:ワイルドカード
 ネイキッドドメインのホスト名:*.example.com
 (sub1.example.com、sub2.example.comに対応)

SKUでワイルドカードを指定し忘れないようにご注意下さい。

3-3. 証明書を Azure Key Vault に格納する

Key Vaultの格納でエラーが発生した場合は、事前準備で記載している、Key Vaultのアクセスポリシーの権限を見直すとよいです。

3-4. ドメインの所有権を確認する

TXTレコードの登録について、AzureのDNSでサブドメインを委任している場合、サブドメインではなく、ルートドメインのDNSへTXTレコードを登録する必要があります。

名前に @ を使用し、DNS レコードの値にドメイン検証トークンを使用して、ルート ドメインレベルでTXTレコードを追加する必要があります。

ドメインの検証が上手く行かない場合は、上記の登録箇所や内容がきちんと登録されているか確認するとよいです。

4. まとめ

本記事ではApp Service 証明書の購入時の注意点をご紹介しました。
実際につまづいた部分を中心にご紹介しているので、上記を気をつけるだけで、手戻りやトラブルシューティングの時間を抑えることができるかと思います。本記事が皆様のお役に立てれば幸いです。

過去のブログで、アプリケーション観点のサーバレス構成におけるアーキテクチャ検討やAzureのサービスプランの選定方法を紹介してます。興味のある方は、目を通して頂けるとありがたいです。 

留意事項
・2025年1月時点の情報となります。Azureサービスの仕様等、変更になる可能性がございますので、最新の情報をご確認ください。
・個人の見解であり、会社と一切関係がありません。

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?