目的
Application Gateway では Key Vault に保存されたシークレットを利用することができます。
https://learn.microsoft.com/ja-jp/azure/application-gateway/key-vault-certs#supported-certificates
Key Vault 証明書を使用するように Application Gateway を構成すると、そのインスタンスによって Key Vault から証明書が取得され、TLS 終端のためにその証明書がローカルにインストールされます。 インスタンスによって 4 時間ごとに Key Vault がポーリングされ、証明書の更新バージョン (存在する場合) が取得されます。 更新された証明書が検出されると、HTTPS リスナーに現在関連付けられている TLS または SSL 証明書が自動的にローテーションされます。
Application Gateway で App Service 証明書を Key Vault を使えば 「App service 証明書をエクスポートしてパスワードを設定し、他の Azure サービスにインポートする方法 - Japan PaaS Support Team Blog」 に書いてあるやたらとめんどくさい手順を実行しなくて済みそう。
問題
だがしかし、ポータルからの操作だと出て来ないのではまった。
回避策
先のリンクのドキュメントをよく読むと書いてありました。
Azure portal では、シークレットではなく Key Vault 証明書のみがサポートされます。 Application Gateway は引き続き Key Vault からのシークレットの参照をサポートしますが、PowerShell、Azure CLI、API、Azure Resource Manager テンプレート (ARM テンプレート) など、ポータル リソース以外を使用している場合のみに限られます。
ということで CLI を使うと無事インポートできました。
az network application-gateway ssl-cert create \
-g $resourcegroup \
--gateway-name $gatewayname \
--name $certName \
--key-vault-secret-id $keyVaultSecretIdWithoutVersion
App Service 証明書を自動更新にしておけば証明書更新を気にしなくて良い1構成ができそうです。