Importación y Exportación de Certificados SSL en Azure App Service y Entornos Relacionados

By /

Los certificados digitales, anteriormente conocidos como certificados SSL (Secure Sockets Layer) y ahora denominados certificados de seguridad de la capa de transporte (TLS), son fundamentales para proteger las conexiones a Internet y garantizar la seguridad de las aplicaciones web. Azure App Service ofrece diversas funcionalidades para la gestión de estos certificados, ya sea a través de certificados administrados por Azure o mediante la importación de certificados propios. Este artículo detalla los procesos de importación y exportación de certificados, abarcando tanto los certificados administrados por Azure como los que usted proporciona, y explorando su aplicación en diferentes escenarios dentro del ecosistema de Azure y sistemas relacionados.

Certificados Administrados por App Service: Seguridad Simplificada

Azure App Service proporciona una solución robusta y escalable para el alojamiento web, incluyendo la gestión de certificados TLS/SSL. El certificado administrado gratuito de App Service es una solución "llave en mano" diseñada para proteger su nombre de dominio personalizado (DNS) sin requerir intervención manual. Este certificado de servidor TLS/SSL es gestionado completamente por App Service y se renueva automáticamente, siempre que los requisitos previos configurados permanezcan inalterados. Las vinculaciones asociadas se actualizan automáticamente con el certificado renovado.

Los certificados gratuitos son emitidos por DigiCert. Es importante comprender que Azure administra completamente estos certificados, lo que significa que cualquier aspecto del certificado, incluido el emisor raíz, puede cambiar en cualquier momento. Las renovaciones de certificados implican cambios en los elementos clave públicos y privados, los cuales están fuera de su control. Por lo tanto, se recomienda encarecidamente evitar dependencias "hard-coded" y el anclaje de certificados a un certificado administrado específico o a cualquier parte de su jerarquía.

Para utilizar un certificado administrado gratuito, su plan de App Service debe ser de nivel Básico, Estándar, Premium o Aislado. Debe asignar el dominio donde desea colocar el certificado en App Service. Para un dominio raíz (como contoso.com), asegúrese de que la aplicación no tenga restricciones de IP configuradas.

El proceso para obtener y vincular un certificado gratuito es el siguiente: En el panel izquierdo de la aplicación, seleccione "Certificados". Seleccione el dominio personalizado para el certificado gratuito y luego seleccione "Validar". Una vez completada la validación, seleccione "Agregar". Para proporcionar seguridad para un dominio personalizado con este certificado, debe crear un enlace de certificado.

Diagrama del proceso de validación y adición de un certificado administrado gratuito en Azure App Service

Importación de Certificados Privados a Azure App Service

Si ya dispone de un certificado privado de un proveedor que no es Microsoft, puede cargarlo en Azure App Service. Los certificados criptográficos de curva elíptica (ECC) funcionan con App Service cuando se cargan como PFX, pero actualmente no se pueden importar desde Key Vault.

Para importar un certificado privado, el plan de App Service de su aplicación debe ser de nivel Básico, Estándar, Premium o Aislado. Debe asignar el dominio donde desea colocar el certificado en App Service.

Al agregar un certificado privado a una aplicación, este se almacena en una unidad de implementación enlazada al grupo de recursos, la región y el sistema operativo (SO) del plan de App Service. Internamente, esto se denomina espacio web. De esta manera, el certificado es accesible para otras aplicaciones dentro del mismo grupo de recursos, región y combinación de sistema operativo.

Para importar un certificado PKCS12 (archivo .pfx) a su aplicación de App Service, navegue a la sección "Certificados" en el panel de su aplicación. En "Traer sus propios certificados (.pfx)", seleccione el botón "…". Seleccione el archivo .pfx que desea importar. Se le solicitará que introduzca una contraseña para su clave privada. Una vez completada la operación, el certificado aparecerá en la lista "Traer sus propios certificados (.pfx)".

Para proporcionar seguridad para un dominio personalizado con este certificado, debe crear un enlace de certificado. Esto se hace navegando a la página "Dominios personalizados" de la aplicación, seleccionando el botón "…" asociado al dominio y eligiendo la opción para agregar un enlace de certificado.

Uso de Azure Key Vault para la Gestión de Certificados

Azure Key Vault es un servicio que permite almacenar y acceder a secretos, como certificados criptográficos. Para utilizar un almacén de claves para una implementación de certificados en App Service, debe autorizar el acceso de lectura al almacén de claves para el proveedor de recursos de App Service.

Por defecto, el proveedor de recursos de App Service no tiene acceso al almacén de claves de un usuario. Debe otorgar explícitamente este acceso. Si concede el rol de "Usuario de certificados de Key Vault" utilizando infraestructura como código (por ejemplo, plantillas de ARM o Bicep), normalmente debe usar el identificador de objeto de la aplicación de empresa (entidad de servicio) correspondiente en su inquilino de Microsoft Entra.

Cuando un certificado se renueva en Key Vault, App Service sincronizará automáticamente el nuevo certificado y actualizará cualquier enlace de certificado aplicable en un plazo de 24 horas.

How to Create and Auto Renew SSL Certificates in Azure Key Vault? #microsoftazure #azure

Exportación de Certificados TLS/SSL

La exportación de certificados es un proceso crucial para la copia de seguridad, la migración o el uso de certificados en otros servicios.

Exportación desde Windows:Los programas que utilizan certificados S/MIME en Windows suelen usar un almacenamiento de certificados del sistema. Los programas de Mozilla, por otro lado, utilizan su propio almacenamiento individual. Los certificados guardados en un almacenamiento específico solo son visibles para las aplicaciones que los utilizan.

Para exportar un certificado desde el almacenamiento de Windows:

  1. Active la consola MMC (Microsoft Management Console) a través de "Inicio" -> "Ejecutar" -> "MMC" o "certmgr".
  2. Navegue a la carpeta "Personal". Aquí encontrará los certificados personales destinados para S/MIME, firma electrónica o autenticación.
  3. Haga clic derecho en el certificado que desea exportar y seleccione la opción "Exportar".
  4. Es fundamental elegir la opción de exportar la clave privada (sin borrarla) al principio de la guía.
  5. En uno de los últimos pasos, se le pedirá que especifique una contraseña para guardar el certificado en formato PFX.

La consola de administración de DigiCert también ofrece herramientas para exportar certificados. Antes de comenzar cualquier instalación o exportación, se recomienda hacer una copia de seguridad del certificado y guardarlo en un lugar seguro.

Exportación a formato PFX (PKCS#12):Para exportar un certificado a un archivo .pfx, se puede utilizar OpenSSL. Ejecute el siguiente comando (teniendo en cuenta que OpenSSL v3 cambió el cifrado predeterminado de 3DES a AES256):

openssl pkcs12 -export -out mydomain.pfx -inkey privateKey.key -in certificate.crt -certfile chain.pem

Cuando se le solicite, especifique una contraseña para la operación de exportación. El archivo mydomain.pfx contendrá el certificado y la clave privada.

Consideraciones Adicionales para la Importación y Exportación

  • Certificados Públicos: Después de cargar un certificado público en una aplicación de App Service, solo es accesible para esa aplicación específica. Los certificados públicos deben cargarse en cada aplicación web individual que requiera acceso.
  • Actualización de Enlaces de Certificado: Antes de que un certificado expire, asegúrese de agregar el certificado renovado a App Service. Actualice los enlaces de certificado según sea necesario. Para un certificado cargado, no hay una actualización automática de enlaces. Reemplazar un certificado que va a expirar y actualizar su enlace puede afectar negativamente la experiencia del usuario, por ejemplo, la dirección IP de entrada podría cambiar.
  • Certificados de CA Privada: Se puede usar un certificado de entidad de certificación (CA) privada para TLS entrante en App Service Environment v3. Esta funcionalidad no está disponible en App Service (multiinquilino) y solo se admite para aplicaciones de contenedor de Windows en el servicio de aplicaciones multiinquilino.
  • Compatibilidad con Otros Servicios: Es posible exportar y usar certificados de App Service con Azure Application Gateway u otros servicios.
  • SAP y Certificados: Para importar certificados SSL en un sistema SAP, se utiliza la transacción STRUST. Se debe hacer que el archivo PFX esté disponible para SAPGUI. Guarde el certificado en el mismo directorio que el archivo PFX e impórtelo desde el cuadro de diálogo.

Cambios Futuros en Certificados Administrados

A partir del 28 de julio de 2025, los cambios en los certificados administrados de App Service (ASMC) afectarán la forma en que se emiten y renuevan los certificados en determinados escenarios. Es crucial mantenerse informado sobre estas actualizaciones para asegurar una gestión continua y sin interrupciones de sus certificados.

Importación de Certificados en Diversos Entornos

El proceso de importación de certificados no se limita a Azure App Service. Existen guías específicas para la instalación de certificados en otros sistemas:

  • Cisco ASA 5500 VPN/Firewall: Se proporcionan instrucciones paso a paso para la instalación de certificados en este tipo de dispositivos.
  • Microsoft Exchange 2003: Similarmente, existen guías detalladas para la instalación de certificados en esta versión de Exchange.
  • WebLogic BEA: Se ofrecen pasos para realizar copias de seguridad de certificados en el entorno WebLogic BEA.

Estos ejemplos subrayan la importancia de seguir procedimientos específicos para cada plataforma al manejar certificados, asegurando la compatibilidad y la correcta implementación de la seguridad.

Flujo de Trabajo de Importación y Exportación

El flujo general para la importación y exportación de certificados implica varios pasos clave:

  1. Generación o Adquisición del Certificado: Ya sea a través de un certificado administrado por el proveedor, un certificado de CA pública o privada, o una solicitud de firma de certificado (CSR) generada por usted mismo.
  2. Exportación del Certificado (si es necesario): Si el certificado se genera en un sistema y se necesita en otro, se exportará, a menudo en formato PFX/PKCS#12 si incluye la clave privada.
  3. Importación del Certificado: Cargar el certificado en el servicio o dispositivo de destino (App Service, Key Vault, servidor web, firewall, etc.).
  4. Creación de Enlaces o Vinculaciones: Asociar el certificado importado con el dominio o servicio que debe ser protegido.
  5. Renovación y Reemplazo: Gestionar el ciclo de vida del certificado, asegurando que se renueve antes de expirar y que los enlaces se actualicen adecuadamente.

Cada uno de estos pasos requiere atención a los detalles técnicos y a los requisitos específicos de la plataforma para garantizar una seguridad SSL/TLS efectiva.

tags: #ssl #importacion #exportacion

Publicaciones populares:

  • Configurar una VPN en PS4 y PS5
  • Proteja su privacidad con Avast SecureLine VPN
  • Pérdida de Red en Galaxy Ace
  • Protege tu Privacidad con Bitdefender VPN
  • Comunicación en zonas remotas