こんにちは、サイオステクノロジー武井です。2021年3月2日〜3月4日で実施されているマイクロソフトの技術カンファレンス「Ignite」で発表されましたApp ServiceのManaged CertificateのAPEXドメイン対応を試してみたいと思います。

APEXドメインとは？

WWWなどが先頭につかないドメインのことです。たとえは弊社のWebサイトはhttps://sios.jpでアクセスが可能です。短くてかっちょいいですね。

Managed Certificateとは？

通常HTTPSで通信する際の証明書は、ベリサイン等のサードパーティの証明書機関から証明書を購入するというのが通常ですが、App Serviceには無料でこの証明書を利用できるサービスがあります。これをManaged Certificateというのですが、これ、大きな制限がありまして、このManaged Certificateは外に持ち出すことができません。つまりApp Service専用というわけです。

やってみよう！！

ということでいつもどおりやってみたいと思います。と言ってもにApp ServiceにManaged Certificateを追加するのとあんまり変わりありません。App Serviceのリソースにアクセスして、「TLS/SSLの設定」→「秘密キー証明書(.pfx)」→「App Serviceマネージド証明書の作成」の順にクリックします。

APEXドメインであるカスタムドメイン(設定済みの前提です)を選択すると以下のような警告が出ますので、ご指定のとおりのAレコードを作成します。

しばらくしてもう一度アクセスすると以下のように表示されるはずです。「作成」をクリックします。

「TLS/SSLバインディングの追加」をクリックします。

APEXドメインおよび先程設定したManged Certificateを選択して「バインディングの追加」をするだけで完成です。

証明書の情報を見てみますと、きちんとAPEXドメイン(noriyukitakei.jp)で設定されていることがわかります。

$ openssl s_client -connect noriyukitakei.jp:443 -showcerts | openssl x509 -noout -text
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
verify return:1
depth=0 CN = noriyukitakei.jp
verify return:1
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0f:27:f1:bc:4d:6f:b5:47:b0:2b:05:bf:68:ed:da:30
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = DigiCert Inc, CN = GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
        Validity
            Not Before: Mar 21 00:00:00 2021 GMT
            Not After : Sep 20 23:59:59 2021 GMT
        Subject: CN = noriyukitakei.jp
        Subject Public Key Info:
... omit ...