App Service Certificate というのが増えてました。Azure 上でApp Service用のSSL証明書をGoDaddyから簡単に購入して利用することができます。

• How to buy a certificate for an Azure Web App
• Buy and Configure an SSL Certificate for your Azure App Service
• 価格ページにはちょろっと追記されています。
  

わかりにくいですが、S1だとネイキッドドメインとwww. に対応した証明書のみ、W1でワイルドカード証明書が発行されます。
（後述）
ドメインの確認が必要とはいえAzure上で証明書の購入プロセスが完了して、Azure Key Vaultで安全に保管しながら利用できるのは便利ですね。

作り方

Marketplace から App Service Certificate で検索するか、メニューのApp Service Certificate のブレードを開いて追加しましょう。

このブレード、説明が微妙な気がする（けど気にしない

作成ボタンをクリックすると作成用のブレードが表示されるので項目に入力していきます。

Nameはわかりやすい名前を、Naked Domain Host Nameはそのままホスト部分を含まないネイキッドなドメイン名を入力します。
あとプランは今のところS1とW1が選べます。

W1だとワイルドカードな証明書になるみたいですね。。いいお値段。どちらも1年間の金額で自動Renew付です。
あとLegal Termsですが、この証明書の費用はAzureのクレジットには含まれず別請求ぽいので注意が必要そうです。

問題なかったらOKしましょう。
最後に作成すればApp Service Certificateが作成されます。（※今時点だとリソースグループを一緒に新規作成しようとするとエラーになるっぽいので先にリソースグループ作っておきましょう）

しばらくすると出来上がります。

証明書の保管にはKey Vaultを使ってるので、もしない場合は「Key Vault Store Required」をクリックします。

Step 1をクリックしてKey Vaultのセットアップを行います。

Key Vaultストアを作成して選択したら、上部のStoreボタンをクリックして保存します。問題なければチェックがついて完了状態になるのでStep 2へ。

最初に（Naked Domain Host Nameで）設定したドメイン名を保持してるか検証する必要があります。
このときすでにカスタムドメイン名が設定されたApp ServiceがあればVerifyをクリックするだけなので簡単（要メールで検証）です。

メールの場合はよくある（ドメイン管理者の）メアドに検証用リンクなどが送信されます。
※App Serviceを選択してVerifyした場合もメールでドメインアクセスの検証があるので同様にします。

GoDaddyからのメールに従い検証します。

検証が終わってしばらくすると、Azure上でもOKになります。

マニュアルの検証は超面倒くさそう…（検証用トークンのファイル名の.htmlを対象ドメイン上に置いとけ等）

という感じでドメインの検証まで終わればOKです。

後はApp Service（Web Apps）側のカスタムドメインおよびSSL設定でImport Certificateを選べば一覧に表示されているので選ぶだけです。

インポートされたらバインドして終わりです。

証明書について

こういう感じで発行されます。

特に問題なくアクセスできますね。

キーの再生成と同期

Rekey and syncから簡単に再生成と同期が行えます。

もし漏れた場合や新しくしたい場合に使えます。こちらも手間が無くて便利！

おまけ

ちゃんとKey Vaultで管理されてるのが分かります。

ただキーの列挙などは許可されていないので注意。

所感

簡単に証明書の購入と設定ができて便利ですね。
ただ管理が完全にAzure上になるので例えば同じ証明書を使いまわして別のところにも立てたいといった要望だと無理かなと思います。（Exportできれば理屈的にはいけそうですけど、Key Vaultから取り出せなさそうなので）
またS1だとネイキッドドメインとwwwしか対応してない（というか自動的にそうなる）ので、そのあたりも注意が必要です。
今後に期待したいところですね。