Compartilhar via

Importar certificados do Azure Key Vault para Aplicativos de Contêiner do Azure

Você pode usar o Azure Key Vault para gerenciar centralmente os certificados TLS (Transport Layer Security) e Secure Sockets Layer (SSL) para seu aplicativo de contêiner. O Key Vault pode lidar com atualizações de certificado, renovações e monitoramento.

Este artigo mostra como importar um certificado do Key Vault para um ambiente de Aplicativos de Contêiner do Azure.

Pré-requisitos

  • Um recurso do Key Vault
  • Um certificado armazenado no cofre de chaves

Para obter etapas para criar um cofre de chaves e adicionar um certificado, consulte Importar um certificado no Azure Key Vault ou configurar a autorotação de certificado no Key Vault.

Exceções

Os Aplicativos de Contêiner dão suporte à maioria dos tipos de certificado. Mas há algumas exceções para ter em mente:

  • Não há suporte para certificados ECDSA (Algoritmo de Assinatura Digital de Curva Elíptica) p384 e p521.
  • Se você quiser usar um certificado do Serviço de Aplicativo do Azure, precisará usar a CLI do Azure para importá-lo do Key Vault para Aplicativos de Contêiner. Este artigo mostra como usar o portal do Azure para importar um certificado. Mas você não pode usar o portal do Azure para importar certificados do Serviço de Aplicativo devido à forma como esses certificados são salvos no Key Vault.

Habilitar a identidade gerenciada para seu ambiente de Aplicativos de Contêiner

Os Aplicativos de Contêiner usam uma identidade gerenciada no nível do ambiente para acessar o cofre de chaves e importar seu certificado. Você pode usar uma identidade atribuída pelo sistema ou uma identidade atribuída pelo usuário para essa finalidade. Para usar uma identidade gerenciada atribuída pelo sistema, siga estas etapas:

  1. Vá para o portal do Azure e vá para o ambiente de Aplicativos de Contêiner para o qual você deseja importar um certificado.

  2. Selecione Configurações>Identidade.

  3. Na guia Atribuída pelo sistema, ative o controle Status.

  4. Selecione Salvar. Quando a janela Habilitar identidade gerenciada atribuída pelo sistema for exibida, selecione Sim.

  5. Em Permissões, selecione atribuições de função do Azure para abrir a janela de atribuições de função.

  6. Selecione Adicionar atribuição de função e selecione os seguintes valores:

    Propriedade Valor
    Scope Cofre de chaves
    Subscription Sua assinatura do Azure
    Recurso Seu cofre de chaves
    Função Usuário de segredos do Key Vault

  7. Selecione Salvar.

O Key Vault oferece dois sistemas de autorização: o RBAC (controle de acesso baseado em função) do Azure e um modelo de política de acesso herdado. Para obter informações detalhadas sobre os dois sistemas, consulte o RBAC (controle de acesso baseado em função) do Azure versus as políticas de acesso (herdadas).

Importar um certificado do Key Vault

Para importar um certificado do Key Vault para seu ambiente de aplicativo de contêiner, execute as etapas nas seções a seguir.

Iniciar o processo

  1. No portal do Azure, acesse seu ambiente do aplicativo contêiner.

  2. Selecione Configurações>Certificados.

  3. Vá para a guia Traga seus próprios certificados (.pfx ).

  4. Selecione Adicionar certificado.

Adicionar o certificado

  1. Na caixa de diálogo Adicionar certificado , ao lado da Origem, selecione Importar do Key Vault.

  2. Selecione Selecionar certificado do cofre de chaves e selecione os seguintes valores:

    Propriedade Valor
    Subscription Sua assinatura do Azure
    Cofre de chaves criptográficas Seu cofre de chaves
    Certificado Seu certificado

    Observação

    Se aparecer uma mensagem de erro informando: "A operação 'Lista' não está habilitada na política de acesso desse cofre de chaves", você precisa configurar uma política de acesso no cofre de chaves para permitir que sua conta de usuário liste certificados. Para obter mais informações, consulte Configurar uma política de acesso do Key Vault (herdado).

  3. Escolha Selecionar.

  4. Na caixa de diálogo Adicionar certificado , ao lado de Identidade Gerenciada, selecione Sistema atribuído. Se você estiver usando uma identidade gerenciada atribuída pelo usuário, selecione sua identidade gerenciada atribuída pelo usuário.

  5. Selecione Adicionar.

Observação

Se uma mensagem de erro for exibida, verifique se a identidade gerenciada recebeu a função de Usuário de Segredos do Key Vault para o cofre de chaves.

Configurar um domínio personalizado

Depois de configurar o certificado, você pode usá-lo para ajudar a proteger seu domínio personalizado. Siga as etapas em Adicionar um domínio e um certificado personalizados e selecione o certificado importado do Key Vault.

Girar certificados

Quando você gira o certificado no Key Vault, os Aplicativos de Contêiner atualizam automaticamente o certificado em seu ambiente. Pode levar até 12 horas para que o novo certificado seja aplicado.

Próxima etapa

Certificados nos Aplicativos de Contêiner do Azure

  • Last updated on