Consulte Adicionar e gerir certificados TLS/SSL no Serviço de Aplicações do Azure

Você pode adicionar certificados de segurança digital para usar em seu código de aplicativo ou para ajudar a proteger nomes DNS (Sistema de Nomes de Domínio) personalizados no Serviço de Aplicativo do Azure. O Serviço de Aplicativo fornece um serviço de hospedagem na Web altamente escalável e com auto-patching. Os certificados são atualmente chamados de certificados TLS (Transport Layer Security). Eles eram anteriormente conhecidos como certificados SSL (Secure Sockets Layer). Estes certificados públicos ou privados ajudam-no a proteger as ligações à Internet. Os certificados criptografam os dados enviados entre seu navegador, os sites que você visita e o servidor do site.

A tabela a seguir lista as opções para você adicionar certificados no Serviço de Aplicativo.

Pré-requisitos

• Crie uma aplicação do Serviço de Aplicações. O plano do Serviço de Aplicativo do aplicativo deve estar na camada Básico, Padrão, Premium ou Isolado. Para atualizar a camada, consulte Aumentar a escala de um aplicativo.

• Para obter um certificado privado, verifique se ele atende a todos os requisitos do Serviço de Aplicativo.

• Certificado gratuito apenas

  • Mapeie o domínio onde você deseja o certificado para o Serviço de Aplicativo. Para obter mais informações, consulte Tutorial: Mapear um nome DNS personalizado existente para o Serviço de Aplicativo do Azure.
  • Para um domínio raiz (como contoso.com), certifique-se de que seu aplicativo não tenha nenhuma restrição de IP configurada. Tanto a criação de certificados quanto sua renovação periódica para um domínio raiz dependem de seu aplicativo estar acessível pela Internet.

Requisitos de certificado privado

O certificado gerido gratuito do Serviço de Aplicações e o certificado do Serviço de Aplicações já satisfazem os requisitos do Serviço de Aplicações. Se você optar por carregar ou importar um certificado privado para o Serviço de Aplicativo, seu certificado deverá atender aos seguintes requisitos:

• Ser exportado como um arquivo PFX protegido por senha.
• Contêm todos os certificados intermediários e o certificado raiz na cadeia de certificados.

Se você quiser ajudar a proteger um domínio personalizado em uma associação TLS, o certificado deve atender a estes requisitos extras:

• Contêm um uso de chave estendido para autenticação do servidor (OID = 1.3.6.1.5.5.7.3.1).
• Ser assinado por uma autoridade de certificação confiável.

Depois de adicionar um certificado privado a um aplicativo, o certificado é armazenado em uma unidade de implantação vinculada à combinação de grupo de recursos, região e sistema operacional (SO) do plano do Serviço de Aplicativo. Internamente, é chamado de webspace. Dessa forma, o certificado fica acessível a outros aplicativos no mesmo grupo de recursos, região e combinação de sistema operacional. Os certificados privados carregados ou importados para o Serviço de Aplicativo são compartilhados com os serviços de aplicativo na mesma unidade de implantação.

Você pode adicionar até 1.000 certificados privados por espaço na web.

Criar um certificado gerenciado gratuito

O certificado gerenciado gratuito do Serviço de Aplicativo é uma solução pronta para uso para ajudar a proteger seu nome DNS personalizado no Serviço de Aplicativo. Sem qualquer ação sua, esse certificado de servidor TLS/SSL é totalmente gerenciado pelo Serviço de Aplicativo e é renovado automaticamente, desde que os pré-requisitos configurados permaneçam os mesmos. Todos os vínculos associados são atualizados com o certificado renovado. Você cria e vincula o certificado a um domínio personalizado e permite que o Serviço de Aplicativo faça o resto.

Antes de criar um certificado gerenciado gratuito, verifique se você atende aos pré-requisitos para seu aplicativo.

A DigiCert emite certificados gratuitos. Para alguns domínios, você deve permitir explicitamente o DigiCert como um emissor de certificado, criando um registro de domínio CAA (Autorização de Autoridade de Certificação) com o valor 0 issue digicert.com.

O Azure gerencia totalmente os certificados para você, portanto, qualquer aspeto do certificado gerenciado, incluindo o emissor raiz, pode ser alterado a qualquer momento. As renovações de certificados alteram as partes pública e privada das chaves. Todas essas alterações de certificado estão fora do seu controle. Certifique-se de evitar dependências rígidas e fixar certificados de prática no certificado gerenciado ou em qualquer parte da hierarquia de certificados. Caso precise do comportamento de pinagem de certificados, adicione um certificado ao seu domínio personalizado utilizando qualquer outro método disponível neste artigo.

O certificado gratuito vem com as seguintes limitações:

• Não suporta certificados coringa.
• Não suporta o uso como um certificado de cliente usando impressões digitais de certificado, que está planejado para substituição e remoção.
• Não suporta DNS privado.
• Não é exportável.
• Não é suportado no Ambiente de Serviço de Aplicações.
• Suporta apenas caracteres alfanuméricos, traços (-) e pontos (.).
• Suporta domínios personalizados de até 64 caracteres.

1. No portal do Azure, no painel esquerdo, selecione Serviços de Aplicativo><app-name>.

2. No painel esquerdo do seu aplicativo, selecione Certificados. No painel Certificados gerenciados , selecione Adicionar certificado.

   

3. Selecione o domínio personalizado para o certificado gratuito e, em seguida, selecione Validar. Quando a validação terminar, selecione Adicionar. Você pode criar apenas um certificado gerenciado para cada domínio personalizado suportado.

   Após a conclusão da operação, o certificado aparece na lista Certificados gerenciados .

   

4. Para fornecer segurança para um domínio personalizado com este certificado, você deve criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Importar um certificado do Serviço de Aplicativo

Para importar um certificado do Serviço de Aplicativo, primeiro compre e configure um certificado do Serviço de Aplicativo e siga as etapas aqui.

1. No portal do Azure, no painel esquerdo, selecione Serviços de Aplicativo><app-name>.

2. No painel esquerdo do seu aplicativo, selecione Certificados>Traga seus próprios certificados (.pfx)>Adicionar certificado.

3. Em Origem, selecione Importar Certificado do Serviço de Aplicativo.

4. Em Certificado do Serviço de Aplicativo, selecione o certificado que você criou.

5. Em Nome amigável do certificado, dê um nome ao certificado em seu aplicativo.

6. Selecione Validar. Quando a validação for bem-sucedida, selecione Adicionar.

   

   Após a conclusão da operação, o certificado aparece na lista Traga seus próprios certificados (.pfx ).

   

7. Para ajudar a proteger um domínio personalizado com esse certificado, você deve criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Importar um certificado do Cofre da Chave

Se você usar o Cofre da Chave para gerenciar seus certificados, poderá importar um certificado PKCS12 do Cofre da Chave para o Serviço de Aplicativo se atender aos requisitos.

Autorizar o Serviço de Aplicações a ler a partir do cofre

Por padrão, o provedor de recursos do Serviço de Aplicativo não tem acesso ao seu cofre de chaves. Para usar um cofre de chaves para uma implantação de certificado, você deve autorizar o acesso de leitura do provedor de recursos (Serviço de Aplicativo) ao cofre de chaves. Você pode conceder acesso com uma política de acesso ou controle de acesso baseado em função (RBAC).

az role assignment create --role "Key Vault Certificate User" --assignee "abfa0a7c-a6b6-4736-8310-5855508787cd" --scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Certificate User" -ApplicationId "abfa0a7c-a6b6-4736-8310-5855508787cd" -Scope "/subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}"

Importar um certificado do cofre para a aplicação

1. No portal do Azure, no painel esquerdo, selecione Serviços de Aplicativo><app-name>.

2. No painel esquerdo do seu aplicativo, selecione Certificados>Traga seus próprios certificados (.pfx)>Adicionar certificado.

3. Em Origem, selecione Importar do Cofre de Chaves.

4. Escolha Selecionar certificado do cofre de chaves.

   

5. Para ajudá-lo a selecionar o certificado, use a tabela a seguir:

   Configuração	Descrição
   Subscrição	A subscrição associada ao cofre de chaves.
   Cofre da Chave	O cofre de chaves que tem o certificado que você deseja importar.
   Certificado	Desta lista, selecione um certificado PKCS12 que esteja no armazenamento. Todos os certificados PKCS12 no cofre são listados com as suas impressões digitais, mas nem todos são suportados no Serviço de Aplicações.

6. Depois de concluir a seleção, escolha Selecionar>Validar e, em seguida, selecione Adicionar.

   Após a conclusão da operação, o certificado aparece na lista Traga seus próprios certificados (.pfx ). Se a importação falhar com um erro, o certificado não atende aos requisitos do Serviço de Aplicativo.

   

   Se você atualizar seu certificado no Cofre da Chave com um novo certificado, o Serviço de Aplicativo sincronizará automaticamente seu certificado em 24 horas.

7. Para ajudar a proteger um domínio personalizado com esse certificado, você deve criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Carregar um certificado privado

Depois de obter um certificado do seu provedor de certificados, prepare o certificado para o Serviço de Aplicativo seguindo as etapas nesta seção.

Fundir certificados intermédios

Se a autoridade de certificação fornecer vários certificados na cadeia de certificados, você deverá mesclar os certificados seguindo a mesma ordem.

1. Em um editor de texto, abra cada certificado recebido.

2. Para armazenar o certificado mesclado, crie um arquivo chamado mergedcertificate.crt.

3. Copie o conteúdo de cada certificado para este arquivo. Certifique-se de seguir a sequência de certificados especificada pela cadeia de certificados. Comece com o seu certificado e termine com o certificado raiz, por exemplo:

   -----BEGIN CERTIFICATE-----
   <your entire Base64 encoded SSL certificate>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 1>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded intermediate certificate 2>
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   <The entire Base64 encoded root certificate>
   -----END CERTIFICATE-----
   

Exportar o certificado privado mesclado para .pfx

Agora, exporte seu certificado TLS/SSL mesclado com a chave privada que foi usada para gerar sua solicitação de certificado. Se você gerou sua solicitação de certificado usando OpenSSL, então você criou um arquivo de chave privada.

OpenSSL v3 alterou a cifra padrão de 3DES para AES256. Use a linha -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1 de comando para substituir a alteração.

OpenSSL v1 usa 3DES como padrão, portanto, os arquivos .pfx que são gerados são suportados sem modificações especiais.

1. Para exportar seu certificado para um arquivo .pfx, execute o seguinte comando. Substitua os espaços reservados <arquivo de chave> privada e< arquivo de certificado> mesclado pelos caminhos para sua chave privada e seu arquivo de certificado mesclado.

   openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
   

2. Quando solicitado, especifique uma senha para a operação de exportação. Ao carregar seu certificado TLS/SSL para o Serviço de Aplicativo mais tarde, você deve fornecer essa senha.

3. Se você usou o IIS ou oCertreq.exe para gerar sua solicitação de certificado, instale o certificado no computador local e exporte o certificado para um arquivo .pfx.

Carregar o certificado para o Serviço de Aplicativo

Agora você está pronto para carregar o certificado no Serviço de Aplicativo.

1. No portal do Azure, no painel esquerdo, selecione Serviços de Aplicativo><app-name>.

2. No painel esquerdo do seu aplicativo, selecione Certificados>Traga seus próprios certificados (.pfx)>Carregar certificado (.pfx).

   

3. Para ajudá-lo a carregar o certificado .pfx, use a tabela a seguir:

   Configuração	Descrição
   Arquivo de certificado PFX	Selecione seu arquivo .pfx.
   Senha do certificado	Introduza a palavra-passe que criou quando exportou o ficheiro .pfx.
   Nome amigável do certificado	O nome do certificado que aparece no seu aplicativo Web.

4. Depois de concluir a seleção, escolha Selecionar>Validar e, em seguida, selecione Adicionar.

   Após a conclusão da operação, o certificado aparece na lista Traga seus próprios certificados (.pfx ).

   

5. Para fornecer segurança para um domínio personalizado com este certificado, você deve criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Carregar um certificado público

Os certificados públicos são suportados no formato .cer .

Depois de carregar um certificado público para uma aplicação, este só é acessível pela aplicação para a qual foi carregado. Os certificados públicos devem ser carregados em cada aplicativo Web individual que precisa de acesso. Para cenários específicos do Ambiente do Serviço de Aplicativo, consulte a documentação de certificados e do Ambiente do Serviço de Aplicativo.

Você pode carregar até 1.000 certificados públicos por plano do Serviço de Aplicativo.

1. No portal do Azure, no painel esquerdo, selecione Serviços de Aplicativo><app-name>.

2. No painel esquerdo do seu aplicativo, selecione Certificados> dechave pública (.cer)>Adicionar certificado.

3. Para ajudá-lo a carregar o certificado .cer, use a tabela a seguir:

   Configuração	Descrição
   .cer arquivo de certificado	Selecione seu arquivo .cer.
   Nome amigável do certificado	O nome do certificado que aparece no seu aplicativo Web.

4. Depois de terminar, selecione Adicionar.

   

5. Depois que o certificado for carregado, copie a impressão digital do certificado e revise Tornar o certificado acessível.

Renovar um certificado que expira

Antes de um certificado expirar, certifique-se de adicionar o certificado renovado ao Serviço de Aplicativo. Atualize todas as associações de certificado em que o processo depende do tipo de certificado. Por exemplo, um certificado importado do Cofre da Chave, incluindo um certificado do Serviço de Aplicativo, é sincronizado automaticamente com o Serviço de Aplicativo a cada 24 horas e atualiza a associação TLS/SSL quando você renova o certificado.

Para um certificado carregado, não há atualização automática de vinculação. Com base no seu cenário, revise a seção correspondente:

• Renovar um certificado carregado
• Renovar um certificado do Serviço de Aplicativo
• Renovar um certificado importado do Cofre da Chave

Renovar um certificado carregado

Quando você substitui um certificado que expira, a maneira como você atualiza a associação de certificado com o novo certificado pode afetar negativamente a experiência do usuário. Por exemplo, seu endereço IP de entrada pode mudar quando você exclui uma ligação, mesmo que essa associação seja baseada em IP. Esse resultado é especialmente eficaz quando você renova um certificado que já está em uma associação baseada em IP.

Para evitar uma alteração no endereço IP do aplicativo e evitar o tempo de inatividade do aplicativo devido a erros HTTPS, siga estas etapas:

1. Carregue o novo certificado.

2. Aceda à página Domínios personalizados da sua aplicação, selecione o botão ... e, em seguida, selecione Atualizar ligação.

3. Selecione o novo certificado e, em seguida, selecione Atualizar.

4. Exclua o certificado existente.

Renovar um certificado importado do Azure Key Vault

Para renovar um certificado do Serviço de Aplicativo, consulte Renovar um certificado do Serviço de Aplicativo.

Para renovar um certificado importado para o Serviço de Aplicativo do Cofre da Chave, consulte Renovar seu certificado do Cofre da Chave do Azure.

Depois de o certificado ser renovado no cofre de chaves, o App Service sincronizará automaticamente o novo certificado e atualizará qualquer vínculo de certificado aplicável dentro de 24 horas. Para sincronizar manualmente, siga estes passos:

1. Aceda à página Certificado da sua aplicação.

2. Em Trazer seus próprios certificados (.pfx), selecione o botão ... para o certificado de cofre de chaves importado e selecione Sincronizar.

Perguntas mais frequentes

Como posso automatizar o processo de adicionar um certificado próprio a uma aplicação?

• CLI do Azure: Vincular um certificado TLS/SSL personalizado a um aplicativo Web
• Azure PowerShell: Vincular um certificado TLS/SSL personalizado a um aplicativo Web usando o PowerShell

Posso usar um certificado de autoridade de certificação privada para TLS de entrada no meu aplicativo?

Você pode usar um certificado de autoridade de certificação (CA) privada para TLS de entrada no Ambiente do Serviço de Aplicativo versão 3. Esta ação não é possível no App Service (multitenant). Para obter mais informações sobre Serviço de Aplicativo multitenant versus single tenant, consulte comparação entre o Ambiente do Serviço de Aplicativo v3 e o Serviço de Aplicativo multitenant público.

Posso fazer chamadas de saída usando um certificado de cliente de CA privado do meu aplicativo?

Esse recurso é suportado para aplicativos de contêiner do Windows somente no Serviço de Aplicativo multilocatário. Você pode fazer chamadas de saída usando um certificado de cliente de CA privado com aplicativos baseados em código e em contêiner no Ambiente do Serviço de Aplicativo versão 3. Para obter mais informações sobre Serviço de Aplicativo multitenant versus single tenant, consulte comparação entre o Ambiente do Serviço de Aplicativo v3 e o Serviço de Aplicativo multitenant público.

Posso carregar um certificado de autoridade de certificação privada no meu armazenamento raiz confiável do Serviço de Aplicativo?

Você pode carregar o seu próprio certificado CA na loja raiz confiável no Ambiente de Serviço de Aplicativos versão 3. Não é possível modificar a lista de certificados raiz confiáveis no App Service (multilocatário). Para obter mais informações sobre Serviço de Aplicativo multitenant versus single tenant, consulte comparação entre o Ambiente do Serviço de Aplicativo v3 e o Serviço de Aplicativo multitenant público.

Os certificados do Serviço de Aplicativo podem ser usados para outros serviços?

Sim. Você pode exportar e usar certificados do Serviço de Aplicativo com o Gateway de Aplicativo do Azure ou outros serviços. Para obter mais informações, consulte o artigo do blog Criando uma cópia PFX local do Certificado do Serviço de Aplicativo.

Conteúdo relacionado

• Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure
• Impor HTTPS
• Aplicar TLS 1.1/1.2
• Utilizar um certificado TLS/SSL no código no Serviço de Aplicações do Azure
• Perguntas frequentes: Certificados do Serviço de Aplicativo