Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Front Door permite a entrega segura de TLS (Transport Layer Security) para seus aplicativos por padrão quando você usa seus próprios domínios personalizados. Para saber mais sobre domínios personalizados, incluindo como os domínios personalizados funcionam com HTTPS, consulte Domínios na Porta da Frente do Azure.
O Azure Front Door dá suporte a certificados gerenciados pelo Azure e certificados gerenciados pelo cliente. Neste artigo, você aprenderá a configurar os dois tipos de certificados para seus domínios personalizados do Azure Front Door.
Pré-requisitos
- Um perfil do Azure Front Door. Para obter mais informações, consulte Guia de início rápido: criar um Azure Front Door Standard/Premium.
- Um domínio personalizado. Se você não tiver um domínio personalizado, primeiro deverá comprar um de um provedor de domínio. Para obter mais informações, consulte Comprar um nome de domínio personalizado.
- Se estiver a utilizar o Azure para alojar os seus domínios DNS, tem de delegar o sistema de nomes de domínio (DNS) do fornecedor de domínio a um DNS do Azure. Para obter mais informações, veja Delegar um domínio ao DNS do Azure. Caso contrário, se estiver a utilizar um fornecedor de domínios para processar o seu domínio DNS, tem de validar manualmente o domínio ao introduzir os registos TXT DNS solicitados.
Certificados geridos pelo Azure Front Door para domínios pré-validados não pertencentes ao Azure
Se você tiver seu próprio domínio e o domínio ainda não estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:
Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.
No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.
Configuração Valor Tipo de domínio Selecione Domínio pré-validado não associado ao Azure. Gestão de DNS Selecione DNS gerenciado do Azure (Recomendado). zona DNS Selecione a zona DNS do Azure que hospeda o domínio personalizado. Domínio personalizado Selecione um domínio existente ou adicione um novo domínio. HTTPS Selecione AFD gerenciado (Recomendado). Valide e associe o domínio personalizado a um endpoint seguindo as etapas para ativar um domínio personalizado.
Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, o Azure Front Door gera um certificado e o implanta. Esse processo pode levar de vários minutos a uma hora para ser concluído.
Certificados gerenciados pelo Azure para domínios pré-validados do Azure
Se você tiver seu próprio domínio e o domínio estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:
Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.
No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.
Configuração Valor Tipo de domínio Selecione Domínio pré-validado do Azure. Domínios personalizados pré-validados Selecione um nome de domínio personalizado a partir da lista suspensa de serviços do Azure. HTTPS Selecione Azure gerenciado. Valide e associe o domínio personalizado a um endpoint seguindo as etapas para ativar um domínio personalizado.
Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, um certificado gerido pelo Azure Front Door é instalado no Azure Front Door. Esse processo pode levar de vários minutos a uma hora para ser concluído.
Utilize o seu próprio certificado
Também pode optar por utilizar o seu próprio certificado TLS. Seu certificado TLS deve atender a determinados requisitos. Para obter mais informações, consulte Requisitos de certificado.
Prepare o seu cofre de chaves e o certificado
Crie uma instância separada do Azure Key Vault na qual você armazena seus certificados TLS do Azure Front Door. Para obter mais informações, consulte Criar uma instância do Key Vault. Se já tiver um certificado, pode carregá-lo para a sua nova instância do Cofre da Chave. Caso contrário, você pode criar um novo certificado por meio do Cofre da Chave de um dos parceiros da autoridade de certificação (CA).
Atualmente, há duas maneiras de autenticar o Azure Front Door para acessar seu Cofre de Chaves:
- Identidade gerenciada: o Azure Front Door usa uma identidade gerenciada para autenticar em seu Cofre de Chaves. Esse método é recomendado porque é mais seguro e não exige que você gerencie credenciais. Para obter mais informações, consulte Usar identidades gerenciadas na Porta da Frente do Azure. Pule para Selecionar o certificado para o Azure Front Door a ser implantado se você estiver usando esse método.
- Registo de aplicações: o Azure Front Door utiliza um registo de aplicação para se autenticar no seu Cofre de Chaves. Este método está sendo preterido e será aposentado no futuro. Para mais informações, consulte Usar o registo de aplicação no Azure Front Door.
Aviso
- Atualmente, o Azure Front Door só suporta o Cofre da Chave na mesma subscrição. Selecionar o Cofre de Chaves sob outra subscrição resulta num erro.
- O Azure Front Door não suporta certificados com algoritmos de criptografia de curva elíptica. Além disso, seu certificado deve ter uma cadeia de certificados completa com certificados folha e intermediários. A autoridade de certificação raiz também deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft.
Registar Azure Front Door
Registe o principal de serviço para o Azure Front Door como uma aplicação na sua ID do Microsoft Entra usando o Microsoft Graph PowerShell ou a CLI do Azure.
Nota
- Esta ação requer que você tenha permissões de Administrador de Acesso de Usuário no Microsoft Entra ID. O registro só precisa ser realizado uma vez por locatário do Microsoft Entra.
- Os IDs das aplicações 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e d4631ece-daab-479b-be77-ccb713491fc0 são predefinidos pelo Azure para o Azure Front Door Standard e Premium em todos os locatários e subscrições do Azure. O Azure Front Door (clássico) tem uma ID de aplicativo diferente.
Se necessário, instale o Microsoft Graph PowerShell no PowerShell em sua máquina local.
Use o PowerShell para executar o seguinte comando:
Nuvem pública do Azure:
New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Nuvem Azure para o Governo:
New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
Conceder ao Azure Front Door acesso ao seu Key Vault
Conceda permissão ao Azure Front Door para acessar os certificados na nova conta do Key Vault que você criou especificamente para o Azure Front Door. Você só precisa dar GET permissão ao certificado e ao segredo para que o Azure Front Door recupere o certificado.
Na sua conta do Cofre da Chave, selecione Políticas de acesso.
Selecione Adicionar nova ou Criar para criar uma nova política de acesso.
Em Permissões secretas, selecione Obter para permitir que o Azure Front Door recupere o certificado.
Em Permissões de certificado, selecione Obter para permitir que o Azure Front Door recupere o certificado.
Em Selecionar principal, procure 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e selecione Microsoft.AzureFrontDoor-Cdn. Selecione Seguinte.
Em Aplicação, selecione Seguinte.
Em Rever + criar, selecione Criar.
Nota
Se o cofre de chaves estiver protegido com restrições de acesso à rede, certifique-se de permitir que serviços confiáveis da Microsoft acessem seu cofre de chaves.
O Azure Front Door agora pode acessar esse cofre de chaves e os certificados que ele contém.
Selecione o certificado que será implementado pelo Azure Front Door
Retorne ao Azure Front Door Standard/Premium no portal.
Em Segurança, vá para Segredos e selecione + Adicionar certificado.
No painel Adicionar certificado, marque a caixa de seleção do certificado que você deseja adicionar ao Azure Front Door Standard/Premium.
Quando seleciona um certificado, também tem de selecionar a versão. Se você selecionar Mais recente, o Azure Front Door será atualizado automaticamente sempre que o certificado for girado (renovado). Você também pode selecionar uma versão de certificado específica se preferir gerenciar a rotação de certificados por conta própria.
Deixe a seleção de versão como Mais recente e selecione Adicionar.
Depois que o certificado for provisionado com êxito, você poderá usá-lo ao adicionar um novo domínio personalizado.
Em Configurações, vá para Domínios e selecione + Adicionar para adicionar um novo domínio personalizado. No painel Adicionar um domínio, para HTTPS, selecione Trazer seu próprio certificado (BYOC). Em Secret, selecione o certificado que deseja usar na lista suspensa.
Nota
O nome do certificado (CN) ou o nome alternativo da entidade (SAN) do certificado deve corresponder ao domínio personalizado que está sendo adicionado.
Siga as etapas na tela para validar o certificado. Em seguida, associe o domínio personalizado recém-criado a um ponto de extremidade, conforme descrito em Configurar um domínio personalizado.
Alternar entre tipos de certificado
Pode alterar um domínio entre a utilização de um certificado gerido pelo Azure Front Door e um certificado gerido pelo cliente. Para obter mais informações, consulte Domínios no Azure Front Door.
Selecione o estado do certificado para abrir o painel Detalhes do certificado.
No painel Detalhes do certificado, pode-se alternar entre Azure Front Door gerido e Trazer o Seu Próprio Certificado (BYOC).
Se você selecionar Bring Your Own Certificate (BYOC), siga as etapas anteriores para selecionar um certificado.
Selecione Atualizar para alterar o certificado associado a um domínio.