Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao configurar um domínio ou certificado TLS/SSL para seus aplicativos Web no Serviço de Aplicativo do Azure, você poderá encontrar os seguintes problemas comuns. Este artigo explora as possíveis causas e soluções para esses problemas.
Além das informações deste artigo, você pode obter mais ajuda entrando em contato com especialistas do Azure nos fóruns microsoft Q &A e Stack Overflow. Como alternativa, você pode registrar um incidente de suporte do Azure no site de Suporte do Azure. Selecione Obter Suporte.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Problemas de certificado
Não é possível adicionar uma associação de certificado TLS/SSL a um aplicativo
Sintoma
Quando você adiciona uma associação TLS, a seguinte mensagem de erro será exibida:
"Falha ao adicionar associação SSL. Não é possível definir o certificado para o VIP existente, pois outro VIP já usa esse certificado."
Causa
Esse problema poderá ocorrer se você tiver várias associações TLS/SSL baseadas em IP para o mesmo endereço IP entre vários aplicativos. Por exemplo, o aplicativo A tem uma associação TLS/SSL baseada em IP com um certificado antigo. O aplicativo B tem uma associação TLS/SSL baseada em IP com um certificado novo para o mesmo endereço IP. Quando você atualiza a associação TLS do aplicativo com o novo certificado, a atualização falha porque o mesmo endereço IP é usado para outro aplicativo e você recebe a mensagem de erro.
Solução
Para resolver esse problema, tente um dos seguintes métodos:
- Excluir a associação TLS/SSL baseada em IP no aplicativo que usa o certificado antigo.
- Criar uma associação TLS/SSL baseada em IP que usa o novo certificado.
Não é possível excluir um certificado
Sintoma
Quando você tentar excluir um certificado, a seguinte mensagem de erro é exibida:
"Não é possível excluir o certificado porque ele está sendo usado atualmente em uma associação TLS/SSL. A associação TLS deve ser removida antes de excluir o certificado."
Causa
Esse problema pode ocorrer se outro aplicativo usar o certificado.
Solução
- Remova a associação TLS para esse certificado dos aplicativos.
- Tente excluir o certificado.
- Se você ainda não conseguir excluir o certificado, limpe o cache do navegador da Internet e reabra o portal do Azure em uma nova janela do navegador. Em seguida, tente excluir o certificado.
Não é possível comprar um certificado do Serviço de Aplicativo
Sintoma
Não é possível comprar um certificado do Serviço de Aplicativo do Azure pelo portal do Azure.
Causa e solução
Esse problema pode ocorrer por qualquer um dos seguintes motivos:
O Plano do Serviço de Aplicativo é um tipo de preço Gratuito ou Compartilhado, que não dá suporte ao TLS.
Solução: atualize o Plano do Serviço de Aplicativo para Standard.
A assinatura não possui um cartão de crédito válido.
Solução: adicione um cartão de crédito à sua assinatura.
A oferta de assinatura não dá suporte à compra de um certificado do Serviço de Aplicativo. Exemplo: Microsoft Student.
Solução: atualize sua assinatura.
A assinatura atingiu o limite de compra permitido.
Solução: os certificados do Serviço de Aplicativo têm um limite de 10 compras de certificado para os tipos de assinatura Contrato Enterprise e Pagamento Conforme o Uso. Para outros tipos de assinatura, o limite é 3. Para aumentar o limite, contate o suporte do Azure.
O certificado de Serviço de Aplicativo foi marcado como fraude. Você recebeu a mensagem de erro a seguir: "Seu certificado foi sinalizado para uma possível fraude." A solicitação está sendo examinada. Se o certificado não se tornar utilizável dentro de 24 horas, entre em contato com o suporte do Azure."
Solução: se o certificado estiver marcado como fraude e não for resolvido após 24 horas, siga estas etapas:
Entre no portal do Azure.
Vá para Certificados do Serviço de Aplicativo e selecione o certificado.
Selecione Configuração de Certificado>Etapa 2: verificar>Verificação de domínio. Essa etapa envia uma notificação de email para o provedor de certificados do Azure para resolver o problema.
Um certificado do Serviço de Aplicativo foi renovado, mas o aplicativo mostra o certificado antigo
Sintoma
O certificado do Serviço de Aplicativo foi renovado, mas o aplicativo que usa o certificado do Serviço de Aplicativo ainda está usando o certificado antigo. Você também pode receber um aviso de que o protocolo HTTPS é necessário.
Causa 1: permissões de política de acesso ausentes no cofre de chaves
O cofre de chaves usado para armazenar o certificado do Serviço de Aplicativo não possui permissões de política de acesso para Microsoft.Azure.Websites e Microsoft.Azure.CertificateRegistration. As entidades de serviço e as respectivas permissões necessárias para acesso ao cofre de chaves são:
| Entidade de serviço | Permissões de segredo | Permissões de certificado |
|---|---|---|
| Serviço de Aplicativo do Microsoft Azure | Obter | Obter |
| Microsoft.Azure.CertificateRegistration | Obter, Listar, Excluir | Obter, Listar |
Solução 1: modificar as políticas de acesso para o cofre de chaves
Para modificar as políticas de acesso para o cofre de chaves, siga estas etapas:
- Entre no portal do Azure. Selecione o cofre de chaves usado pelo certificado do App Service. Acesse as políticas do Access.
- Se você não vir as duas entidades de serviço listadas, precisará adicioná-las. Se estiverem disponíveis, verifique se as permissões incluem o segredo recomendado e as permissões de certificado.
- Adicione um principal de serviço selecionando Criar. Em seguida, selecione as permissões necessárias para permissões de Segredo e Certificado.
- Para a entidade de serviço, insira os valores obtidos anteriormente na caixa de pesquisa. Em seguida, selecione a entidade de serviço.
Causa 2: O serviço de aplicativo não foi sincronizado com o novo certificado
O Serviço de Aplicativo sincronizará automaticamente o certificado em até 48 horas. Ao girar ou atualizar um certificado, às vezes, o aplicativo ainda está recuperando o certificado antigo e não o novo certificado. Isso acontece porque o trabalho que sincroniza o recurso de certificado não foi executado. Para resolver esse problema, sincronize o certificado manualmente. A sincronização atualiza manualmente as associações de nome do host para o certificado no Serviço de Aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.
Solução 2: forçar uma sincronização do certificado
Para forçar uma sincronização para o certificado, siga estas etapas:
- Entre no portal do Azure. Selecione os Certificados do Serviço de Aplicativo e, em seguida, selecione o certificado.
- Selecione Rechaveamento e Sincronização e escolha Sincronizar. A sincronização leva algum tempo para ser concluída.
- Quando a sincronização for concluída, a seguinte notificação será exibida: "Atualizou com êxito todos os recursos com o certificado mais recente".
O Serviço de Aplicativo está mostrando o certificado errado
Sintoma
Quando você está navegando pelo Serviço de Aplicativo, ele está apresentando o certificado errado.
Causa
Esse problema pode se manifestar quando as associações SSL de IP e SNI (Indicação de Nome de Servidor) são configuradas para o Serviço de Aplicativo. Quando clientes sem SNI atingem o ponto de extremidade IP SSL, o certificado IP SSL é armazenado em cache. Mesmo se os clientes habilitados para SNI chegarem ao site, eles serão apresentados com o certificado SSL de IP, o que faz com que um certificado inválido seja apresentado.
Solução
Verifique se você não usa associações SNI juntamente com associações SSL de IP e sempre navegue até o site pela URL de domínio personalizada se você tiver clientes não SNI. Se você precisar usar associações de SNI, verifique se o certificado associado à associação SSL de IP é emitido para proteger todas as URLs configuradas para o site (incluindo as associações de SNI). Configure o mesmo certificado em relação a todas as outras associações. Este comportamento ocorre por design.
Problemas de domínio personalizado
Um domínio personalizado retorna um erro 404
Sintoma
Ao navegar até o site usando o nome de domínio personalizado, você recebe a mensagem de erro "Erro 404 – aplicativo Web não encontrado".
Causa e solução
Causa 1
Está faltando um CNAME record ou um A record no domínio personalizado configurado.
Solução para a causa 1
- Se você adicionou um
A record, verifique se umTXT recordtambém foi adicionado. Para obter mais informações, confira Criar os registros DNS. - Se você não precisar usar o domínio raiz para seu aplicativo, recomendamos que você use um
CNAME recordem vez de umA record. - Não use um
CNAME recorde umA recordpara o mesmo domínio. Esse problema pode causar um conflito e impedir que o domínio seja resolvido.
Causa 2
O navegador da Internet ainda pode estar armazenando o endereço IP antigo em cache para o domínio.
Solução para a Causa 2
Limpe o navegador. Para dispositivos do Windows, você pode executar o comando ipconfig /flushdns. Use WhatsmyDNS.net para verificar se o domínio aponta para o endereço IP do aplicativo.
Não é possível adicionar um subdomínio
Sintoma
Não é possível adicionar um novo nome do host a um aplicativo para atribuir um subdomínio.
Solução
- Verifique com o administrador de assinatura se você tem permissões para adicionar um nome do host ao aplicativo.
- Se você precisar de mais subdomínios, recomendamos alterar a hospedagem de domínio para o DNS do Azure. Usando o DNS do Azure, será possível adicionar 500 nomes do host ao aplicativo. Para obter mais informações, consulte Adicionar um subdomínio.
DNS não pode ser resolvido
Sintoma
Você recebeu a seguinte mensagem de erro: "O registro DNS não pôde ser localizado".
Causa
Esse problema ocorre por um dos seguintes motivos:
- O período de vida útil (TTL) não expirou. Para determinar o valor TTL, verifique a configuração de DNS do seu domínio e aguarde até que o período expire.
- A configuração do DNS está incorreta.
Solução
- Aguarde 48 horas para que esse problema seja resolvido sozinho.
- Se você puder alterar a configuração de TTL em sua configuração de DNS, altere o valor para 5 minutos para ver se isso resolve o problema.
- Use WhatsmyDNS.net para verificar se o domínio aponta para o endereço IP do aplicativo. Se o domínio não apontar para o endereço IP, configure o
A recordpara o endereço IP correto do aplicativo.
É necessário restaurar um domínio excluído
Sintoma
O domínio não está mais visível no portal do Azure.
Causa
O proprietário da assinatura pode ter excluído acidentalmente o domínio.
Solução
Se o domínio foi excluído há menos de sete dias, o domínio ainda não iniciou o processo de exclusão. Nesse caso, você poderá comprar o mesmo domínio novamente no portal do Azure com a mesma assinatura. (Digite o nome de domínio exato na caixa de pesquisa.) Você não será cobrado novamente por esse domínio. Se o domínio foi excluído há mais de sete dias, contate o suporte do Azure para obter ajuda na restauração dele.
Problemas de domínio
Você comprou um certificado TLS/SSL para o domínio incorreto
Sintoma
Você comprou um certificado do Serviço de Aplicativo para o domínio incorreto. Não é possível atualizar o certificado para usar o domínio correto.
Solução
Exclua o certificado e, em seguida, compre um novo.
Se o certificado atual que usa o domínio errado estiver no estado "Emitido", você também será cobrado por esse certificado. Certificados de Serviço de Aplicativo não são reembolsáveis, mas você pode contatar o suporte do Azure para ver se há outras opções.
A verificação de domínio não está funcionando
Sintoma
O certificado do Serviço de Aplicativo requer a verificação de domínio antes do certificado estar pronto para uso. Ao selecionar Verificar, o processo falha.
Solução
Verifique manualmente seu domínio adicionando um TXT record:
Acesse o provedor de Serviço de Nomes de Domínio (DNS) que hospeda o nome de domínio.
Insira um
TXT recordpara o seu domínio utilizando o valor do token de domínio obtido no portal do Azure.Aguarde alguns minutos para que a propagação de DNS seja executada e, em seguida, selecione o botão Atualizar para disparar a verificação.
Como uma alternativa, é possível usar o método de páginas da Web em HTML para verificar o domínio manualmente. Esse método permite que a AC (autoridade de certificação) confirme a propriedade de domínio do domínio para o qual o certificado é emitido.
Criar um arquivo HTML chamado
{domain verification token}.html. O conteúdo deste arquivo deve ser o valor do token de verificação de domínio.Carregue esse arquivo na raiz do servidor Web que hospeda o domínio.
Selecione Atualizar para verificar o status do certificado. Pode demorar alguns minutos até a verificação ser concluída.
Por exemplo, se você estiver comprando um certificado padrão para azure.com com o token de verificação de domínio 1234abcd, uma solicitação web feita para https://azure.com/1234abcd.html deve retornar 1234abcd.
Importante
Uma compra de certificado tem 15 dias apenas para concluir a operação de verificação de domínio. Após 15 dias, a AC nega o certificado e você não é cobrado pelo certificado. Nessa situação, exclua esse certificado e tente novamente.
Não é possível comprar um domínio
Sintoma
Não é possível comprar um domínio do serviço de aplicativo no portal do Azure.
Causa e solução
Esse problema ocorre por um dos seguintes motivos:
Não há cartão de crédito na assinatura do Azure ou o cartão de crédito é inválido.
Solução: adicione um cartão de crédito à sua assinatura.
O tipo de assinatura do Azure não dá suporte para compra de um domínio do Serviço de Aplicativo.
Solução: atualize sua assinatura do Azure para outro tipo de assinatura, como uma assinatura paga conforme o uso.
Dependendo do tipo de assinatura, talvez seja necessário ter um histórico de pagamento suficiente antes de comprar um domínio do Serviço de Aplicativo.
Solução: compre com uma assinatura diferente que tenha um histórico de pagamentos ou aguarde até que você tenha um histórico de pagamentos com sua assinatura atual.
Você não é o proprietário da assinatura, portanto, não tem permissão para comprar um domínio.
Solução: atribua a função de Proprietário à sua conta. Ou entre em contato com o administrador da assinatura para obter permissão para comprar um domínio.
Não é possível adicionar um nome do host a um aplicativo
Sintoma
Ao adicionar um nome do host, o processo falha ao validar e verificar o domínio.
Causa
Esse problema ocorre por um dos seguintes motivos:
Você não tem permissão para adicionar um nome de host.
Solução: solicite ao administrador da assinatura a conceder-lhe permissão para adicionar um nome do host.
Sua propriedade de domínio não pôde ser verificada.
Solução: verifique se o seu
CNAME recordouA recordestá configurado corretamente. Para mapear um domínio personalizado para um aplicativo, crie umCNAME recordou umA record. Se você quiser usar um domínio raiz, deverá usar umA recorde umTXT record:Tipo de registro Anfitrião / Hospedeiro Apontar para A@Endereço IP para um aplicativo TXT@<app-name>.azurewebsites.netCNAMEwww<app-name>.azurewebsites.net
Perguntas frequentes
Tenho que configurar meu domínio personalizado para meu site quando comprá-lo?
Quando você adquire um domínio do portal do Azure, o aplicativo do Serviço de Aplicativo é configurado automaticamente para usar esse domínio personalizado. Você não precisa tomar mais medidas. Para obter mais informações, assista a Ajuda autônoma do Serviço de Aplicativo do Azure: adicionar um nome de domínio personalizado em Channel9.
Posso usar um domínio adquirido no portal do Azure para apontar para uma máquina virtual do Azure em vez disso?
Sim, você pode apontar o domínio para uma máquina virtual. Para obter mais informações, consulte Usar o DNS do Azure para fornecer as configurações de domínio personalizadas para um serviço do Azure.
O meu domínio é hospedado pelo GoDaddy ou pelo DNS do Azure?
Os domínios do Serviço de Aplicativo usam o GoDaddy para o registro e o DNS do Azure para a hospedagem.
Habilitei o autorenew, mas ainda recebi um aviso de renovação para meu domínio por email. O que devo fazer?
Se você habilitou o autorenew, não precisará executar nenhuma ação. O email informa apenas que o domínio está perto da expiração e que você precisa renovar manualmente se o autorenew não estiver habilitado.
Serei cobrado pelo DNS do Azure que hospeda meu domínio?
O custo inicial da compra de domínio se aplica somente ao registro do domínio. Junto com o custo de registro, o DNS do Azure incorre em encargos, com base em seu uso. Para obter mais informações, confira os preços de DNS do Azure.
Anteriormente, comprei meu domínio no portal do Azure e quero mudar da hospedagem do GoDaddy para a hospedagem do DNS do Azure. Como posso fazer isso?
Não é obrigatório migrar para a hospedagem do DNS do Azure. Se você quiser migrar para o DNS do Azure, a experiência de gerenciamento de domínio no portal do Azure fornece informações sobre as etapas necessárias para essa migração. Se o domínio foi adquirido por meio do Serviço de Aplicativo, a migração da hospedagem do GoDaddy para o DNS do Azure será um procedimento relativamente simples.
Gostaria de comprar meu domínio do Serviço de Aplicativo, mas posso hospedar meu domínio no GoDaddy em vez do DNS do Azure?
A partir de 24 de julho de 2017, o Azure hospeda domínios do Serviço de Aplicativo adquiridos pelo portal do Azure no DNS do Azure. Se preferir usar um provedor de hospedagem diferente, acesse o site deles para obter uma solução de hospedagem de domínio.
É necessário pagar pela proteção de privacidade para meu domínio?
Ao comprar um domínio por meio do portal do Azure, você pode optar por adicionar privacidade sem custo extra. Esse benefício é incluído quando você compra seu domínio por meio do Serviço de Aplicativo do Azure.
Se eu decidir que não quero mais meu domínio, poderei ser reembolsado?
Quando você compra um domínio, não é cobrado por cinco dias (com uma exceção). Durante esse tempo, você pode decidir se deseja manter o domínio. Se você optar por não manter o domínio dentro dessa duração, não será cobrado. Os domínios que terminam com .uk são a exceção. Se você comprar um .uk domínio, será cobrado imediatamente e não poderá receber um reembolso.
Posso usar o domínio em outro aplicativo do Serviço de Aplicativo do Azure em minha assinatura?
Sim, ao acessar as páginas Domínios Personalizados e Certificados no portal do Azure, você vê os domínios que comprou. Você pode configurar seu aplicativo para usar qualquer um desses domínios.
Posso transferir um domínio de uma assinatura para outra?
Sim, você pode mover um domínio para outra assinatura ou grupo de recursos usando o cmdlet do Move-AzResource PowerShell.
Como posso gerenciar meu domínio personalizado se atualmente não tenho um aplicativo do Serviço de Aplicativo do Azure?
Você pode gerenciar seu domínio mesmo que não tenha um aplicativo Web do Serviço de Aplicativo. Você pode usar o domínio para serviços do Azure, como Máquinas Virtuais do Azure, Armazenamento do Azure e assim por diante. Se você planeja usar o domínio para aplicativos Web do Serviço de Aplicativo, deve incluir um aplicativo Web que não esteja em uma camada gratuita do Serviço de Aplicativo para que você possa associar o domínio ao seu aplicativo Web.
Posso mover um aplicativo Web com um domínio personalizado para outra assinatura ou do Ambiente do Serviço de Aplicativo v1 para o v2?
Sim, você pode mover seu aplicativo Web entre assinaturas. Siga as orientações em Como mover recursos no Azure. Algumas limitações se aplicam quando você move um aplicativo Web. Para saber mais, confira Limitações para mover os recursos do Serviço de Aplicativo.
Depois de mover o aplicativo Web, as associações de nome de host dos domínios dentro da configuração de domínios personalizados devem permanecer as mesmas. Nenhuma etapa adicional é necessária para configurar as associações de nome de host.
Quais formatos de arquivo são retornados quando eu baixar meu certificado do Serviço de Aplicativo do respectivo cofre de chaves?
Quando você seleciona Baixar como um certificado no certificado do Serviço de Aplicativo no cofre de chaves/nos segredos, o formato do arquivo de certificado é .pfx. Nenhuma senha é aplicada ao arquivo.
Qual formato de arquivo posso usar para carregar um certificado no Serviço de Aplicativo?
O formato do arquivo do certificado deve ser um arquivo .pfx com uma senha aplicada ao arquivo. O certificado também deve atender aos requisitos de certificado.
Se você obteve seu certificado de uma AC de terceiros e o formato de arquivo é um formato .pem/.key, você pode usar uma ferramenta como OpenSSL para converter os arquivos em um formato de arquivo .pfx. A chave privada deve ser incluída durante a conversão porque o formato de arquivo .pfx exige isso.
Além disso, se sua AC lhe fornecer vários certificados na cadeia de certificados, você precisará mesclar os certificados na mesma ordem. Para obter mais informações, consulte Mesclar certificados intermediários.
Como faço para gerar uma solicitação de assinatura de certificado para um certificado do Serviço de Aplicativo?
Para um certificado do Serviço de Aplicativo, você compra por meio do portal do Azure ou usando um comando do Powershell/CLI. Uma solicitação de assinatura de certificado não é necessária. No entanto, o Azure Key Vault dá suporte ao armazenamento de certificados digitais emitidos por qualquer AC. Ele dá suporte à criação de uma solicitação de assinatura de certificado com um par de chaves privada/pública. A solicitação de assinatura de certificado pode ser assinada por qualquer AC (uma AC corporativa interna ou uma AC pública externa). Para obter mais informações, consulte Criar uma solicitação de assinatura de certificado.