Importar certificados do Azure Key Vault para Aplicativos de Contêiner do Azure

Você pode configurar o Azure Key Vault para gerenciar centralmente os certificados TLS/SSL do aplicativo de contêiner e lidar com as atualizações, as renovações e o monitoramento.

Pré-requisitos

É necessário um recurso do Azure Key Vault para armazenar seu certificado. Consulte Importar um certificado no Azure Key Vault ou Configurar a rotação automática de certificados no Key Vault para criar um Key Vault e adicionar um certificado.

Exceções

Embora a maioria dos tipos de certificado sejam suportados, há algumas exceções que vale a pena considerar.

• Os certificados ECDSA p384 e p521 não são suportados.
• Devido à forma como os certificados dos Serviços de Aplicativo são salvos no Key Vault, eles não podem ser importados usando o Portal do Azure e exigem o CLI do Azure.

Habilitar identidade gerenciada para o ambiente de Aplicativos de Contêiner

Os Aplicativos de Contêiner do Azure usam uma identidade gerenciada no nível do ambiente para acessar o Key Vault e importar seu certificado. Para habilitar a identidade gerenciada atribuída pelo sistema, siga estas etapas:

1. Abra o portal do Microsoft Azure e encontre o ambiente de Aplicativos de Contêiner do Azure para a qual você deseja importar um certificado.

2. Em Configurações, selecione Identidade.

3. Na guia Atribuída pelo Sistema, encontre a chave Status e selecione Ligado.

4. Selecione Salvar e, quando aparecer a janela habilitar identidade gerenciada atribuída pelo sistema, selecione Sim.

5. No rótulo Permissões, selecione Atribuições de função do Azure para abrir a janela de atribuições de função.

6. Selecione Adicionar atribuição de função e insira os seguintes valores:

   Propriedade	Valor
   Escopo	Selecione Key Vault.
   Subscription	Selecione sua assinatura do Azure.
   Recurso	Selecione o cofre.
   Função	Selecione usuário de Segredos do Cofre de Chaves.

7. Selecione Salvar.

Para obter mais detalhes sobre o RBAC versus políticas de acesso herdadas, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso.

Importar o certificado do Key Vault

1. Abra o portal do Microsoft Azure e vá para seu ambiente de Aplicativos de Contêiner do Azure.

2. Em Configurações, selecione Certificados.

3. Selecione a guia Traga seus próprios certificados (.pfx).

4. Selecione Adicionar certificado.

5. No painel Adicionar certificado, em Origem, selecione Importar do Key Vault.

6. Escolha Selecionar certificado do cofre de chaves e selecione os seguintes valores:

   Propriedade	Valor
   Subscription	Selecione sua assinatura do Azure.
   Key vault	Selecione o cofre.
   Certificado	Selecione seu certificado.

   Observação

   Se você vir um erro, "A operação "Lista" não está habilitada na política de acesso desse cofre de chaves.", você precisa configurar uma política de acesso no Key Vault para permitir que sua conta de usuário liste certificados. Para obter mais informações, confira Atribuir uma política de acesso do Key Vault.

7. Escolha Selecionar.

8. No painel Adicionar certificado, em Identidade gerenciada, selecione Sistema atribuído. Se você estiver usando uma identidade gerenciada atribuída pelo usuário, selecione-a.

9. Selecione Adicionar.

Observação

Se você receber uma mensagem de erro, verifique se a identidade gerenciada recebeu a função de Usuário de Segredos do Key Vault no Key Vault.

Configurar um domínio personalizado

Depois de configurar seu certificado, você pode usá-lo para proteger seu domínio personalizado. Siga as etapas em Adicionar um domínio personalizado e selecione o certificado importado do Key Vault.

Girar certificados

Quando você gira seu certificado no Key Vault, os Aplicativos de Contêiner do Azure atualizam automaticamente o certificado em seu ambiente. Pode levar até 12 horas para que o novo certificado seja aplicado.

Relacionados

Certificados nos Aplicativos de Contêiner do Azure