Domínios no Azure Front Door
Um domínio representa um nome de domínio personalizado que o Azure Front Door usa para receber tráfego do aplicativo. O Azure Front Door dá suporte à adição de três tipos de nomes de domínio:
- Subdomínios são o tipo mais comum de nome de domínio personalizado. Um exemplo de subdomínio é
myapplication.contoso.com. - Domínios apex não contêm um subdomínio. Um exemplo de domínio apex é
contoso.com. Para obter mais informações sobre o uso de domínios apex com o Azure Front Door, consulte Domínios apex. - Domínios curinga permitem que o tráfego seja recebido para qualquer subdomínio. Um exemplo de domínio curinga é
*.contoso.com. Para obter mais informações sobre o uso de domínios curinga com o Azure Front Door, consulte Domínios curinga.
Os domínios são adicionados ao seu perfil do Azure Front Door. Você poderá usar um domínio em várias rotas em um ponto de extremidade se usar caminhos diferentes em cada rota.
Para saber como adicionar um domínio personalizado ao seu perfil do Azure Front Door, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.
Configuração de DNS
Quando adiciona um domínio ao seu perfil do Azure Front Door, você configura dois registros no servidor DNS:
- Um registro TXT DNS, que é necessário para validar a propriedade do nome de domínio. Para saber mais sobre os registros TXT DNS, consulte Validação de domínio.
- Um registro CNAME DNS, que controla o fluxo do tráfego da Internet para o Azure Front Door.
Dica
Você pode adicionar um nome de domínio ao perfil do Azure Front Door antes de fazer alterações no DNS. Essa abordagem pode ser útil quando você precisa definir a configuração do Azure Front Door em conjunto ou quando tem uma equipe separada que altera seus registros DNS.
Você também pode adicionar o registro TXT DNS para validar a propriedade do domínio antes de adicionar o registro CNAME para controlar o fluxo do tráfego. Essa abordagem pode ser útil para evitar tempo de inatividade da migração se você já tem um aplicativo em produção.
Validação do domínio
Todos os domínios adicionados ao Azure Front Door precisam ser validados. A validação ajuda a proteger você contra configurações incorretas acidentais e também ajuda a proteger outras pessoas contra falsificação de domínio. Em algumas situações, os domínios podem ser pré-validados por outro serviço do Azure. Caso contrário, você precisará seguir o processo de validação de domínio do Azure Front Door para provar a propriedade do nome de domínio.
Domínios pré-validados do Azure são domínios que foram validados por outro serviço do Azure com suporte. Caso integre e valide um domínio para outro serviço do Azure e configure o Azure Front Door posteriormente, poderá trabalhar com um domínio pré-validado. Você não precisará validar o domínio por meio do Azure Front Door ao usar esse tipo de domínio.
Observação
Atualmente, o Azure Front Door aceita apenas domínios pré-validados que foram configurados com os Aplicativos Web Estáticos do Azure.
Domínios não validados pelo Azure são domínios que não são validados por nenhum serviço do Azure com suporte. Esse tipo de domínio pode ser hospedado com qualquer serviço DNS, incluindo o DNS do Azure, e requer a validação da propriedade do domínio pelo Azure Front Door.
Validação de registro TXT
Para validar um domínio, você precisa criar um registro TXT DNS. O nome do registro TXT precisa ser no formato _dnsauth.{subdomain}. O Azure Front Door fornece um valor exclusivo para o registro TXT quando você começa a adicionar o domínio ao Azure Front Door.
Por exemplo, digamos que você queira usar o subdomínio personalizado myapplication.contoso.com com o Azure Front Door. Primeiro, você deve adicionar o domínio ao seu perfil do Azure Front Door e tomar nota do valor do registro TXT que precisa usar. Em seguida, configure um registro DNS com as seguintes propriedades:
| Propriedade | Valor |
|---|---|
| Nome do registro | _dnsauth.myapplication |
| Valor do registro | usar o valor fornecido pelo Azure Front Door |
| TTL (vida útil) | 1 hora |
Após o domínio ser validado com êxito, você poderá excluir com segurança o registro TXT do servidor DNS.
Para saber mais sobre como adicionar um registro TXT DNS a um domínio personalizado, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.
Estados de validação de domínio
A tabela a seguir lista os estados de validação que um domínio pode mostrar.
| Estado de validação de domínio | Descrição e ações |
|---|---|
| Enviando | O domínio personalizado está sendo criado. Aguarde até que o recurso de domínio esteja pronto. |
| Pendente | O valor do registro TXT DNS foi gerado e o Azure Front Door está pronto para adicioná-lo. Adicione o registro TXT do DNS ao provedor DNS e aguarde a conclusão da validação. Se o status permanecer Pendente mesmo após o registro TXT ter sido atualizado com o provedor DNS, selecione Regenerar para atualizar o registro TXT e adicione o registro TXT ao provedor DNS novamente. |
| Reavaliação pendente | O certificado gerenciado está a menos de 45 dias da expiração. Se você tiver um registro CNAME apontando para o ponto de extremidade do Azure Front Door, nenhuma ação será necessária para a renovação do certificado. Se o domínio personalizado for apontado para outro registro CNAME, selecione o status Nova validação pendente e selecione Regenerar na página Validar o domínio personalizado. Por fim, selecione Adicionar se você estiver usando o DNS do Azure ou adicione manualmente o registro TXT com o gerenciamento DNS do seu próprio provedor DNS. |
| Atualização do token de validação | Um domínio vai para o estado Atualizando Token de Validação por um breve período após clicar no botão Regenerar. Depois de emitir um novo valor de registro TXT, o estado muda para Pendente. Nenhuma ação é necessária. |
| Aprovado | O domínio foi validado com êxito e o Azure Front Door pode aceitar o tráfego que usa esse domínio. Nenhuma ação é necessária. |
| Rejeitado | O provedor/autoridade de certificação rejeitou a emissão do certificado gerenciado. Por exemplo, o nome de domínio pode ser inválido. Selecione o link Rejeitado e, em seguida, selecione Regenerar na página Validar o domínio personalizado, conforme mostrado nas capturas de tela abaixo desta tabela. Em seguida, selecione Adicionar para adicionar o registro TXT no provedor DNS. |
| Tempo limite | O registro TXT não foi adicionado ao provedor DNS dentro de sete dias ou um registro TXT DNS inválido foi adicionado. Selecione o link Tempo limite e, em seguida, selecione Regenerar na página Validar o domínio personalizado. Em seguida, selecione Adicionar para adicionar um novo registro TXT ao provedor DNS. Não deixe de usar o valor atualizado. |
| Erro interno | Ocorreu um erro desconhecido. Tente novamente a validação selecionando o botão Atualizar ou Regenerar. Se você ainda estiver enfrentando problemas, envie uma solicitação de suporte para Suporte do Azure. |
Observação
- O TTL padrão para registros TXT é de uma hora. Quando você precisar regenerar o registro TXT para revalidação, preste atenção à TTL do registro TXT anterior. Se ele não expirar, a validação falhará até que o registro TXT anterior expire.
- Se o botão Regenerar não funcionar, exclua e recrie o domínio.
- Se o estado do domínio não estiver conforme o esperado, selecione o botão Atualizar.
HTTPS para domínios personalizados
Usando o protocolo HTTPS no domínio personalizado, você garante que dados confidenciais sejam entregues com segurança com criptografia TLS/SSL quando eles são enviados pela Internet. Quando um cliente, como um navegador da Web, é conectado a um site usando HTTPS, o cliente valida o certificado de segurança do site e garante que ele tenha sido emitido por uma autoridade de certificação legítima. Esse processo oferece segurança e protege seus aplicativos Web contra ataques.
O Azure Front Door dá suporte ao uso de HTTPS com seus domínios e descarrega o gerenciamento do certificado TLS (segurança de camada de transporte) de seus servidores de origem. Quando usa domínios personalizados, você pode usar certificados TLS gerenciados pelo Azure (recomendado) ou pode comprar e usar seus certificados TLS.
Para saber mais sobre como o Azure Front Door funciona com TLS, consulte TLS de ponta a ponta com o Azure Front Door.
Certificados TLS gerenciados pelo Azure Front Door
O Azure Front Door pode gerenciar automaticamente certificados TLS para subdomínios e domínios apex. Quando usa certificados gerenciados, você não precisa criar chaves nem solicitações de assinatura de certificado e não precisa carregar, armazenar nem instalar os certificados. Além disso, o Azure Front Door pode girar (renovar) automaticamente certificados gerenciados sem nenhuma intervenção humana. Esse processo evita o tempo de inatividade causado por falhas na renovação dos certificados TLS a tempo.
O processo de gerar, emitir e instalar um certificado TLS gerenciado pode levar de vários minutos a uma hora para ser concluído e, ocasionalmente, pode levar mais tempo.
Observação
Os certificados gerenciados do Azure Front Door (Standard e Premium) são girados automaticamente se o registro CNAME de domínio aponta diretamente para um ponto de extremidade do Front Door ou aponta indiretamente para um ponto de extremidade do Gerenciador de Tráfego. Caso contrário, você precisará validar novamente a propriedade do domínio para girar os certificados.
Tipos de domínio
A seguinte tabela resume os recursos disponíveis com certificados TLS gerenciados quando você usa diferentes tipos de domínios:
| Consideração | Subdomínio | Domínio Apex | Domínio de curinga |
|---|---|---|---|
| Certificados TLS gerenciados disponíveis | Sim | Sim | No |
| Os certificados TLS gerenciados são girados automaticamente | Sim | Veja abaixo | No |
Quando você usa certificados TLS gerenciados pelo Azure Front Door com domínios apex, a rotação automatizada de certificados pode exigir a revalidação de sua propriedade do domínio. Para saber mais, confira Domínios apex no Azure Front Door.
Emissão de certificado gerenciado
Os certificados do Azure Front Door são emitidos por nossa autoridade de certificação parceira, a DigiCert. Para alguns domínios, é necessário permitir explicitamente a DigiCert como um emissor do certificado criando um registro de domínio CAA com o valor 0 issue digicert.com.
Como o Azure gerencia totalmente os certificados em seu nome, qualquer aspecto do certificado gerenciado, como o emissor raiz, pode ser alterado a qualquer momento. Essas alterações estão fora do seu controle. Evite dependências rígidas em qualquer aspecto de um certificado gerenciado, como verificar a impressão digital dele ou realizar fixações nele ou em qualquer parte da hierarquia associada. Se for necessário fixar certificados, use um certificado TLS gerenciado pelo cliente, conforme explicado na próxima seção.
Certificados TLS gerenciados pelo cliente
Às vezes, pode ser necessário fornecer seus certificados TLS. Cenários comuns para fornecer seus certificados incluem:
- Sua organização exige que você use certificados emitidos por uma autoridade de certificação específica.
- Você quer que o Azure Key Vault emita o certificado usando uma autoridade de certificação de parceiro.
- Você precisa usar um certificado TLS que um aplicativo cliente reconhece.
- Você precisa usar o mesmo certificado TLS em vários sistemas.
- Você usa domínios curinga. O Azure Front Door não fornece certificados gerenciados para domínios curinga.
Observação
- A partir de setembro de 2023, o Azure Front Door oferecerá suporte à validação de propriedade de domínio para BYOC (Traga Seu Próprio Certificado). O Front Door aprova a propriedade do domínio se o CN (Nome do Certificado) ou o SAN (Nome Alternativo da Entidade) do certificado corresponder ao domínio personalizado. Caso selecione o certificado gerenciado do Azure, a validação de domínio usará o registro TXT do DNS.
- Para domínios personalizados criados antes da validação baseada em BYOC e o status de validação do domínio não for Aprovado, você precisa disparar a aprovação automática da validação de propriedade de domínio selecionando o Estado de Validação e clicando no botão Revalidar no portal. Caso use a ferramenta de linha de comando, poderá disparar a validação de domínio enviando uma solicitação de PATCH vazia para a API de domínio.
Requisitos de certificado
Para usar seu certificado com o Azure Front Door, ele precisa atender aos seguintes requisitos:
- Cadeia de certificados completa: ao criar seu certificado TLS/SSL, você precisa criar uma cadeia de certificados completa com uma autoridade de certificação (CA) permitida que faça parte da Lista de CA confiáveis da Microsoft. Se você usar uma CA não permitida, sua solicitação será rejeitada. A AC raiz deve fazer parte da Lista de ACs confiáveis da Microsoft. Se um certificado sem cadeia completa é apresentado, não há garantia de que as solicitações que envolvem esse certificado funcionem conforme o esperado.
- Nome comum: o nome comum (CN) do certificado deve corresponder ao domínio configurado no Azure Front Door.
- Algoritmo: o Azure Front Door não suporta certificados com algoritmos de criptografia de curva elíptica (EC).
- Tipo de arquivo (conteúdo): seu certificado deve ser carregado para seu cofre de chaves a partir de um arquivo PFX, que usa o tipo de conteúdo
application/x-pkcs12.
Importar um certificado para o Azure Key Vault
Certificados TLS comuns precisam ser importados para o Azure Key Vault antes que você possa usá-los com o Azure Front Door. Para saber como importar um certificado para um cofre de chaves, consulte Tutorial: Importar um certificado no Azure Key Vault.
O cofre de chaves precisa estar na mesma assinatura do Azure que seu perfil do Azure Front Door.
Aviso
O Azure Front Door dá suporte apenas a cofres de chaves na mesma assinatura que o perfil do Front Door. Se você escolher um cofre de chaves em uma assinatura diferente do Azure Front Door, ocorrerá uma falha.
Os certificados precisam ser carregados como um objeto de certificado, e não de segredo.
Conceder acesso ao Azure Front Door
O Azure Front Door precisa acessar seu cofre de chaves para ler o certificado. Você precisa configurar o firewall de rede e o controle de acesso do cofre.
Se o cofre de chaves estiver com restrições habilitadas para o acesso à rede, você deverá configurar o cofre de chaves para permitir que serviços confiáveis da Microsoft ignorem o firewall.
Há duas maneiras de configurar o controle de acesso no cofre de chaves:
- O Azure Front Door pode usar uma identidade gerenciada para acessar o cofre de chaves. Você pode usar essa abordagem quando o cofre de chaves usa a autenticação do Microsoft Entra. Para obter mais informações, consulte Usar identidades gerenciadas com o Azure Front Door Standard/Premium.
- Como alternativa, você pode conceder à entidade de serviço do Azure Front Door acesso ao cofre de chaves. Você pode usar essa abordagem ao usar políticas de acesso do cofre.
Adicionar certificado personalizado ao Azure Front Door
Depois de importar o certificado para um cofre de chaves, crie um recurso secreto do Azure Front Door, que é uma referência ao certificado que você adicionou ao cofre de chaves.
Em seguida, configure o domínio para usar o segredo do Azure Front Door para o certificado TLS.
Para ver um passo a passo guiado dessas etapas, consulte Configurar o HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure.
Alternar entre os tipos de certificado
É possível alterar um domínio entre o uso de um certificado gerenciado pelo Azure Front Door e um certificado gerenciado pelo usuário.
- Poderá levar até uma hora para que o novo certificado seja implantado quando você alternar entre os tipos de certificado.
- Se o estado do domínio for Aprovado, alternar o tipo de certificado entre gerenciado pelo usuário e certificado gerenciado não causará tempo de inatividade.
- Ao alternar para um certificado gerenciado, o Azure Front Door continua usando o certificado anterior até que a propriedade do domínio seja validada novamente e o estado de domínio se torne Aprovado.
- Caso alterne de BYOC para certificado gerenciado, uma nova validação de domínio será necessária. Caso alterne de certificado gerenciado para BYOC, não será necessário validar novamente o domínio.
Renovação de certificado
Renovar certificados gerenciados pelo Azure Front Door
Para a maioria dos domínios personalizados, o Azure Front Door renova (gira) automaticamente os certificados gerenciados quando eles estão perto da expiração e você não precisa fazer nada.
No entanto, o Azure Front Door não girará automaticamente os certificados nos seguintes cenários:
- O registro CNAME do domínio personalizado está apontando para um registro DNS diferente do domínio do ponto de extremidade do Azure Front Door.
- O domínio personalizado aponta para o ponto de extremidade do Azure Front Door por meio de uma cadeia. Por exemplo, se o registro DNS apontar para o Gerenciador de Tráfego do Azure, que por sua vez é resolvido para o Azure Front Door, a cadeia CNAME será CNAME
contoso.comno CNAMEcontoso.trafficmanager.netemcontoso.z01.azurefd.net. O Azure Front Door não pode verificar a cadeia inteira. - O domínio personalizado usa um registro A. Recomendamos que você sempre use um registro CNAME para apontar para o Azure Front Door.
- O domínio personalizado é um domínio apex e usa nivelamento CNAME.
Caso um dos cenários acima se aplicar ao seu domínio personalizado, 45 dias antes do certificado gerenciado expirar, o estado de validação do domínio se tornará Revalidação Pendente. O estado Revalidação Pendente indica que você precisa criar um registro TXT DNS para revalidar a propriedade do domínio.
Observação
Registros TXT DNS expiram após sete dias. Se você adicionou um registro TXT de validação de domínio ao servidor DNS, precisará substituí-lo por um novo registro TXT. Use o novo valor, caso contrário, o processo de validação do domínio falhará.
Se o domínio não puder ser validado, o estado de validação dele será Rejeitado. Esse estado indica que a autoridade de certificação rejeitou a solicitação para re-emitir um certificado gerenciado.
Para obter mais informações sobre os estados de validação de domínio, consulte Estados de validação de domínio.
Renovar certificados gerenciados pelo Azure para domínios pré-validados por outros serviços do Azure
Os certificados gerenciados pelo Azure são girados automaticamente pelo serviço do Azure que valida o domínio.
Renovar certificados TLS gerenciados pelo cliente
Quando você atualiza o certificado no cofre de chaves, o Azure Front Door pode detectar e usar automaticamente o certificado atualizado. Para que essa funcionalidade funcione, defina a versão do segredo como "Mais recente" ao configurar seu certificado no Azure Front Door.
Se você selecionar uma versão específica do certificado, precisará selecionar novamente a nova versão manualmente ao atualizar o certificado.
Leva até 72 horas para que a nova versão do certificado/segredo seja implantada automaticamente.
Se você quiser alterar a versão do segredo de 'Mais recente' para uma versão especificada ou vice-versa, adicione um novo certificado.
Políticas de segurança
Você pode usar o WAF (firewall do aplicativo Web) do Azure Front Door para verificar solicitações ao aplicativo em busca de ameaças e para impor outros requisitos de segurança.
Para usar o WAF com um domínio personalizado, use um recurso de política de segurança do Azure Front Door. Uma política de segurança associa um domínio a uma política de WAF. Opcionalmente, você pode criar várias políticas de segurança para que possa usar políticas de WAF diferentes com domínios diferentes.
Próximas etapas
- Para saber como adicionar um domínio personalizado ao seu perfil do Azure Front Door, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.
- Saiba mais sobre o TLS de ponta a ponta com o Azure Front Door.