Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ Front Door (clássico)
Important
- A partir de 15 de agosto de 2025, o Azure Front Door (clássico) não dará mais suporte à integração de novos domínios. Migre para o AFD Standard e Premium para criar novos domínios ou perfis e evitar interrupções de serviço. Saiba mais
- A partir de 15 de agosto de 2025, o Azure Front Door (clássico) não oferecerá mais suporte a certificados gerenciados. Para evitar a interrupção do serviço, alterne para ByOC (Traga Seu Próprio Certificado) ou migre para o AFD Standard e Premium até 15 de agosto de 2025. Os certificados gerenciados existentes serão renovados automaticamente antes de 15 de agosto de 2025 e permanecerão válidos até 14 de abril de 2026. Saiba mais
- O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar a interrupção do serviço, migre para o AFD Standard ou Premium. Saiba mais.
Este artigo explica como habilitar HTTPS para um domínio personalizado associado ao front door (clássico). O uso de HTTPS em seu domínio personalizado (por exemplo, https://www.contoso.com) garante a transmissão segura de dados por meio da criptografia TLS/SSL. Quando um navegador da Web se conecta a um site usando HTTPS, ele valida o certificado de segurança do site e verifica sua legitimidade, fornecendo segurança e protegendo seus aplicativos Web contra ataques mal-intencionados.
O Azure Front Door dá suporte a HTTPS por padrão em seu nome de host padrão (por exemplo, https://contoso.azurefd.net). No entanto, você precisa habilitar HTTPS separadamente para domínios personalizados como www.contoso.com.
Os principais atributos do recurso HTTPS personalizado incluem:
- Sem custo adicional: sem custos para aquisição de certificado, renovação ou tráfego HTTPS.
- Habilitação simples: provisionamento de uma seleção por meio do portal do Azure, da API REST ou de outras ferramentas de desenvolvedor.
- Gerenciamento de certificado completo: aquisição e renovação automáticas de certificado, eliminando o risco de interrupção do serviço devido a certificados expirados.
Neste tutorial, você aprenderá a:
- Habilite HTTPS em seu domínio personalizado.
- Use um certificado gerenciado por AFD.
- Use seu próprio certificado TLS/SSL.
- Valide o domínio.
- Desabilite HTTPS em seu domínio personalizado.
Prerequisites
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Um Azure Front Door com pelo menos um domínio personalizado integrado. Para saber mais, consulte Tutorial: Adicionar um domínio personalizado ao seu Front Door.
O Azure Cloud Shell ou o Azure PowerShell para registrar a entidade de serviço do Front Door no Microsoft Entra ID ao usar seu próprio certificado.
As etapas deste artigo executam os cmdlets do Azure PowerShell interativamente no Azure Cloud Shell. Para executar os cmdlets no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell no portal do Azure.
Você também pode instalar o Azure PowerShell localmente para executar os cmdlets. Se você executar o PowerShell localmente, faça login no Azure usando o cmdlet Connect-AzAccount.
Certificados TLS/SSL
Para habilitar o HTTPS em um domínio personalizado do Front Door (clássico), você precisa de um certificado TLS/SSL. Você pode usar um certificado gerenciado pelo Azure Front Door ou seu próprio certificado.
Opção 1 (padrão): usar um certificado gerenciado pelo Front Door
O uso de um certificado gerenciado pelo Azure Front Door Classic permite habilitar HTTPS com algumas alterações de configuração. O Azure Front Door Classic manipula todas as tarefas de gerenciamento de certificados, incluindo aquisição e renovação. Isso tem suporte para domínios personalizados com CNAME diretamente para o endpoint clássico do Azure Front Door.
Important
- A partir de 8 de maio de 2025, o DigiCert não dá mais suporte ao método de validação de domínio baseado em WHOIS. Se o seu domínio usar um mapeamento CNAME indireto para o ponto de extremidade clássico do Azure Front Door, você deverá usar o recurso BYOC (Traga Seu Próprio Certificado).
- Devido a alterações na validação de domínio baseada em WHOIS, os certificados gerenciados emitidos usando a validação de domínio baseada em WHOIS não poderão ser atualizados automaticamente até que você tenha um CNAME direto apontando para o Azure Front Door Classic.
- Os certificados gerenciados não estão disponíveis para domínios raiz ou apex (por exemplo,
contoso.com). Se o seu domínio personalizado do Azure Front Door Classic for um domínio raiz ou ápice, você deverá usar o recurso Traga seu próprio certificado (BYOC). - A renovação automática de certificado gerenciado exige que seu domínio personalizado seja mapeado diretamente para o endpoint do Azure Front Door Classic usando um registro CNAME.
Para habilitar o HTTPS em um domínio personalizado:
No portal do Azure, acesse o perfil do Front Door.
Selecione o domínio personalizado para o qual você deseja habilitar HTTPS na lista de hosts de front-end.
Em HTTPS de domínio personalizado, selecione Habilitado e escolha Front Door gerenciado como a origem do certificado.
Clique em Salvar.
Prossiga para Validar o domínio.
Note
- O limite de 64 caracteres do DigiCert é imposto para certificados gerenciados pelo Azure Front Door. A validação falhará se esse limite for excedido.
- Não há suporte para habilitar HTTPS por meio do certificado gerenciado do Front Door para domínios apex/raiz (por exemplo, contoso.com). Use seu próprio certificado para este cenário (consulte a opção 2).
Opção 2: usar o seu próprio certificado
Você pode usar seu próprio certificado por meio de uma integração com o Azure Key Vault. Verifique se o certificado é de uma Lista de Autoridade de Certificação Confiável da Microsoft e tem uma cadeia de certificados completa.
Prepare seu cofre de chaves e o certificado digital
- Crie uma conta do cofre de chaves na mesma assinatura do Azure que o Front Door.
- Configure o cofre de chaves para permitir que serviços confiáveis da Microsoft ignorem o firewall se as restrições de acesso à rede estiverem habilitadas.
- Use o modelo de permissão de política de acesso do Key Vault.
- Carregue seu certificado como um objeto de certificado, não um segredo.
Note
O Front Door não suporta certificados com algoritmos de criptografia de curva elíptica (EC). O certificado precisa ter uma cadeia de certificados completa com certificados de folha e intermediários, e a AC raiz precisa fazer parte da lista de ACs confiáveis da Microsoft.
Registrar o Azure Front Door
Registre a entidade de serviço do Azure Front Door no Microsoft Entra ID usando o Azure PowerShell ou a CLI do Azure.
Use o cmdlet New-AzADServicePrincipal para registrar a entidade de serviço do Front Door no Microsoft Entra ID.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Conceder acesso ao seu cofre de chaves para o Azure Front Door
Em sua conta do cofre de chaves, selecione Políticas de acesso.
Selecione Criar para criar uma política de acesso.
Em permissões secretas, selecione Obter.
Em permissões de certificado, selecione Obter.
Em Selecionar entidade de segurança, pesquise ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 e selecione Microsoft.Azure.Frontdoor. Selecione Próximo.
Selecione Avançar no Aplicativo.
Selecione Criar em Revisão + criar.
Note
Se o cofre de chaves tiver restrições de acesso à rede, permita que serviços confiáveis da Microsoft acessem seu cofre de chaves.
Selecionar o certificado para o Azure Front Door a implantar
Retorne ao seu Front Door no portal.
Selecione o domínio personalizado para o qual você deseja habilitar HTTPS.
Em Tipo de gerenciamento de certificado, selecione Usar meu próprio certificado.
Selecione um cofre de chaves, um segredo e a versão do segredo.
Note
Para habilitar a rotação automática de certificados, defina a versão secreta como 'Latest'. Se uma versão específica for selecionada, você deverá atualizá-la manualmente para rotação de certificado.
Warning
Verifique se a entidade de serviço tem permissão GET no Key Vault. Para ver o certificado na lista suspensa do portal, sua conta de usuário deve ter permissões LIST e GET no Key Vault.
Ao usar seu próprio certificado, a validação de domínio não é necessária. Avance para a Aguardar a propagação.
Validar o domínio
Se o registro CNAME ainda existir e não contiver o afdverify subdomínio, o DigiCert validará automaticamente a propriedade do seu domínio personalizado.
O registro CNAME deve estar no seguinte formato:
| Name | Tipo | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Para obter mais informações sobre os registros CNAME, consulte criar o registro de DNS CNAME.
Se o registro CNAME estiver no formato correto, o DigiCert verificará automaticamente seu nome de domínio personalizado e criará um certificado para o seu domínio. O certificado é válido por um ano e será renovado automaticamente antes de expirar. A validação automática geralmente demora algumas horas. Se o domínio não for validado em 24 horas, abra um tíquete de suporte.
Prossiga para Aguardar a propagação.
Note
Caso você tenha um registro de CAA (Autorização de Autoridade de Certificação) com o provedor DNS, ele deverá incluir o DigiCert como uma AC válida. Para obter mais informações, consulte Gerenciar registros CAA.
Aguardar a propagação
Após a validação do domínio, pode levar de 6 a 8 horas para que o recurso HTTPS de domínio personalizado seja ativado. Quando concluído, o status HTTPS personalizado no portal do Azure é definido como Habilitado.
Progresso da operação
A tabela a seguir mostra o progresso da operação ao habilitar HTTPS:
| Etapa de operação | Detalhes da subetapa da operação |
|---|---|
| 1. Solicitação de envio | Enviando solicitação |
| Sua solicitação HTTPS está sendo enviada. | |
| Sua solicitação HTTPS foi enviada com êxito. | |
| 2. Validação de domínio | O domínio será validado automaticamente se CNAME mapeado para o host de front-end .azurefd.net padrão. |
| Sua propriedade de domínio foi validada com êxito. | |
| A solicitação de validação de propriedade do domínio expirou (o cliente provavelmente não respondeu dentro de seis dias). O HTTPS não está habilitado em seu domínio. * | |
| Solicitação de validação de propriedade de domínio rejeitada pelo cliente. O HTTPS não está habilitado em seu domínio. * | |
| 3. Provisionamento de certificado | A autoridade de certificação está emitindo o certificado necessário para habilitar HTTPS em seu domínio. |
| O certificado foi emitido e está sendo implantado para o Front Door. Esse processo pode levar de vários minutos a uma hora. | |
| O certificado foi implantado com êxito para o Front Door. | |
| 4. Concluir | O HTTPS foi habilitado com êxito em seu domínio. |
* Essa mensagem será exibida somente se ocorrer um erro.
Se ocorrer um erro antes que a solicitação seja enviada, a seguinte mensagem de erro será exibida:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Perguntas frequentes
Quem é o provedor de certificado e que tipo de certificado é usado?
Um certificado dedicado/único, fornecido pelo DigiCert, é usado para seu domínio personalizado.
Você usa TLS/SSL de SNI ou baseado em IP?
O Azure Front Door usa TLS/SSL de SNI.
E se eu não receber o email de verificação de domínio do DigiCert?
Se você tiver uma entrada CNAME para seu domínio personalizado que aponte diretamente para o nome do host do ponto de extremidade e não estiver usando o nome do subdomínio afdverify, você não receberá um email de verificação de domínio. A validação ocorre automaticamente. Caso contrário, se você não tiver uma entrada CNAME e não receber um email dentro de 24 horas, entre em contato com o suporte da Microsoft.
Usar um certificado SAN é menos seguro do que um certificado dedicado?
Um certificado SAN segue os mesmos padrões de criptografia e segurança de um certificado dedicado. Todos os certificados TLS/SSL emitidos usam SHA-256 para uma maior segurança do servidor.
É necessário ter um registro de Autorização de Autoridade de Certificação em meu provedor DNS?
Não. No momento, nenhum registro de Autorização de Autoridade de Certificação é necessário. No entanto, caso você tenha um, ele deverá incluir o DigiCert como uma AC válida.
Limpar os recursos
Para desabilitar HTTPS em seu domínio personalizado:
Desabilitar o recurso HTTPS
No portal do Azure, acesse a configuração do Azure Front Door.
Selecione o domínio personalizado para o qual você deseja desabilitar HTTPS.
Selecione Desabilitado e selecione Salvar.
Aguardar a propagação
Depois de desabilitar o recurso HTTPS de domínio personalizado, pode levar de 6 a 8 horas para entrar em vigor. Quando concluído, o status HTTPS personalizado no portal do Azure é definido como Desabilitado.
Progresso da operação
A tabela a seguir mostra o progresso da operação ao desabilitar HTTPS:
| Progresso da operação | Detalhes da operação |
|---|---|
| 1. Solicitação de envio | Enviando a solicitação |
| 2. Desprovisionamento de certificado | Excluindo o certificado |
| 3. Concluir | Certificado excluído |