Configurar o HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure

O Azure Front Door permite a entrega segura do protocolo TLS para seus aplicativos por padrão quando você usa seus próprios domínios personalizados. Para saber mais sobre domínios personalizados, incluindo como os domínios personalizados funcionam com HTTPS, veja Domínios no Azure Front Door.

O Azure Front Door dá suporte a certificados gerenciados pelo Azure e certificados gerenciados pelo cliente. Neste artigo, você aprenderá a configurar os tipos de certificados para seus domínios personalizados do Azure Front Door.

Pré-requisitos

• Antes de configurar o HTTPS para seu domínio personalizado, você deve criar um perfil do Azure Front Door. Para obter mais informações, confira Criar um perfil do Azure Front Door.
• Se você ainda não tiver um domínio personalizado, deverá primeiro adquirir um com um provedor de domínio. Por exemplo, confira Comprar um nome de domínio personalizado.
• Se você estiver usando o Azure para hospedar seus domínios DNS, delegue o DNS (Sistema de Nomes de Domínio) do provedor de domínio a um DNS do Azure. Confira Delegar um domínio ao DNS do Azurepara saber mais. Caso contrário, se você estiver usando um provedor de domínio para processar seu domínio DNS, precisará validar manualmente o domínio inserindo os registros TXT do DNS solicitados.

Certificados gerenciados pelo Azure Front Door para domínios pré-validados fora do Azure

Se você tiver seu próprio domínio e ele ainda não estiver associado a outro serviço do Azure que faça a pré-validação de domínios para o Azure Front Door, siga as etapas abaixo:

1. Em Configurações, selecione Domínios para o perfil do Azure Front Door. Depois clique em +Adicionar para adicionar um novo domínio.

   

2. No painel Adicionar um domínio, insira ou selecione as informações a seguir. Em seguida, selecione Adicionar para integrar o domínio personalizado.

   

   Configuração	Valor
   Tipo de domínio	Selecione Domínio pré-validado fora do Azure.
   Gerenciamento de DNS	Selecione DNS gerenciado pelo Azure (Recomendado).
   Zona DNS	Selecione a zona DNS do Azure que hospeda o domínio personalizado.
   Domínio personalizado	Selecione um domínio existente ou adicione um novo domínio.
   HTTPS	Selecione AFD gerenciado (Recomendado).

3. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar o domínio personalizado.

4. Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, o Azure Front Door gera um certificado e o implanta. Esse processo pode levar de vários minutos a uma hora para ser concluído.

Certificados gerenciados do Azure para domínios pré-validados pelo Azure

Se você tiver seu próprio domínio e ele estiver associado a outro serviço do Azure que faça a pré-validação de domínios para o Azure Front Door, siga as etapas abaixo:

1. Em Configurações, selecione Domínios para o perfil do Azure Front Door. Depois clique em +Adicionar para adicionar um novo domínio.

   

2. No painel Adicionar um domínio, insira ou selecione as informações a seguir. Em seguida, selecione Adicionar para integrar o domínio personalizado.

   

   Configuração	Valor
   Tipo de domínio	Selecione Domínio pré-validado pelo Azure.
   Domínios personalizados pré-validados	Selecione um nome de domínio personalizado na lista suspensa dos serviços do Azure.
   HTTPS	Selecione Gerenciado pelo Azure.

3. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar o domínio personalizado.

4. Depois que o domínio personalizado for associado com êxito a um ponto de extremidade, um certificado gerenciado pelo Azure Front Door será implantado no Azure Front Door. Esse processo pode levar de vários minutos a uma hora para ser concluído.

Usar o seu próprio certificado

Você também pode optar por usar seu próprio certificado TLS. Seu certificado TLS deve atender a determinados requisitos. Para obter mais informações, consulte Requisitos de certificado.

Preparar o cofre de chaves e o certificado digital

Crie uma instância separada do Azure Key Vault na qual você armazena os certificados TLS do Azure Front Door. Para obter mais informações, confira Criar uma instância do Key Vault. Se você já tiver um certificado, poderá carregá-lo na nova instância do Key Vault. Caso contrário, você poderá criar um novo certificado por meio do Key Vault de um dos parceiros da AC (autoridade de certificação).

Aviso

Atualmente, o Azure Front Door dá suporte apenas ao Key Vault na mesma assinatura. Selecionar o Key Vault em uma assinatura diferente resulta em uma falha.

Outros pontos a serem observados sobre certificados:

• O Azure Front Door não dá suporte a certificados com algoritmos de criptografia de curva elíptica. Além disso, o certificado deve ter uma cadeia de certificado completa com certificados de folha e intermediários. A AC raiz também deve fazer parte da Lista de ACs confiáveis da Microsoft.
• É recomendável usar a identidade gerenciada para permitir o acesso aos certificados de Key Vault, pois o registro de aplicativo será desativado no futuro.

Registrar o Azure Front Door

Registre a entidade de serviço do Azure Front Door como um aplicativo no Microsoft Entra ID usando o Azure PowerShell ou a CLI do Azure.

Observação

• Essa ação exige que você tenha permissões de Administrador Global no Microsoft Entra ID. O registro só precisa ser executado uma vez por locatário do Microsoft Entra.
• As IDs do aplicativo de 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e d4631ece-daab-479b-be77-ccb713491fc0 são predefinidas pelo Azure para as camadas Standard e Premium do Azure Front Door em todos os locatários e assinaturas do Azure. O Azure Front Door (clássico) tem uma ID de Aplicativo diferente.

PowerShell do Azure

1. Se for necessário, instale o Azure PowerShell no PowerShell em seu computador local.

2. Use o PowerShell para executar o seguinte comando:

   Nuvem pública do Azure:

   New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
   

   Nuvem do Azure Governamental:

    New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
   

CLI do Azure

1. Se necessário, instale a CLI do Azure no computador local.

2. Use a CLI do Azure para executar o seguinte comando:

   Nuvem pública do Azure:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

   Nuvem do Azure Governamental:

    az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
   

Conceder acesso ao seu cofre de chaves para o Azure Front Door

Conceda permissão ao Azure Front Door para acessar os certificados na nova conta do Key Vault criada especificamente para o Azure Front Door. Você só precisa conceder a permissão GET ao certificado e ao segredo para que o Azure Front Door recupere o certificado.

1. Na sua conta do Key Vault, selecione Políticas de acesso.

2. Selecione Adicionar novo ou Criar para criar uma nova política de acesso.

3. Em Permissões do segredo, selecione Obter para permitir que o Azure Front Door recupere o certificado.

4. Em Permissões do certificado, selecione Obter para permitir que o Azure Front Door recupere o certificado.

5. Em Selecionar entidade de segurança, pesquise por 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e escolha Microsoft.AzureFrontDoor-Cdn. Selecione Avançar.

6. Em Aplicativo, selecione Avançar.

7. Em Examinar + criar, clique em Criar.

Observação

Se o cofre de chaves estiver protegido com restrições de acesso à rede, verifique se os serviços confiáveis da Microsoft têm permissão para acessar seu cofre de chaves.

Agora o Azure Front Door pode acessar este cofre de chaves e os certificados armazenados nele.

Selecionar o certificado para o Azure Front Door a implantar

1. Retorne para o Azure Front Door Standard/Premium no portal.

2. Em Configurações, vá para Segredos e selecione + Adicionar certificado.

   

3. No painel Adicionar certificado, marque a caixa de seleção do certificado que você deseja adicionar ao Azure Front Door Standard/Premium.

4. Ao selecionar um certificado, você deve selecionar a versão do certificado. Se você selecionar Mais Recente, o Azure Front Door será atualizado automaticamente sempre que o certificado for girado (renovado). Você também pode selecionar uma versão de certificado específica se preferir gerenciar a rotação de certificados por conta própria.

   Deixe a seleção de versão como Mais recente e selecione Adicionar.

   

5. Depois que o certificado é provisionado com êxito, você pode usá-lo quando adicionar um novo domínio personalizado.

   

6. Em Configurações, vá para Domínios e selecione + Adicionar para adicionar um novo domínio personalizado. No painel Adicionar um domínio, para HTTPS, selecione BYOC (Traga Seu Próprio Certificado). Para Segredo, selecione o certificado que você deseja usar na lista suspensa.

   Observação

   O certificado selecionado deve ter um nome comum igual ao domínio personalizado que está sendo adicionado.

   

7. Siga as etapas na tela para validar o certificado. Em seguida, associe o domínio personalizado recém-criado a um ponto de extremidade, conforme descrito em Configurar um domínio personalizado.

Alternar entre os tipos de certificado

É possível alterar um domínio entre o uso de um certificado gerenciado pelo Azure Front Door e um certificado gerenciado pelo cliente. Para obter mais informações, veja Domínios no Azure Front Door.

1. Selecione o estado do certificado para abrir o painel Detalhes do certificado.

   

2. No painel Detalhes do certificado, você pode alterar entre Gerenciado pelo Azure Front Door e BYOC (Traga Seu Próprio Certificado).

   Se você selecionar BYOC (Traga Seu Próprio Certificado), siga as etapas anteriores para selecionar um certificado.

3. Selecione Atualizar para alterar o certificado associado a um domínio.

   

Próximas etapas

• Saiba mais sobre o armazenamento em cache do Azure Front Door Standard/Premium.
• Entender os domínios personalizados no Azure Front Door.
• Saiba mais sobre o TLS de ponta a ponta com o Azure Front Door.