Criar e gerenciar um certificado do Serviço de Aplicativo para seu aplicativo Web
Este artigo mostra como criar um certificado do Serviço de Aplicativo e executar tarefas de gerenciamento, como renovar, sincronizar e excluir certificados. Depois de ter um certificado do Serviço de Aplicativo, você poderá importá-lo para um aplicativo do Serviço de Aplicativo. Um certificado do Serviço de Aplicativo é um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificados e a flexibilidade das opções de renovação e exportação.
Se você comprar um certificado do Serviço de Aplicativo do Azure, o Azure gerenciará as seguintes tarefas:
- Lida com o processo de compra da GoDaddy.
- Executa a verificação de domínio do certificado.
- Mantém o certificado no Cofre da Chave do Azure.
- Gerencia a renovação de certificados.
- Sincroniza o certificado automaticamente com as cópias importadas nos aplicativos do Serviço de Aplicativo.
Nota
Depois de carregar um certificado para um aplicativo, o certificado é armazenado em uma unidade de implantação vinculada ao grupo de recursos, região e combinação de sistema operacional do plano do Serviço de Aplicativo, chamado internamente de espaço web. Dessa forma, o certificado fica acessível a outros aplicativos no mesmo grupo de recursos e combinação de região. Os certificados carregados ou importados para o Serviço de Aplicativo são compartilhados com os Serviços de Aplicativo na mesma unidade de implantação.
Pré-requisitos
- Crie um aplicativo do Serviço de Aplicativo. O plano do Serviço de Aplicativo do aplicativo deve estar na camada Básico, Padrão, Premium ou Isolado. Consulte Dimensionar um aplicativo para atualizar a camada.
Nota
Atualmente, os certificados do Serviço de Aplicativo não são suportados nas nuvens nacionais do Azure.
Comprar e configurar um certificado do Serviço de Aplicativo
Compre o certificado
Vá para a página Criar certificado do Serviço de Aplicativo para iniciar a compra.
Nota
Os Certificados do Serviço de Aplicativo comprados no Azure são emitidos pela GoDaddy. Para alguns domínios, tem de permitir explicitamente a GoDaddy como emissor de certificados criando um registo de domínio CAA com o valor
0 issue godaddy.com
.Para configurar o certificado, use a tabela a seguir. Quando terminar, selecione Rever + Criar e, em seguida, selecione Criar.
Definição Descrição Subscrição A assinatura do Azure para associar ao certificado. Grupo de Recursos O grupo de recursos que conterá o certificado. Você pode criar um novo grupo de recursos ou selecionar o mesmo grupo de recursos que seu aplicativo do Serviço de Aplicativo. SKU Determina o tipo de certificado a ser criado, um certificado padrão ou um certificado curinga. Nome de host de domínio nu Especifique o domínio raiz. O certificado emitido fornece segurança para o domínio raiz e o www
subdomínio. No certificado emitido, o campo Nome Comum especifica o domínio raiz e o campo Nome Alternativo da Entidade especifica owww
domínio. Para fornecer segurança apenas para um subdomínio, especifique o nome de domínio totalmente qualificado para o subdomínio, por exemplo,mysubdomain.contoso.com
.Nome do certificado O nome amigável para seu certificado do Serviço de Aplicativo. Ativar renovação automática Selecione se deseja renovar automaticamente o certificado antes da expiração. Cada renovação prolonga a expiração do certificado por um ano. O custo é cobrado à sua subscrição. Quando a implantação estiver concluída, selecione Ir para recurso.
Armazenar o certificado no Cofre da Chave do Azure
O Cofre de Chaves é um serviço do Azure que ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços na nuvem. Para certificados do Serviço de Aplicativo, recomendamos que você use o Cofre da Chave. Depois de concluir o processo de compra do certificado, você deve concluir mais algumas etapas antes de começar a usar o certificado.
Na página Certificados do Serviço de Aplicativo, selecione o certificado. No menu de certificado, selecione Configuração de certificado>Etapa 1: Armazenar.
Na página Status do Cofre da Chave, selecione Selecionar do Cofre da Chave.
Se criar um novo cofre, configure-o com base na tabela seguinte e certifique-se de que utiliza a mesma subscrição e o mesmo grupo de recursos que a sua aplicação do Serviço de Aplicação.
Definição Descrição Grupo de recursos Recomendado: o mesmo grupo de recursos que o certificado do Serviço de Aplicativo. Nome do cofre da chave Um nome exclusivo que usa apenas caracteres alfanuméricos e traços. Região O mesmo local do seu aplicativo do Serviço de Aplicativo. Escalão de preço Para obter informações, consulte Detalhes de preços do Azure Key Vault. Dias para reter cofres excluídos O número de dias, após a exclusão, que os objetos permanecem recuperáveis. (Ver Visão geral de exclusão suave do Azure Key Vault.) Defina um valor entre 7 e 90. Proteção contra purga Habilitar essa opção força todos os objetos excluídos a permanecerem no estado de exclusão suave durante todo o período de retenção. Selecione Avançar e, em seguida, selecione Política de acesso ao Vault. Atualmente, os certificados do Serviço de Aplicativo oferecem suporte apenas às políticas de acesso ao Cofre da Chave, não ao modelo RBAC.
Selecione Rever + criar e, em seguida, selecione Criar.
Depois que o cofre de chaves for criado, não selecione Ir para recurso. Aguarde até que a página Selecionar cofre de chaves do Cofre de Chaves do Azure seja recarregada.
Selecione Selecionar.
Depois de selecionar o cofre, feche a página Repositório do Cofre de Chaves . A opção Etapa 1: Armazenar deve mostrar uma marca de seleção verde para indicar o sucesso. Mantenha a página aberta para a próxima etapa.
Confirmar a propriedade do domínio
Na mesma página Configuração de Certificado da seção anterior, selecione Etapa 2: Verificar.
Selecione Verificação do Serviço de Aplicativo. Como você mapeou o domínio para seu aplicativo Web anteriormente nesta seção, o domínio já está verificado. Para concluir esta etapa, basta selecionar Verificar e, em seguida, selecionar Atualizar até que a mensagem Certificado é Domínio Verificado apareça.
Os seguintes métodos de verificação de domínio são suportados:
Método | Description |
---|---|
Verificação do Serviço de Aplicativo | A opção mais conveniente quando o domínio já está mapeado para um aplicativo do Serviço de Aplicativo na mesma assinatura, porque o aplicativo do Serviço de Aplicativo já verificou a propriedade do domínio. Analise a última etapa em Confirmar propriedade do domínio. |
Verificação de Domínio | Confirme um domínio do Serviço de Aplicativo que você comprou do Azure. O Azure adiciona automaticamente o registo TXT de verificação por si e conclui o processo. |
Verificação de e-mail | Confirme o domínio enviando um e-mail para o administrador do domínio. As instruções são fornecidas quando você seleciona a opção. |
Verificação manual | Confirme o domínio usando um registro TXT DNS ou uma página HTML. (Este último aplica-se apenas aos certificados normalizados. Ver a nota seguinte.) As etapas são fornecidas depois que você seleciona a opção. A opção de página HTML não funciona para aplicativos Web com Somente HTTPS habilitado. Para verificação de domínio via registro TXT DNS para o domínio raiz (por exemplo, contoso.com ) ou o subdomínio (por exemplo, www.contoso.com ou test.api.contoso.com ) e independentemente do certificado SKU, você precisa adicionar um registro TXT no nível do domínio raiz, usando @ para o nome e o token de verificação de domínio para o valor em seu registro DNS. |
Importante
Com o certificado Standard, você obtém um certificado para o domínio de nível superior solicitado e o www
subdomínio, por exemplo, contoso.com
e www.contoso.com
. No entanto, a Verificação do Serviço de Aplicativo e a Verificação Manual usam a verificação de página HTML, que não oferece suporte ao www
subdomínio quando você emite, rechave ou renova um certificado. Para o certificado Padrão, use Verificação de Domínio e Verificação de Email para incluir o www
subdomínio com o domínio de nível superior solicitado no certificado.
Depois que o certificado for verificado por domínio, você estará pronto para importá-lo para um aplicativo do Serviço de Aplicativo.
Renovar um certificado do Serviço de Aplicações
Por predefinição, os certificados do Serviço de Aplicações têm um período de validade de um ano. Antes da data de expiração, você pode renovar automaticamente ou manualmente os certificados do Serviço de Aplicativo em incrementos de um ano. O processo de renovação fornece-lhe efetivamente um novo certificado do Serviço de Aplicações com a data de expiração prolongada durante um ano a partir da data de expiração do certificado existente.
Nota
A partir de 23 de setembro de 2021, se você não tiver verificado o domínio nos últimos 395 dias, os certificados do Serviço de Aplicativo exigirão verificação de domínio durante um processo de renovação, renovação automática ou rechave. A nova ordem de certificado permanece no modo "emissão pendente" durante o processo de renovação, renovação automática ou rechave até que você conclua a verificação de domínio.
Ao contrário do certificado gerenciado gratuito do Serviço de Aplicativo, os certificados do Serviço de Aplicativo comprados não têm reverificação de domínio automatizada. A falha na verificação da propriedade do domínio resulta em renovações com falha. Para obter mais informações sobre como verificar seu certificado do Serviço de Aplicativo, consulte Confirmar propriedade do domínio.
O processo de renovação requer que a entidade de serviço do Serviço de Aplicativo tenha as permissões necessárias no cofre de chaves. Essas permissões são configuradas para você quando você importa um certificado do Serviço de Aplicativo por meio do portal do Azure. Certifique-se de que não remove estas permissões do cofre de chaves.
Para alterar a configuração de renovação automática do certificado do Serviço de Aplicativo a qualquer momento, na página Certificados do Serviço de Aplicativo, selecione o certificado.
No menu à esquerda, selecione Configurações de renovação automática.
Selecione Ativado ou Desativado e, em seguida, selecione Guardar.
Se você ativar a renovação automática, os certificados poderão começar a ser renovados automaticamente 32 dias antes da expiração.
Para renovar manualmente o certificado, selecione Renovação manual. Você pode solicitar a renovação manual do certificado 60 dias antes da expiração, mas os certificados não podem ser emitidos por mais de 397 dias.
Após a conclusão da operação de renovação, selecione Sincronizar.
A operação de sincronização atualiza automaticamente as associações de nome de host para o certificado no Serviço de Aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.
Nota
Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente seu certificado em 24 horas.
Reintroduzir chave de um certificado do Serviço de Aplicações
Se você acha que a chave privada do seu certificado está comprometida, você pode rechaveá-lo. Esta ação gira o certificado com um novo certificado emitido pela autoridade de certificação.
Na página Certificados do Serviço de Aplicativo, selecione o certificado. No menu à esquerda, selecione Rekey e Sync.
Para iniciar o processo, selecione Rekey. Este processo pode levar de 1 a 10 minutos para ser concluído.
Também pode ser necessário reconfirmar a propriedade do domínio.
Após a conclusão da operação de rechave, selecione Sincronizar.
A operação de sincronização atualiza automaticamente as associações de nome de host para o certificado no Serviço de Aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.
Nota
Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente seu certificado em 24 horas.
Exportar um certificado do Serviço de Aplicativo
Como um certificado do Serviço de Aplicativo é um segredo do Cofre da Chave, você pode exportar uma cópia como um arquivo PFX, que pode ser usado para outros serviços do Azure ou fora do Azure.
Importante
O certificado exportado é um artefato não gerenciado. O Serviço de Aplicativo não sincroniza esses artefatos quando o Certificado do Serviço de Aplicativo é renovado. Você deve exportar e instalar o certificado renovado quando necessário.
Na página Certificados do Serviço de Aplicativo, selecione o certificado.
No menu à esquerda, selecione Exportar certificado.
Selecione Abrir segredo do cofre da chave.
Selecione a versão atual do certificado.
Selecione Baixar como um certificado.
O arquivo PFX baixado é um arquivo PKCS12 bruto que contém os certificados públicos e privados e tem uma senha de importação que é uma cadeia de caracteres vazia. Você pode instalar o arquivo localmente deixando o campo de senha vazio. Não é possível carregar o arquivo como está no Serviço de Aplicativo porque o arquivo não está protegido por senha.
Usar o certificado do Azure Advisor for App Service
O certificado do Serviço de Aplicativo é integrado ao Azure Advisor para fornecer recomendações de confiabilidade para quando seu certificado exigir verificação de domínio. Você deve verificar a propriedade do domínio do seu certificado durante o processo de renovação, renovação automática ou rechave, caso não tenha verificado o domínio nos últimos 395 dias. Para garantir que você não perca nenhum certificado que exija verificação ou corra o risco de qualquer certificado expirar, você pode usar o Consultor do Azure para exibir e configurar alertas para o certificado do Serviço de Aplicativo.
Ver recomendação do Advisor
Para exibir a recomendação do Advisor para o certificado do Serviço de Aplicativo:
Navegue até a página do Azure Advisor.
No menu à esquerda, selecione Recomendações>de confiabilidade
Selecione a opção de filtro Tipo igual e procure Certificados do Serviço de Aplicativo na lista suspensa. Se o valor não existir no menu suspenso, isso significa que nenhuma recomendação foi gerada para os recursos de certificado do Serviço de Aplicativo, pois nenhum deles requer verificação de propriedade do domínio.
Criar alertas do Advisor
Você [cria alertas do Consultor do Azure sobre novas recomendações] usando configurações diferentes. Para configurar os Alertas do Advisor especificamente para o certificado App Serivice para que você possa receber notificações quando seu certificado exigir validação de propriedade de domínio:
Navegue até a página do Azure Advisor.
No menu à esquerda, selecione Alertas de monitoramento>(visualização)
Clique em + Novo Alerta de Consultor na barra de ações na parte superior. Isso abrirá uma nova folha chamada "Criar alertas do Advisor".
Em Condição , selecione o seguinte:
Configurado por Tipo de recomendação Tipo de recomendação A verificação do domínio é necessária para emitir o seu Certificado do Serviço de Aplicações Preencha o restante dos campos obrigatórios e selecione o botão Criar alerta na parte inferior.
Excluir um certificado do Serviço de Aplicativo
Se você excluir um certificado do Serviço de Aplicativo, a operação de exclusão será irreversível e final. O resultado é um certificado revogado e qualquer associação no Serviço de Aplicativo que use o certificado se torna inválida.
Na página Certificados do Serviço de Aplicativo, selecione o certificado.
No menu à esquerda, selecione Visão geral>Excluir.
Quando a caixa de confirmação abrir, digite o nome do certificado e selecione OK.
Perguntas mais frequentes
Meu certificado do Serviço de Aplicativo não tem nenhum valor no Cofre da Chave
Seu certificado do Serviço de Aplicativo provavelmente ainda não está verificado no domínio. Até que a propriedade do domínio seja confirmada, seu certificado do Serviço de Aplicativo não estará pronto para uso. Como um segredo do Cofre da Chave, ele mantém uma Initialize
tag e seu valor e tipo de conteúdo permanecem vazios. Quando a propriedade do domínio é confirmada, o segredo do cofre de chaves mostra um valor e um tipo de conteúdo, e a tag muda para Ready
.
Não consigo exportar meu certificado do Serviço de Aplicativo com o PowerShell
Seu certificado do Serviço de Aplicativo provavelmente ainda não está verificado no domínio. Até que a propriedade do domínio seja confirmada, seu certificado do Serviço de Aplicativo não estará pronto para uso.
Que alterações o processo de criação de certificados do Serviço de Aplicativo faz no meu cofre de chaves existente?
O processo de criação faz as seguintes alterações:
- Adiciona duas políticas de acesso no cofre:
- Microsoft.Azure.WebSites (ou
Microsoft Azure App Service
) - Revendedor de certificados Microsoft CSM Resource Provider (ou
Microsoft.Azure.CertificateRegistration
)
- Microsoft.Azure.WebSites (ou
- Cria um bloqueio de exclusão chamado
AppServiceCertificateLock
no cofre para evitar a exclusão acidental do cofre de chaves.