Configurar HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure
O Azure Front Door permite a entrega segura de TLS (Transport Layer Security) para seus aplicativos por padrão quando você usa seus próprios domínios personalizados. Para saber mais sobre domínios personalizados, incluindo como os domínios personalizados funcionam com HTTPS, consulte Domínios na Porta da Frente do Azure.
O Azure Front Door dá suporte a certificados gerenciados pelo Azure e certificados gerenciados pelo cliente. Neste artigo, você aprenderá a configurar os dois tipos de certificados para seus domínios personalizados do Azure Front Door.
Pré-requisitos
- Antes de configurar HTTPS para seu domínio personalizado, você deve primeiro criar um perfil do Azure Front Door. Para obter mais informações, consulte Criar um perfil do Azure Front Door.
- Se você ainda não tiver um domínio personalizado, primeiro deverá comprar um com um provedor de domínio. Por exemplo, veja Buy a custom domain name (Comprar um nome de domínio personalizado).
- Se estiver a utilizar o Azure para alojar os seus domínios DNS, tem de delegar o sistema de nomes de domínio (DNS) do fornecedor de domínio a um DNS do Azure. Para obter mais informações, veja Delegar um domínio ao DNS do Azure. Caso contrário, se estiver a utilizar um fornecedor de domínios para processar o seu domínio DNS, tem de validar manualmente o domínio ao introduzir os registos TXT DNS solicitados.
Certificados gerenciados pela Porta da Frente do Azure para domínios pré-validados não Azure
Se você tiver seu próprio domínio e o domínio ainda não estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:
Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.
No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.
Definição Value Tipo de domínio Selecione Domínio pré-validado não Azure. Gestão de DNS Selecione DNS gerenciado do Azure (Recomendado). Zona DNS Selecione a zona DNS do Azure que hospeda o domínio personalizado. Domínio personalizado Selecione um domínio existente ou adicione um novo domínio. HTTPS Selecione AFD gerenciado (Recomendado). Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar um domínio personalizado.
Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, o Azure Front Door gera um certificado e o implanta. Esse processo pode levar de vários minutos a uma hora para ser concluído.
Certificados gerenciados pelo Azure para domínios pré-validados do Azure
Se você tiver seu próprio domínio e o domínio estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:
Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.
No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.
Definição Value Tipo de domínio Selecione Domínio pré-validado do Azure. Domínios personalizados pré-validados Selecione um nome de domínio personalizado na lista suspensa de serviços do Azure. HTTPS Selecione Azure gerenciado. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar um domínio personalizado.
Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, um certificado gerenciado pelo Azure Front Door é implantado no Azure Front Door. Esse processo pode levar de vários minutos a uma hora para ser concluído.
Utilize o seu próprio certificado
Também pode optar por utilizar o seu próprio certificado TLS. Seu certificado TLS deve atender a determinados requisitos. Para obter mais informações, consulte Requisitos de certificado.
Prepare o seu cofre de chaves e o certificado
Crie uma instância separada do Azure Key Vault na qual você armazena seus certificados TLS do Azure Front Door. Para obter mais informações, consulte Criar uma instância do Cofre da Chave. Se já tiver um certificado, pode carregá-lo para a sua nova instância do Cofre da Chave. Caso contrário, você pode criar um novo certificado por meio do Cofre da Chave de um dos parceiros da autoridade de certificação (CA).
Atualmente, há duas maneiras de autenticar o Azure Front Door para acessar seu Cofre de Chaves:
- Identidade gerenciada: o Azure Front Door usa uma identidade gerenciada para autenticar em seu Cofre de Chaves. Esse método é recomendado porque é mais seguro e não exige que você gerencie credenciais. Para obter mais informações, consulte Usar identidades gerenciadas na Porta da Frente do Azure. Pule para Selecionar o certificado para o Azure Front Door a ser implantado se você estiver usando esse método.
- Registo de aplicações: o Azure Front Door utiliza um registo de aplicação para se autenticar no seu Cofre de Chaves. Este método está sendo preterido e será aposentado no futuro. Para obter mais informações, consulte Usar o registro de aplicativo na Porta da Frente do Azure.
Aviso
*Atualmente, o Azure Front Door suporta apenas o Key Vault na mesma subscrição. Selecionar o Cofre da Chave em uma assinatura diferente resulta em uma falha.
- O Azure Front Door não suporta certificados com algoritmos de criptografia de curva elíptica. Além disso, seu certificado deve ter uma cadeia de certificados completa com certificados folha e intermediários. A autoridade de certificação raiz também deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft.
Registar o Azure Front Door
Registre a entidade de serviço do Azure Front Door como um aplicativo em sua ID do Microsoft Entra usando o Microsoft Graph PowerShell ou a CLI do Azure.
Nota
- Esta ação requer que você tenha permissões de Administrador de Acesso de Usuário no Microsoft Entra ID. O registro só precisa ser realizado uma vez por locatário do Microsoft Entra.
- As IDs de aplicativo de 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e d4631ece-daab-479b-be77-ccb713491fc0 são predefinidas pelo Azure para Azure Front Door Standard e Premium em todos os locatários e assinaturas do Azure. O Azure Front Door (clássico) tem uma ID de aplicativo diferente.
Se necessário, instale o Microsoft Graph PowerShell no PowerShell em sua máquina local.
Use o PowerShell para executar o seguinte comando:
Nuvem pública do Azure:
New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Azure government cloud:
New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
Conceder ao Azure Front Door Service acesso ao Key Vault
Conceda permissão ao Azure Front Door para acessar os certificados na nova conta do Key Vault que você criou especificamente para o Azure Front Door. Você só precisa dar GET permissão ao certificado e ao segredo para que o Azure Front Door recupere o certificado.
Na sua conta do Cofre da Chave, selecione Políticas de acesso.
Selecione Adicionar nova ou Criar para criar uma nova política de acesso.
Em Permissões secretas, selecione Obter para permitir que o Azure Front Door recupere o certificado.
Em Permissões de certificado, selecione Obter para permitir que o Azure Front Door recupere o certificado.
Em Selecionar principal, procure 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e selecione Microsoft.AzureFrontDoor-Cdn. Selecione Seguinte.
Em Aplicação, selecione Seguinte.
Em Rever + criar, selecione Criar.
Nota
Se o cofre de chaves estiver protegido com restrições de acesso à rede, certifique-se de permitir que serviços confiáveis da Microsoft acessem seu cofre de chaves.
O Azure Front Door agora pode acessar esse cofre de chaves e os certificados que ele contém.
Selecione o certificado que será implementado pelo Azure Front Door
Volte ao Azure Front Door Standard/Premium no portal.
Em Configurações, vá para Segredos e selecione + Adicionar certificado.
No painel Adicionar certificado, marque a caixa de seleção do certificado que você deseja adicionar ao Azure Front Door Standard/Premium.
Quando seleciona um certificado, também tem de selecionar a versão. Se você selecionar Mais recente, o Azure Front Door será atualizado automaticamente sempre que o certificado for girado (renovado). Você também pode selecionar uma versão de certificado específica se preferir gerenciar a rotação de certificados por conta própria.
Deixe a seleção de versão como Mais recente e selecione Adicionar.
Depois que o certificado for provisionado com êxito, você poderá usá-lo ao adicionar um novo domínio personalizado.
Em Configurações, vá para Domínios e selecione + Adicionar para adicionar um novo domínio personalizado. No painel Adicionar um domínio, para HTTPS, selecione Trazer seu próprio certificado (BYOC). Em Secret, selecione o certificado que deseja usar na lista suspensa.
Nota
O nome comum do certificado selecionado deve corresponder ao domínio personalizado que está sendo adicionado.
Siga as etapas na tela para validar o certificado. Em seguida, associe o domínio personalizado recém-criado a um ponto de extremidade, conforme descrito em Configurar um domínio personalizado.
Alternar entre tipos de certificado
Pode alterar um domínio entre a utilização de um certificado gerido pelo Azure Front Door e um certificado gerido pelo cliente. Para obter mais informações, consulte Domínios na porta frontal do Azure.
Selecione o estado do certificado para abrir o painel Detalhes do certificado.
No painel Detalhes do certificado, você pode alternar entre o Azure Front Door gerenciado e Bring Your Own Certificate (BYOC).
Se você selecionar Bring Your Own Certificate (BYOC), siga as etapas anteriores para selecionar um certificado.
Selecione Atualizar para alterar o certificado associado a um domínio.
Próximos passos
- Saiba mais sobre o cache com o Azure Front Door Standard/Premium.
- Entenda os domínios personalizados no Azure Front Door.
- Saiba mais sobre o TLS de ponta a ponta com o Azure Front Door.