Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ Porta da frente (clássico)
Importante
O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante que você migrar seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, consulte Aposentadoria (clássica) do Azure Front Door.
Este artigo explica como habilitar HTTPS para um domínio personalizado associado à sua porta frontal (clássico). Usar HTTPS em seu domínio personalizado (por exemplo, https://www.contoso.com) garante a transmissão segura de dados via criptografia TLS/SSL. Quando um navegador da Web se conecta a um site usando HTTPS, ele valida o certificado de segurança do site e verifica sua legitimidade, fornecendo segurança e protegendo seus aplicativos da Web contra ataques mal-intencionados.
O Azure Front Door dá suporte a HTTPS por padrão em seu nome de host padrão (por exemplo, https://contoso.azurefd.net). No entanto, você precisa habilitar o HTTPS separadamente para domínios personalizados, como www.contoso.com.
Os principais atributos do recurso HTTPS personalizado incluem:
- Sem custo extra: Sem custos para aquisição de certificados, renovação ou tráfego HTTPS.
- Habilitação simples: provisionamento com um único clique por meio do portal Azure, API REST ou outras ferramentas de desenvolvedor.
- Gestão completa de certificados: Aquisição e renovação automática de certificados, eliminando o risco de interrupção do serviço devido a certificados expirados.
Neste tutorial, irá aprender a:
- Habilite o HTTPS em seu domínio personalizado.
- Use um certificado gerenciado pelo AFD.
- Use seu próprio certificado TLS/SSL.
- Valide o domínio
- Desative o HTTPS no seu domínio personalizado.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Uma porta frontal do Azure com pelo menos um domínio personalizado integrado. Para obter mais informações, veja Tutorial: Adicionar um domínio personalizado ao Front Door.
Azure Cloud Shell ou Azure PowerShell para registrar a entidade de serviço Front Door em sua ID do Microsoft Entra ao usar seu próprio certificado.
As etapas neste artigo executam os cmdlets do Azure PowerShell interativamente no Azure Cloud Shell. Para executar os cmdlets no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.
Você também pode instalar o Azure PowerShell localmente para executar os cmdlets. Se você executar o PowerShell localmente, entre no Azure usando o cmdlet Connect-AzAccount .
Certificados TLS/SSL
Para habilitar o HTTPS em um domínio personalizado do Front Door (clássico), você precisa de um certificado TLS/SSL. Você pode usar um certificado gerenciado pelo Azure Front Door ou seu próprio certificado.
Opção 1 (predefinição): utilizar um certificado gerido pelo Front Door
Usar um certificado gerenciado pelo Azure Front Door permite habilitar o HTTPS com algumas alterações de configurações. O Azure Front Door lida com todas as tarefas de gerenciamento de certificados, incluindo aquisição e renovação. Se o seu domínio personalizado já estiver mapeado para o host de front-end padrão do Front Door ({hostname}.azurefd.net), nenhuma ação adicional será necessária. Caso contrário, você deve validar a propriedade do seu domínio por e-mail.
Para habilitar HTTPS em um domínio personalizado:
No portal Azure, vá para o seu perfil Front Door.
Selecione o domínio personalizado para o qual deseja habilitar o HTTPS na lista de hosts front-end.
Em HTTPS de domínio personalizado, selecione Habilitado e escolha Front Door gerenciado como a fonte do certificado.
Selecione Guardar.
Avance para Validar o domínio.
Nota
- O limite de 64 caracteres do DigiCert é imposto para certificados gerenciados pela Porta da Frente do Azure. A validação falhará se este limite for excedido.
- Não há suporte para habilitar HTTPS via certificado gerenciado Front Door para domínios apex/root (por exemplo, contoso.com). Use seu próprio certificado para este cenário (consulte a opção 2).
Opção 2: utilizar o seu próprio certificado
Você pode usar seu próprio certificado por meio de uma integração com o Azure Key Vault. Verifique se o certificado é de uma Lista de CA Confiável da Microsoft e tem uma cadeia de certificados completa.
Prepare o seu cofre de chaves e o certificado
- Crie uma conta de cofre de chaves na mesma assinatura do Azure que o Azure Front Door.
- Configure seu cofre de chaves para permitir que serviços confiáveis da Microsoft ignorem o firewall se as restrições de acesso à rede estiverem habilitadas.
- Use o modelo de permissão da política de acesso do Cofre de Chaves.
- Carregue seu certificado como um objeto de certificado , não como um segredo.
Nota
O Front Door não suporta certificados com algoritmos de criptografia de curva elíptica (EC). O certificado deve ter uma cadeia de certificados completa com certificados folha e intermediários, e a autoridade de certificação raiz deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft.
Registar Azure Front Door
Registe o principal de serviço do Azure Front Door na sua ID do Microsoft Entra usando Azure PowerShell ou Azure CLI.
Utilize o cmdlet New-AzADServicePrincipal para registrar o principal de serviço Front Door na sua ID da Microsoft Entra.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Conceder ao Azure Front Door acesso ao seu Key Vault
Na conta do cofre de chaves, selecione Políticas de acesso.
Selecione Criar para criar uma nova política de acesso.
Em Permissões secretas, selecione Obter.
Em Permissões de certificado, selecione Obter.
Em Selecionar principal, procure ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 e selecione Microsoft.Azure.Frontdoor. Selecione Seguinte.
Selecione Avançar no aplicativo.
Selecione Criar em Rever + criar.
Nota
Se o cofre da chave tiver restrições de acesso à rede, permita que serviços confiáveis da Microsoft acessem o cofre da chave.
Selecione o certificado que será implementado pelo Azure Front Door
Volte ao seu Front Door no portal.
Selecione o domínio personalizado para o qual você deseja habilitar o HTTPS.
Em Tipo de gerenciamento de certificado, selecione Usar meu próprio certificado.
Selecione um cofre de chaves, um segredo e uma versão de segredo.
Nota
Para ativar a rotação automática de certificados, defina a versão secreta como 'Mais recente'. Se uma versão específica for selecionada, você deverá atualizá-la manualmente para rotação de certificados.
Aviso
Verifique se a entidade de serviço tem permissão GET no Cofre da Chave. Para ver o certificado na lista suspensa do portal, a sua conta de utilizador deve ter as permissões LIST e GET no cofre de chaves.
Ao usar seu próprio certificado, a validação de domínio não é necessária. Prossiga para Aguardar pela propagação.
Validar o domínio
Se o seu registo CNAME ainda existir e não contiver o subdomínio afdverify, a DigiCert validará automaticamente a propriedade do seu domínio personalizado.
Seu registro CNAME deve estar no seguinte formato:
| Nome | Tipo | Valor |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Para obter mais informações sobre os registos CNAME, veja Criar o registo DNS CNAME.
Se o seu registro CNAME estiver correto, o DigiCert verificará automaticamente seu domínio personalizado e criará um certificado dedicado. O certificado é válido por um ano e renovado automaticamente antes de expirar. Continue a aguardar pela propagação.
Nota
Se tiver um registo de Autorização de Autoridade de Certificação (CAA) com o seu fornecedor de DNS, tem de incluir a DigiCert como uma Autoridade de Certificação válida. Para obter mais informações, consulte Gerir registos CAA.
Importante
A partir de 8 de maio de 2025, o DigiCert não suporta mais o método de validação de domínio baseado em WHOIS.
Aguardar pela propagação
Após a validação do domínio, pode levar de 6 a 8 horas para que o recurso HTTPS de domínio personalizado seja ativado. Quando concluído, o status HTTPS personalizado no portal do Azure é definido como Habilitado.
Progresso da operação
A tabela a seguir mostra o progresso da operação ao habilitar HTTPS:
| Passo da operação | Detalhes do subpasso da operação |
|---|---|
| 1. Apresentação do pedido | Submeter o pedido |
| O seu pedido HTTPS está a ser submetido. | |
| Sua solicitação HTTPS foi enviada com sucesso. | |
| 2. Validação do domínio | O domínio é validado automaticamente se o CNAME for mapeado ao host de frontend predefinido .azurefd.net. |
| A propriedade do seu domínio foi validada com sucesso. | |
| A solicitação de validação de propriedade do domínio expirou (o cliente provavelmente não respondeu dentro de seis dias). O HTTPS não está habilitado no seu domínio. * | |
| Solicitação de validação de propriedade de domínio rejeitada pelo cliente. O HTTPS não está habilitado no seu domínio. * | |
| 3. Aprovisionamento de certificados | A autoridade de certificação está emitindo o certificado necessário para habilitar o HTTPS em seu domínio. |
| O certificado foi emitido e está sendo implantado para a sua porta da frente. Este processo pode demorar vários minutos a uma hora. | |
| O certificado foi implantado com sucesso para a sua porta da frente. | |
| 4. Completo | HTTPS foi ativado com sucesso no seu domínio. |
* Esta mensagem aparece apenas se ocorrer um erro.
Se ocorrer um erro antes de o pedido ser submetido, será apresentada a seguinte mensagem de erro:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Perguntas mais frequentes
Quem é o fornecedor do certificado e que tipo de certificado é utilizado?
Um certificado dedicado/único, fornecido pela DigiCert, é usado para o seu domínio personalizado.
Utiliza TLS/SSL baseado em IP ou em SNI?
O Azure Front Door usa SNI TLS/SSL.
E se não receber o e-mail de verificação do domínio da DigiCert?
Se tiver uma entrada CNAME para o seu domínio personalizado que aponte diretamente para o nome de host do endpoint e não estiver a usar o nome de subdomínio afdverify, não receberá um email de verificação de domínio. A validação ocorre automaticamente. Caso contrário, se não tiver uma entrada CNAME e não receber uma mensagem de correio eletrónico no prazo de 24 horas, contacte o suporte da Microsoft.
A utilização de um certificado SAN é mais insegura do que um certificado dedicado?
Os certificados SAN seguem as mesmas normas de encriptação e segurança dos certificados dedicados. Todos os certificados TLS/SSL emitidos usam SHA-256 para maior segurança do servidor.
Preciso de um registo Autorização de Autoridade de Certificação junto do meu fornecedor de DNS?
Não, um registro de Autorização da Autoridade de Certificação não é necessário no momento. No entanto, se tiver um, este tem de incluir a DigiCert como uma Autoridade Certificadora (AC) válida.
Limpar recursos
Para desativar o HTTPS no seu domínio personalizado:
Desativar a funcionalidade HTTPS
No portal do Azure, vá para a sua configuração do Azure Front Door.
Selecione o domínio personalizado para o qual você deseja desabilitar o HTTPS.
Selecione Desativado e selecione Salvar.
Aguardar pela propagação
Depois de desativar o recurso HTTPS de domínio personalizado, pode levar de 6 a 8 horas para entrar em vigor. Quando concluído, o status HTTPS personalizado no portal do Azure é definido como Desabilitado.
Progresso da operação
A tabela a seguir mostra o progresso da operação ao desabilitar HTTPS:
| Progresso da operação | Detalhes da operação |
|---|---|
| 1. Apresentação do pedido | Submeter o pedido |
| 2. Desaprovisionamento de certificados | Eliminar o certificado |
| 3. Completo | Certificado eliminado |