Partilhar via


Fornecer segurança para um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo

Este artigo mostra como fornecer segurança para o domínio personalizado em seu aplicativo do Serviço de Aplicativo ou aplicativo de função criando uma associação de certificado. Quando terminar, você poderá acessar seu https:// aplicativo do Serviço de Aplicativo no ponto de extremidade para seu nome DNS personalizado (por exemplo, https://www.contoso.com).

Aplicação Web com certificado TLS/SSL personalizado.

Pré-requisitos

Adicionar a ligação

No portal do Azure:

  1. No menu à esquerda, selecione Nome> do aplicativo dos Serviços de><Aplicativo.

  2. Na navegação à esquerda do seu aplicativo, selecione Domínios personalizados.

  3. Ao lado do domínio personalizado, selecione Adicionar vinculação.

    Uma captura de tela mostrando como iniciar a caixa de diálogo Adicionar Vinculação TLS/SSL.

  4. Se seu aplicativo já tiver um certificado para o domínio personalizado selecionado, você poderá selecioná-lo em Certificado. Caso contrário, você deve adicionar um certificado usando uma das seleções em Source.

    • Criar Certificado Gerenciado do Serviço de Aplicativo - Permita que o Serviço de Aplicativo crie um certificado gerenciado para o domínio selecionado. Esta opção é a mais fácil. Para obter mais informações, consulte Criar um certificado gerenciado gratuito.
    • Importar Certificado do Serviço de Aplicativo - Em Certificado do Serviço de Aplicativo, selecione um certificado do Serviço de Aplicativo que você comprou para o domínio selecionado.
    • Carregar certificado (.pfx) - Siga o fluxo de trabalho em Carregar um certificado privado para carregar um certificado PFX da sua máquina local e especifique a senha do certificado.
    • Importar do Cofre da Chave - Selecione Selecionar certificado do Cofre da Chave e selecione o certificado na caixa de diálogo.
  5. Em Tipo TLS/SSL, selecione SNI SSL ou SSL baseado em IP.

    • SNI SSL: Várias ligações SNI SSL podem ser adicionadas. Esta opção permite vários certificados TLS/SSL para ajudar a proteger vários domínios no mesmo endereço IP. A maioria dos navegadores modernos (incluindo Microsoft Edge, Chrome, Firefox e Opera) suporta SNI. (Para obter mais informações, consulte Indicação de nome do servidor.)
    • SSL baseado em IP: Apenas uma ligação IP SSL pode ser adicionada. Esta opção permite apenas um certificado TLS/SSL para ajudar a proteger um endereço IP público dedicado. Depois de configurar a ligação, siga as etapas em Remapear registros para SSL baseado em IP.
      O SSL baseado em IP é suportado apenas na camada Standard ou superior.
  6. Ao adicionar um novo certificado, valide o novo certificado selecionando Validar.

  7. Selecione Adicionar.

    Quando a operação estiver concluída, o estado TLS/SSL do domínio personalizado será alterado para Protegido.

    Uma captura de tela mostrando o domínio personalizado protegido por uma associação de certificado.

Nota

Um estado Protegido em domínios personalizados significa que um certificado está fornecendo segurança, mas o Serviço de Aplicativo não verifica se o certificado está autoassinado ou expirado, por exemplo, o que também pode fazer com que os navegadores mostrem um erro ou aviso.

Remapear registros para SSL baseado em IP

Esta etapa é necessária apenas para SSL baseado em IP. Para uma ligação SNI SSL, pule para Testar HTTPS.

Há potencialmente duas alterações que você precisa fazer:

  • Por padrão, seu aplicativo usa um endereço IP público compartilhado. Quando você vincula um certificado com IP SSL, o Serviço de Aplicativo cria um novo endereço IP dedicado para seu aplicativo. Se você mapeou um registro A para seu aplicativo, atualize seu registro de domínio com esse novo endereço IP dedicado.

    A página de domínio personalizado do seu aplicativo é atualizada com o novo endereço IP dedicado. Copie este endereço IP e, em seguida , remapeie o registo A para este novo endereço IP.

  • Se você tiver uma ligação SNI SSL para <app-name>.azurewebsites.net, remapeie qualquer mapeamento CNAME para apontar para sni.<app-name>.azurewebsites.net . (Adicione o prefixo sni .)

Tester HTTPS

Navegue até em https://<your.custom.domain> vários navegadores para verificar se seu aplicativo aparece.

Captura de ecrã a mostrar um exemplo de navegação para o seu domínio personalizado. O URL contoso.com está realçado.

O código do seu aplicativo pode inspecionar o protocolo através do x-appservice-proto cabeçalho. O cabeçalho tem um valor de http ou https.

Nota

Se seu aplicativo fornecer erros de validação de certificado, você provavelmente está usando um certificado autoassinado.

Se esse não for o caso, você pode ter deixado de fora certificados intermediários quando exportou seu certificado para o arquivo PFX.

Perguntas mais frequentes

Como faço para garantir que o endereço IP do aplicativo não seja alterado quando faço alterações na vinculação do certificado?

Seu endereço IP de entrada pode ser alterado quando você exclui uma ligação, mesmo que essa associação seja IP SSL. Isso é especialmente importante quando você renova um certificado que já está em uma associação IP SSL. Para evitar uma alteração no endereço IP do seu aplicativo, siga estas etapas, na ordem:

  1. Carregar o novo certificado.
  2. Vincular o novo certificado com o domínio personalizado que pretende sem eliminar os antigo. Esta ação substitui o enlace em vez de remover o antigo.
  3. Eliminar o certificado antigo.

Posso desativar o redirecionamento forçado de HTTP para HTTPS?

Por padrão, o Serviço de Aplicativo força um redirecionamento de solicitações HTTP para HTTPS. Para desativar esse comportamento, consulte Definir configurações gerais.

Como posso alterar as versões mínimas de TLS para o aplicativo?

A aplicação permite o TLS 1.2 por predefinição, o que é o nível do TLS recomendado pelas normas do setor, como PCI DSS. Para impor diferentes versões do TLS, consulte Definir configurações gerais.

Como lidar com a rescisão de TLS no Serviço de Aplicativo?

No Serviço de Aplicativo, a terminação TLS acontece nos balanceadores de carga de rede, portanto, todas as solicitações HTTPS chegam ao seu aplicativo como solicitações HTTP não criptografadas. Se a lógica do seu aplicativo precisar verificar se as solicitações do usuário estão criptografadas, inspecione o X-Forwarded-Proto cabeçalho.

Guias de configuração específicos do idioma, como o guia de configuração do Linux Node.js, mostram como detetar uma sessão HTTPS no código do aplicativo.

Automatizar com scripts

CLI do Azure

Vincular um certificado TLS/SSL personalizado a um aplicativo Web

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled