Partilhar via


Consulte Adicionar e gerir certificados TLS/SSL no Serviço de Aplicações do Azure

Nota

A partir de 1º de junho de 2024, todos os aplicativos do Serviço de Aplicativo recém-criados terão a opção de gerar um nome de host padrão exclusivo usando a convenção <app-name>-<random-hash>.<region>.azurewebsites.netde nomenclatura. Os nomes de aplicativos existentes permanecerão inalterados.

Exemplo: myapp-ds27dh7271aah175.westus-01.azurewebsites.net

Para obter mais detalhes, consulte Nome de host padrão exclusivo para recurso do Serviço de Aplicativo.

Você pode adicionar certificados de segurança digital para usar em seu código de aplicativo ou para proteger nomes DNS personalizados no Serviço de Aplicativo do Azure, que fornece um serviço de hospedagem na Web altamente escalável e com auto-patches. Atualmente chamados de certificados TLS (Transport Layer Security), também conhecidos anteriormente como certificados SSL (Secure Socket Layer), esses certificados privados ou públicos ajudam a proteger as conexões com a Internet criptografando os dados enviados entre seu navegador, sites que você visita e o servidor do site.

A tabela a seguir lista as opções para você adicionar certificados no Serviço de Aplicativo:

Opção Description
Criar um certificado gerenciado gratuito do Serviço de Aplicativo Um certificado privado gratuito e fácil de usar se você precisar apenas proteger seu domínio personalizado no Serviço de Aplicativo.
Importar um certificado do Serviço de Aplicativo Um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificados e a flexibilidade das opções de renovação e exportação.
Importar um certificado do Cofre da Chave Útil se você usar o Azure Key Vault para gerenciar seus certificados PKCS12. Consulte Requisitos de certificado privado.
Carregar um certificado privado Se já tiver um certificado privado de um fornecedor terceiro, pode carregá-lo. Consulte Requisitos de certificado privado.
Carregar um certificado público Os certificados públicos não são usados para proteger domínios personalizados, mas você pode carregá-los em seu código se precisar deles para acessar recursos remotos.

Pré-requisitos

Requisitos de certificado privado

O certificado gerenciado gratuito do Serviço de Aplicativo e o certificado do Serviço de Aplicativo já satisfazem os requisitos do Serviço de Aplicativo. Se você optar por carregar ou importar um certificado privado para o Serviço de Aplicativo, seu certificado deverá atender aos seguintes requisitos:

  • Exportado como um ficheiro PFX protegido por palavra-passe, encriptado usando DES triplo.
  • Contém chave privada com pelo menos 2.048 bits de comprimento
  • Conter todos os certificados intermédios e o certificado de raiz na cadeia de certificados.

Para proteger um domínio personalizado em uma associação TLS, o certificado tem mais requisitos:

  • Contém um uso estendido de chave para autenticação do servidor (OID = 1.3.6.1.5.5.7.3.1)
  • Assinado por uma autoridade de certificação fidedigna

Nota

Os certificados ECC (Elliptic Curve Cryptography) funcionam com o Serviço de Aplicativo, mas não são abordados neste artigo. Para obter as etapas exatas para criar certificados ECC, trabalhe com sua autoridade de certificação.

Nota

Depois de adicionar um certificado privado a um aplicativo, o certificado é armazenado em uma unidade de implantação vinculada ao grupo de recursos, região e combinação de sistema operacional do plano do Serviço de Aplicativo, chamada internamente de espaço web. Dessa forma, o certificado fica acessível a outros aplicativos no mesmo grupo de recursos, região e combinação de sistema operacional. Os certificados privados carregados ou importados para o Serviço de Aplicativo são compartilhados com os Serviços de Aplicativo na mesma unidade de implantação.

Você pode adicionar até 1000 certificados privados por espaço na web.

Criar um certificado gerenciado gratuito

O certificado gerenciado gratuito do Serviço de Aplicativo é uma solução pronta para uso para proteger seu nome DNS personalizado no Serviço de Aplicativo. Sem qualquer ação sua, esse certificado de servidor TLS/SSL é totalmente gerenciado pelo Serviço de Aplicativo e é renovado automaticamente continuamente em incrementos de seis meses, 45 dias antes da expiração, desde que os pré-requisitos configurados permaneçam os mesmos. Todas as ligações associadas são atualizadas com o certificado renovado. Você cria e vincula o certificado a um domínio personalizado e permite que o Serviço de Aplicativo faça o resto.

Importante

Antes de criar um certificado gerenciado gratuito, verifique se você atendeu aos pré-requisitos para seu aplicativo.

Certificados gratuitos são emitidos pela DigiCert. Para alguns domínios, você deve permitir explicitamente o DigiCert como um emissor de certificado criando um registro de domínio CAA com o valor: 0 issue digicert.com.

O Azure gerencia totalmente os certificados em seu nome, portanto, qualquer aspeto do certificado gerenciado, incluindo o emissor raiz, pode mudar a qualquer momento. Estas alterações estão fora do seu controlo. Certifique-se de evitar dependências rígidas e "fixar" certificados de prática no certificado gerenciado ou em qualquer parte da hierarquia de certificados. Se você precisar do comportamento de fixação do certificado, adicione um certificado ao seu domínio personalizado usando qualquer outro método disponível neste artigo.

O certificado gratuito vem com as seguintes limitações:

  • Não suporta certificados curinga.
  • Não suporta o uso como um certificado de cliente usando a impressão digital do certificado, que está planejada para substituição e remoção.
  • Não suporta DNS privado.
  • Não é exportável.
  • Não há suporte em um ambiente de serviço de aplicativo (ASE).
  • Suporta apenas caracteres alfanuméricos, traços (-) e pontos (.).
  • Apenas domínios personalizados de até 64 caracteres são suportados.
  • Deve ter um registro A apontando para o endereço IP do seu aplicativo Web.
  • Deve estar em aplicativos acessíveis publicamente.
  • Não é suportado com domínios raiz integrados com o Traffic Manager.
  • Deve atender a todos os itens acima para emissões e renovações de certificados bem-sucedidas.
  1. No portal do Azure, no menu à esquerda, selecione Nome> do aplicativo dos Serviços de><Aplicativo.

  2. No menu de navegação do aplicativo, selecione Certificados. No painel Certificados gerenciados, selecione Adicionar certificado.

    Captura de ecrã do menu da aplicação com 'Certificados', 'Certificados geridos' e 'Adicionar certificado' selecionados.

  3. Selecione o domínio personalizado para o certificado gratuito e, em seguida, selecione Validar. Quando a validação for concluída, selecione Adicionar. Você pode criar apenas um certificado gerenciado para cada domínio personalizado suportado.

    Quando a operação for concluída, o certificado aparecerá na lista Certificados gerenciados.

    Captura de ecrã do painel 'Certificados geridos' com o certificado recém-criado listado.

  4. Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Importar um certificado do Serviço de Aplicativo

Para importar um certificado do Serviço de Aplicativo, primeiro compre e configure um certificado do Serviço de Aplicativo e siga as etapas aqui.

  1. No portal do Azure, no menu à esquerda, selecione Nome> do aplicativo dos Serviços de><Aplicativo.

  2. No menu de navegação do aplicativo, selecione Certificados>Traga seus próprios certificados (.pfx)>Adicionar certificado.

  3. Em Origem, selecione Importar Certificado do Serviço de Aplicativo.

  4. Em Certificado do Serviço de Aplicativo, selecione o certificado que você acabou de criar.

  5. Em Nome amigável do certificado, dê um nome ao certificado em seu aplicativo.

  6. Selecione Validar. Quando a validação for bem-sucedida, selecione Adicionar.

    Captura de ecrã da página de gestão de aplicações com 'Certificados', 'Traga os seus próprios certificados (.pfx)' e 'Importar certificado do Serviço de Aplicações' selecionadas, e a página 'Adicionar certificado de chave privada' preenchida com o botão **Validar**.

    Quando a operação for concluída, o certificado aparecerá na lista Traga seus próprios certificados .

    Captura de ecrã do painel

  7. Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Importar um certificado do Cofre da Chave

Se você usar o Cofre da Chave do Azure para gerenciar seus certificados, poderá importar um certificado PKCS12 do Cofre da Chave para o Serviço de Aplicativo se atender aos requisitos.

Autorizar o Serviço de Aplicativo a ler a partir do cofre

Por padrão, o provedor de recursos do Serviço de Aplicativo não tem acesso ao seu cofre de chaves. Para usar um cofre de chaves para uma implantação de certificado, você deve autorizar o acesso de leitura do provedor de recursos ao cofre de chaves.

Nota

Atualmente, o portal do Azure não permite que você configure um certificado do Serviço de Aplicativo no Cofre da Chave para usar o modelo RBAC. No entanto, você pode usar a CLI do Azure, o Azure PowerShell ou uma implantação de modelo ARM para executar essa configuração. Para obter mais informações, consulte Fornecer acesso a chaves, certificados e segredos do Cofre da Chave com um controle de acesso baseado em função do Azure.

Fornecedor de recursos AppId da entidade de serviço Permissões secretas do cofre de chaves Permissões de certificado do cofre de chaves Permissões RBAC do cofre de chaves
Serviço de Aplicativo do Microsoft Azure ou Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd, que é o mesmo para todas as assinaturas do Azure

- Para o ambiente de nuvem do Azure Government, use 6a02c803-dafd-4136-b4c3-5a6f318b4714o .
Get Get Usuário do certificado
Microsoft.Azure.CertificateRegistration Obtenção
Listagem
Definição
Delete
Obtenção
Listagem

Importar um certificado do cofre para a aplicação

  1. No portal do Azure, no menu à esquerda, selecione Nome> do aplicativo dos Serviços de><Aplicativo.

  2. No menu de navegação do aplicativo, selecione Certificados>Traga seus próprios certificados (.pfx)>Adicionar certificado.

  3. Em Origem, selecione Importar do Cofre da Chave.

  4. Selecione Selecionar certificado do cofre de chaves.

    Captura de ecrã da página de gestão de aplicações com 'Certificados', 'Traga os seus próprios certificados (.pfx)' e 'Importar do Cofre de Chaves' selecionados

  5. Para ajudá-lo a selecionar o certificado, use a tabela a seguir:

    Definição Descrição
    Subscrição A subscrição associada ao cofre de chaves.
    Cofre de chaves O cofre de chaves que tem o certificado que você deseja importar.
    Certificado Nessa lista, selecione um certificado PKCS12 que esteja no cofre. Todos os certificados PKCS12 no cofre são listados com suas impressões digitais, mas nem todos são suportados no Serviço de Aplicativo.
  6. Quando terminar a sua seleção, selecione Selecionar, Validar e, em seguida, Adicionar.

    Quando a operação for concluída, o certificado aparecerá na lista Traga seus próprios certificados . Se a importação falhar com um erro, o certificado não atende aos requisitos do Serviço de Aplicativo.

    Captura de ecrã do painel 'Traga os seus próprios certificados (.pfx)' com o certificado importado listado.

    Nota

    Se você atualizar seu certificado no Cofre da Chave com um novo certificado, o Serviço de Aplicativo sincronizará automaticamente seu certificado em 24 horas.

  7. Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Carregar um certificado privado

Depois de obter um certificado do seu provedor de certificados, prepare o certificado para o Serviço de Aplicativo seguindo as etapas nesta seção.

Intercalar certificados intermédios

Se a autoridade de certificação fornecer vários certificados na cadeia de certificados, você deverá mesclar os certificados seguindo a mesma ordem.

  1. Em um editor de texto, abra cada certificado recebido.

  2. Para armazenar o certificado mesclado, crie um arquivo chamado mergedcertificate.crt.

  3. Copie o conteúdo de cada certificado para este arquivo. Certifique-se de seguir a sequência de certificados especificada pela cadeia de certificados, começando com seu certificado e terminando com o certificado raiz, por exemplo:

    -----BEGIN CERTIFICATE-----
    <your entire Base64 encoded SSL certificate>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 1>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 2>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded root certificate>
    -----END CERTIFICATE-----
    

Exportar certificado privado mesclado para PFX

Agora, exporte seu certificado TLS/SSL mesclado com a chave privada que foi usada para gerar sua solicitação de certificado. Se você gerou sua solicitação de certificado usando OpenSSL, então você criou um arquivo de chave privada.

Nota

O OpenSSL v3 alterou a cifra padrão de 3DES para AES256, mas isso pode ser substituído na linha de comando -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -macalg SHA1. OpenSSL v1 usa 3DES como padrão, de modo que os arquivos PFX gerados são suportados sem quaisquer modificações especiais.

  1. Para exportar seu certificado para um arquivo PFX, execute o seguinte comando, mas substitua os espaços reservados private-key-file> e <merged-certificate-file> pelos caminhos para sua chave privada e seu arquivo de certificado mesclado.<

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
    
  2. Quando solicitado, especifique uma senha para a operação de exportação. Ao carregar seu certificado TLS/SSL para o Serviço de Aplicativo mais tarde, você deve fornecer essa senha.

  3. Se você usou o IIS ou o Certreq.exe para gerar sua solicitação de certificado, instale o certificado no computador local e exporte o certificado para um arquivo PFX.

Carregar certificado para o Serviço de Aplicativo

Agora você está pronto para carregar o certificado no Serviço de Aplicativo.

  1. No portal do Azure, no menu à esquerda, selecione Nome> do aplicativo dos Serviços de><Aplicativo.

  2. No menu de navegação do aplicativo, selecione Certificados>Traga seus próprios certificados (.pfx)>Carregar certificado.

    Screenshot de 'Certificados', 'Traga os seus próprios certificados (.pfx)', 'Carregar Certificado' selecionado.

  3. Para ajudá-lo a carregar o certificado .pfx, use a tabela a seguir:

    Definição Descrição
    Arquivo de certificado PFX Selecione seu arquivo .pfx.
    Senha do certificado Digite a senha que você criou quando exportou o arquivo PFX.
    Nome amigável do certificado O nome do certificado que será mostrado em seu aplicativo Web.
  4. Quando terminar a sua seleção, selecione Selecionar, Validar e, em seguida, Adicionar.

    Quando a operação for concluída, o certificado aparecerá na lista Traga seus próprios certificados .

    Captura de ecrã do painel

  5. Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado. Siga as etapas em Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure.

Carregar um certificado público

Os certificados públicos são suportados no formato .cer .

Nota

Depois de carregar um certificado público para uma aplicação, este só é acessível pela aplicação para a qual é carregado. Os certificados públicos devem ser carregados em cada aplicativo Web individual que precisa de acesso. Para cenários específicos do Ambiente do Serviço de Aplicativo, consulte a documentação de certificados e o Ambiente do Serviço de Aplicativo

Você pode carregar até 1000 certificados públicos por Plano do Serviço de Aplicativo.

  1. No portal do Azure, no menu à esquerda, selecione Nome> do aplicativo dos Serviços de><Aplicativo.

  2. No menu de navegação do aplicativo, selecione Certificados>de chave pública (.cer)>Adicionar certificado.

  3. Para ajudá-lo a carregar o certificado .cer, use a tabela a seguir:

    Definição Descrição
    Ficheiro de certificado CER Selecione seu arquivo .cer.
    Nome amigável do certificado O nome do certificado que será mostrado em seu aplicativo Web.
  4. Quando terminar, selecione Adicionar.

    Captura de ecrã do nome e certificado de chave pública para carregar.

  5. Depois que o certificado for carregado, copie a impressão digital do certificado e revise Tornar o certificado acessível.

Renovar um certificado que expira

Antes de um certificado expirar, certifique-se de adicionar o certificado renovado ao Serviço de Aplicativo e atualizar todas as associações de certificado em que o processo depende do tipo de certificado. Por exemplo, um certificado importado do Cofre da Chave, incluindo um certificado do Serviço de Aplicativo, é sincronizado automaticamente com o Serviço de Aplicativo a cada 24 horas e atualiza a associação TLS/SSL quando você renova o certificado. Para um certificado carregado, não há atualização automática de vinculação. Com base no seu cenário, revise a seção correspondente:

Renovar certificado carregado

Quando você substitui um certificado que expira, a maneira como você atualiza a associação de certificado com o novo certificado pode afetar negativamente a experiência do usuário. Por exemplo, seu endereço IP de entrada pode mudar quando você exclui uma ligação, mesmo que essa associação seja baseada em IP. Esse resultado é especialmente impactante quando você renova um certificado que já está em uma associação baseada em IP. Para evitar uma alteração no endereço IP do aplicativo e evitar o tempo de inatividade do aplicativo devido a erros HTTPS, siga estas etapas na sequência especificada:

  1. Carregue o novo certificado.

  2. Vá para a página Domínios personalizados do seu aplicativo, selecione o botão ... actions e selecione Atualizar vinculação.

  3. Selecione o novo certificado e selecione Atualizar.

  4. Exclua o certificado existente.

Renovar um certificado importado do Cofre da Chave

Nota

Para renovar um certificado do Serviço de Aplicativo, consulte Renovar um certificado do Serviço de Aplicativo.

Para renovar um certificado que você importou do Cofre da Chave para o Serviço de Aplicativo, revise Renovar seu certificado do Cofre da Chave do Azure.

Depois que o certificado é renovado dentro do cofre de chaves, o Serviço de Aplicativo sincroniza automaticamente o novo certificado e atualiza qualquer vinculação de certificado aplicável dentro de 24 horas. Para sincronizar manualmente, siga estes passos:

  1. Aceda à página Certificado da sua aplicação.

  2. Em Traga seus próprios certificados (.pfx), selecione o botão ... details para o certificado de cofre de chaves importado e selecione Sincronizar.

Perguntas mais frequentes

Como posso automatizar a adição de um certificado traga seu próprio a um aplicativo?

Posso usar um certificado de CA (autoridade de certificação) privada para TLS de entrada no meu aplicativo?

Você pode usar um certificado de autoridade de certificação privada para TLS de entrada em um Ambiente do Serviço de Aplicativo versão 3 (ASEv3). Isso não é possível no Serviço de Aplicativo (multilocatário). Para obter mais informações sobre multilocatário do Serviço de Aplicativo versus locatário único, consulte Ambiente do Serviço de Aplicativo v3 e Comparação multilocatária pública do Serviço de Aplicativo.

Posso fazer chamadas de saída usando um certificado de cliente de CA (autoridade de certificação) privada do meu aplicativo?

Isso só é suportado para aplicativos de contêiner do Windows no Serviço de Aplicativo multilocatário. Além disso, você pode fazer chamadas de saída usando um certificado de cliente de CA privado com aplicativos baseados em código e contêiner em um Ambiente do Serviço de Aplicativo versão 3 (ASEv3). Para obter mais informações sobre multilocatário do Serviço de Aplicativo versus locatário único, consulte Ambiente do Serviço de Aplicativo v3 e Comparação multilocatária pública do Serviço de Aplicativo.

Posso carregar um certificado de CA (autoridade de certificação) privada no meu Repositório Raiz Confiável do Serviço de Aplicativo?

Você pode carregar seu próprio certificado de CA no Armazenamento Raiz Confiável em um Ambiente de Serviço de Aplicativo versão 3 (ASEv3). Não é possível modificar a lista de Certificados Raiz Confiáveis no Serviço de Aplicativo (multilocatário). Para obter mais informações sobre multilocatário do Serviço de Aplicativo versus locatário único, consulte Ambiente do Serviço de Aplicativo v3 e Comparação multilocatária pública do Serviço de Aplicativo.

Mais recursos