Proteger ligações ao adicionar e gerir certificados TLS/SSL no Serviço de Aplicações do Azure

Pode adicionar certificados de segurança digital para utilizar no código da aplicação ou para proteger nomes DNS personalizados no Serviço de Aplicações do Azure, que fornece um serviço de alojamento Web altamente dimensionável e com correção automática. Atualmente denominados certificados TLS (Transport Layer Security), também conhecidos anteriormente como certificados Secure Socket Layer (SSL), estes certificados privados ou públicos ajudam-no a proteger as ligações à Internet ao encriptar os dados enviados entre o browser, os sites que visita e o servidor do site.

A tabela seguinte lista as opções para adicionar certificados no Serviço de Aplicações:

Opção Descrição
Criar um certificado gerido de Serviço de Aplicações gratuito Um certificado privado gratuito e fácil de utilizar se apenas precisar de proteger o seu domínio personalizado no Serviço de Aplicações.
Comprar um certificado de Serviço de Aplicações Um certificado privado gerido pelo Azure. Combina a simplicidade da gestão automatizada de certificados e a flexibilidade das opções de renovação e exportação.
Importar um certificado do Key Vault Útil se utilizar o Azure Key Vault para gerir os certificados PKCS12. Veja Requisitos de certificados privados.
Carregar um certificado privado Se já tiver um certificado privado de um fornecedor de terceiros, pode carregá-lo. Veja Requisitos de certificados privados.
Carregar um certificado público Os certificados públicos não são utilizados para proteger domínios personalizados, mas pode carregá-los para o seu código se precisar deles para aceder a recursos remotos.

Nota

Depois de carregar um certificado para uma aplicação, o certificado é armazenado numa unidade de implementação vinculada à combinação de grupo de recursos, região e sistema operativo do plano de Serviço de Aplicações, internamente denominada espaço Web. Desta forma, o certificado é acessível a outras aplicações na mesma combinação de grupo de recursos e região.

Pré-requisitos

Requisitos de certificado privado

O certificado gerido de Serviço de Aplicações gratuito e o certificado de Serviço de Aplicações já satisfazem os requisitos de Serviço de Aplicações. Se optar por carregar ou importar um certificado privado para Serviço de Aplicações, o certificado tem de cumprir os seguintes requisitos:

  • Exportado como um ficheiro PFX protegido por palavra-passe, encriptado com o DES triplo.
  • Conter uma chave privada com, pelo menos, 2048 bits de comprimento
  • Contém todos os certificados intermédios e o certificado de raiz na cadeia de certificados.

Para proteger um domínio personalizado num enlace TLS, o certificado tem mais requisitos:

  • Contém uma Utilização De Chave Expandida para autenticação de servidor (OID = 1.3.6.1.5.5.7.3.1)
  • Ser assinado por uma autoridade de certificação fidedigna

Nota

Os certificados de Criptografia de Curva Elíptica (ECC) funcionam com Serviço de Aplicações mas não são abrangidos por este artigo. Para obter os passos exatos para criar certificados ECC, trabalhe com a sua autoridade de certificação.

Preparar a sua aplicação Web

Para criar enlaces TLS/SSL personalizados ou ativar certificados de cliente para a sua aplicação Serviço de Aplicações, o seu plano de Serviço de Aplicações tem de estar no escalão Básico, Standard, Premium ou Isolado. Para se certificar de que a aplicação Web está no escalão de preço suportado, siga estes passos:

Aceder à sua aplicação Web

  1. Na caixa de pesquisa portal do Azure, localize e selecione Serviços Aplicacionais.

    Captura de ecrã a mostrar portal do Azure, caixa de pesquisa e

  2. Na página Serviços Aplicacionais , selecione o nome da sua aplicação Web.

    Captura de ecrã da página Serviços Aplicacionais no portal do Azure a mostrar uma lista de todas as aplicações Web em execução, com a primeira aplicação na lista realçada.

    Está agora na página de gestão da sua aplicação Web.

Verificar o escalão de preço

  1. No menu esquerdo da aplicação Web, na secção Definições, selecione Aumentar verticalmente (Serviço de Aplicações plano).

    Captura de ecrã a mostrar o menu da aplicação Web, a secção

  2. Certifique-se de que a aplicação Web não está no escalão F1 ou D1 , o que não suporta TLS/SSL personalizado.

    O escalão atual da aplicação é realçado com uma caixa azul-escura.

    Captura de ecrã a mostrar as informações do escalão de preço da aplicação Web.

  3. Se precisar de aumentar verticalmente, siga os passos na secção seguinte. Caso contrário, feche a página Aumentar verticalmente e ignore a secção Aumentar verticalmente o plano Serviço de Aplicações.

Aumentar verticalmente o seu plano do Serviço de Aplicações

  1. Selecione qualquer escalão não gratuito, como B1, B2, B3 ou qualquer outro escalão na categoria Produção . Para obter mais opções, selecione Ver opções adicionais.

  2. Quando terminar, selecione Aplicar.

    Captura de ecrã a mostrar o escalão de preço e a opção

    Quando for apresentada a seguinte mensagem, a operação de dimensionamento é concluída.

    Captura de ecrã com a mensagem de confirmação para a operação de aumento vertical.

Criar um certificado gerido gratuito

O certificado gerido de Serviço de Aplicações gratuito é uma solução chave na mão para proteger o seu nome DNS personalizado no Serviço de Aplicações. Sem qualquer ação necessária, este certificado de servidor TLS/SSL é totalmente gerido por Serviço de Aplicações e é automaticamente renovado continuamente em incrementos de seis meses, 45 dias antes da expiração, desde que os pré-requisitos que configurou se mantenham os mesmos. Todos os enlaces associados são atualizados com o certificado renovado. Crie e vinculte o certificado a um domínio personalizado e deixe Serviço de Aplicações fazer o resto.

Importante

Antes de criar um certificado gerido gratuito, certifique-se de que cumpriu os pré-requisitos da sua aplicação.

Os certificados gratuitos são emitidos pela DigiCert. Para alguns domínios, tem de permitir explicitamente DigiCert como emissor de certificados ao criar um registo de domínio CAA com o valor : 0 issue digicert.com.

O Azure gere totalmente os certificados em seu nome, pelo que qualquer aspeto do certificado gerido, incluindo o emissor de raiz, pode ser alterado em qualquer altura. Estas alterações estão fora do seu controlo. Confirme que evita dependências rígidas e certificados de prática de "afixação" no certificado gerido ou em qualquer parte da hierarquia de certificados. Se precisar do comportamento de afixação do certificado, adicione um certificado ao seu domínio personalizado com qualquer outro método disponível neste artigo.

O certificado gratuito inclui as seguintes limitações:

  • Não suporta certificados de carateres universais.
  • Não suporta a utilização como certificado de cliente através do thumbprint do certificado, que está planeado para descontinuação e remoção.
  • Não suporta DNS privado.
  • Não é exportável.
  • Não é suportado num Ambiente do Serviço de Aplicações (ASE).
  • Suporta apenas carateres alfanuméricos, travessões (-) e pontos finais (.).
  • Tem de ter um registo A a apontar para o endereço IP da sua aplicação Web.
  • Não é suportado em aplicações que não estão acessíveis publicamente.
  • Não é suportado com domínios de raiz integrados com o Gestor de Tráfego.
  • Tem de cumprir todas as opções acima para que as emissão e renovações de certificados sejam bem-sucedidas.
  1. Na portal do Azure, no menu esquerdo, selecioneNome> da aplicação dos Serviços aplicacionais<>.

  2. No menu de navegação da sua aplicação, selecione Definições de TLS/SSL. No painel que é aberto, selecione Certificados de Chave Privada (.pfx)>Criar Serviço de Aplicações Certificado Gerido.

    Captura de ecrã do menu da aplicação com

  3. Selecione o domínio personalizado para o certificado gratuito e, em seguida, selecione Criar. Só pode criar um certificado para cada domínio personalizado suportado.

    Quando a operação estiver concluída, o certificado é apresentado na lista Certificados de Chave Privada .

    Captura de ecrã do painel

  4. Para proteger um domínio personalizado com este certificado, ainda tem de criar um enlace de certificado. Siga os passos em Criar enlace.

Comprar e importar certificado de Serviço de Aplicações

Se comprar um certificado de Serviço de Aplicações no Azure, o Azure gere as seguintes tarefas:

  • Processa o processo de compra da GoDaddy.
  • Efetua a verificação de domínio do certificado.
  • Mantém o certificado no Azure Key Vault.
  • Gere a renovação do certificado.
  • Sincroniza o certificado automaticamente com as cópias importadas nas aplicações Serviço de Aplicações.

Para comprar um certificado Serviço de Aplicações, aceda a Iniciar encomenda de certificado.

Nota

Atualmente, Serviço de Aplicações certificados não são suportados nas Clouds Nacionais do Azure.

Se já tiver um certificado de Serviço de Aplicações funcional, pode concluir as seguintes tarefas:

Iniciar compra de certificado

  1. Aceda à página Serviço de Aplicações Criação de certificados e inicie a compra de um certificado de Serviço de Aplicações.

    Nota

    Neste artigo, todos os preços apresentados são apenas para fins de exemplo.

    Serviço de Aplicações os Certificados comprados no Azure são emitidos pela GoDaddy. Para alguns domínios, tem de permitir explicitamente a GoDaddy como emissor de certificados ao criar um registo de domínio CAA com o valor : 0 issue godaddy.com

    Captura de ecrã do painel

  2. Para o ajudar a configurar o certificado, utilize a seguinte tabela. Quando concluir, selecione Criar.

    Definições Descrição
    Subscrição A subscrição do Azure a associar ao certificado.
    Grupo de recursos O grupo de recursos que irá conter o certificado. Pode criar um novo grupo de recursos ou selecionar o mesmo grupo de recursos que a sua aplicação Serviço de Aplicações.
    SKU Determina o tipo de certificado a criar, seja um certificado padrão ou um certificado de caráter universal.
    Nome de Anfitrião de Domínio Nu Especifique o domínio de raiz. O certificado emitido protege o domínio de raiz e o www subdomínio. No certificado emitido, o campo Nome Comum especifica o domínio de raiz e o campo Nome Alternativo do Requerente especifica o www domínio. Para proteger apenas qualquer subdomínio, especifique o nome de domínio completamente qualificado para o subdomínio, por exemplo, mysubdomain.contoso.com.
    Nome do certificado O nome amigável do certificado de Serviço de Aplicações.
    Ativar renovação automática Selecione se pretende renovar automaticamente o certificado antes da expiração. Cada renovação prolonga a expiração do certificado por um ano e o custo é cobrado à sua subscrição.

Armazenar certificado no Azure Key Vault

Key Vault é um serviço do Azure que ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações e serviços na cloud. Para Serviço de Aplicações certificados, o armazenamento à sua escolha é Key Vault. Depois de concluir o processo de compra de certificados, tem de concluir mais alguns passos antes de começar a utilizar este certificado.

  1. Na página Certificados Serviço de Aplicações, selecione o certificado. No menu de certificados, selecionePasso 1 daConfiguração> do Certificado: Armazenar.

    Captura de ecrã do painel

  2. Na página Estado do Key Vault, para criar um novo cofre ou escolher um cofre existente, selecione Key Vault Repositório.

  3. Se criar um novo cofre, configure o cofre com base na seguinte tabela e certifique-se de que utiliza a mesma subscrição e grupo de recursos que a sua aplicação Serviço de Aplicações. Quando concluir, selecione Criar.

    Definições Descrição
    Nome Um nome exclusivo que utiliza apenas carateres alfanuméricos e travessões.
    Grupo de recursos Recomendado: o mesmo grupo de recursos que o certificado de Serviço de Aplicações.
    Localização A mesma localização que a sua aplicação Serviço de Aplicações.
    Escalão de preço Para obter informações, veja Detalhes dos preços do Azure Key Vault.
    Políticas de acesso Define as aplicações e o acesso permitido aos recursos do cofre. Pode configurar estas políticas mais tarde ao seguir os passos em Atribuir uma política de acesso Key Vault. Atualmente, Serviço de Aplicações Certificado suporta apenas Key Vault políticas de acesso, não o modelo RBAC.
    Rede Virtual Access Restringir o acesso ao cofre a determinadas redes virtuais do Azure. Pode configurar esta restrição mais tarde ao seguir os passos em Configurar Firewalls e Redes Virtuais do Azure Key Vault
  4. Depois de selecionar o cofre, feche a página Key Vault Repositório. A opção Passo 1: Loja deve mostrar uma marca de verificação verde para indicar êxito. Mantenha a página aberta para o próximo passo.

Confirmar a propriedade do domínio

  1. Na mesma página Configuração do Certificado na secção anterior, selecione Passo 2: Verificar.

    Captura de ecrã do painel

  2. Selecione Serviço de Aplicações Verificação. No entanto, como mapeou anteriormente o domínio para a sua aplicação Web de acordo com os Pré-requisitos, o domínio já está verificado. Para concluir este passo, selecione Verificar e, em seguida, selecione Atualizar até aparecer a mensagem Certificado de Domínio Verificado .

São suportados os seguintes métodos de verificação de domínio:

Método Descrição
Serviço de Aplicações A opção mais conveniente quando o domínio já está mapeado para uma aplicação Serviço de Aplicações na mesma subscrição porque a aplicação Serviço de Aplicações já verificou a propriedade do domínio. Reveja o último passo em Confirmar a propriedade do domínio.
Domínio Confirme um domínio de Serviço de Aplicações que comprou no Azure. O Azure adiciona automaticamente o registo TXT de verificação e conclui o processo.
Correio Confirme o domínio ao enviar um e-mail para o administrador de domínio. As instruções são fornecidas quando seleciona a opção.
Manual Confirme o domínio com um registo TXT DNS ou uma página HTML, que se aplica apenas a certificados Standard de acordo com a nota seguinte. Os passos são fornecidos depois de selecionar a opção. A opção de página HTML não funciona para aplicações Web com "Apenas HTTPS" ativado.

Importante

Para um certificado Standard , o fornecedor de certificados fornece-lhe um certificado para o domínio de nível superior pedido e o www subdomínio, por exemplo, contoso.com e www.contoso.com. No entanto, a partir de 1 de dezembro de 2021, é introduzida uma restrição no Serviço de Aplicações e nos Métodos de verificação manual. Para confirmar a propriedade do domínio, ambos utilizam a verificação da página HTML. Este método não permite que o fornecedor de certificados inclua o www subdomínio ao emitir, recodificar ou renovar um certificado.

No entanto, os métodos de verificação Domínio e Correio continuam a incluir o www subdomínio com o domínio de nível superior pedido no certificado.

Importar certificado para Serviço de Aplicações

  1. Na portal do Azure, no menu esquerdo, selecioneNome> da aplicação dos Serviços aplicacionais<>.

  2. No menu de navegação da aplicação, selecione TLS/SSL settingsPrivate Key Certificates> (.pfx)>Import Serviço de Aplicações Certificate (Importar Certificado de Serviço de Aplicações).

    Captura de ecrã do menu da aplicação com

  3. Selecione o certificado que acabou de comprar e, em seguida, selecione OK.

    Quando a operação estiver concluída, o certificado é apresentado na lista Certificados de Chave Privada .

    Captura de ecrã do painel

  4. Para proteger um domínio personalizado com este certificado, ainda tem de criar um enlace de certificado. Siga os passos em Criar enlace.

Importar um certificado do Key Vault

Se utilizar o Azure Key Vault para gerir os certificados, pode importar um certificado PKCS12 para Serviço de Aplicações a partir de Key Vault se cumprir os requisitos.

Autorizar Serviço de Aplicações a ler a partir do cofre

Por predefinição, o Serviço de Aplicações fornecedor de recursos não tem acesso ao cofre de chaves. Para utilizar um cofre de chaves para uma implementação de certificados, tem de autorizar o acesso de leitura do fornecedor de recursos ao cofre de chaves.

Nota

Atualmente, um certificado de Key Vault suporta apenas a política de acesso Key Vault e não o modelo RBAC.

Fornecedor de recursos AppId do principal de serviço Permissões de segredos do cofre de chaves Permissões de certificados do cofre de chaves
Microsoft Serviço de Aplicações do Azure ou Microsoft.Azure.WebSites - abfa0a7c-a6b6-4736-8310-5855508787cd, que é o mesmo para todas as subscrições do Azure

- Para Azure Government ambiente na cloud, utilize 6a02c803-dafd-4136-b4c3-5a6f318b4714.
Get Get
Microsoft.Azure.CertificateRegistration Get
Lista
Definir
Eliminar
Get
Lista

Importar um certificado do cofre para a sua aplicação

  1. Na portal do Azure, no menu esquerdo, selecioneNome> da aplicação dos Serviços aplicacionais<>.

  2. No menu de navegação da sua aplicação, selecione TLS/SSL settingsPrivate Key Certificates> (.pfx)>Import Key Vault Certificate (Importar Certificado de Key Vault).

    Captura de ecrã a mostrar

  3. Para o ajudar a selecionar o certificado, utilize a seguinte tabela:

    Definições Descrição
    Subscrição A subscrição associada ao cofre de chaves.
    Cofre de Chaves O cofre de chaves que tem o certificado que pretende importar.
    Certificado Nesta lista, selecione um certificado PKCS12 que esteja no cofre. Todos os certificados PKCS12 no cofre são listados com os respetivos thumbprints, mas nem todos são suportados no Serviço de Aplicações.

    Quando a operação estiver concluída, o certificado é apresentado na lista Certificados de Chave Privada . Se a importação falhar com um erro, o certificado não cumpre os requisitos de Serviço de Aplicações.

    Captura de ecrã do painel

    Nota

    Se atualizar o certificado no Key Vault com um novo certificado, Serviço de Aplicações sincroniza automaticamente o certificado dentro de 24 horas.

  4. Para proteger um domínio personalizado com este certificado, ainda tem de criar um enlace de certificado. Siga os passos em Criar enlace.

Carregar um certificado privado

Depois de obter um certificado do fornecedor de certificados, prepare o certificado para Serviço de Aplicações ao seguir os passos nesta secção.

Intercalar certificados intermédios

Se a autoridade de certificação lhe fornecer vários certificados na cadeia de certificados, terá de intercalar os certificados seguindo a mesma ordem.

  1. Num editor de texto, abra cada certificado recebido.

  2. Para armazenar o certificado intercalado, crie um ficheiro com o nome mergedcertificate.crt.

  3. Copie o conteúdo de cada certificado para este ficheiro. Certifique-se de que segue a sequência de certificados especificada pela cadeia de certificados, começando pelo certificado e terminando com o certificado de raiz, por exemplo:

    -----BEGIN CERTIFICATE-----
    <your entire Base64 encoded SSL certificate>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 1>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded intermediate certificate 2>
    -----END CERTIFICATE-----
    
    -----BEGIN CERTIFICATE-----
    <The entire Base64 encoded root certificate>
    -----END CERTIFICATE-----
    

Exportar certificado privado intercalado para PFX

Agora, exporte o certificado TLS/SSL intercalado com a chave privada que foi utilizada para gerar o pedido de certificado. Se tiver gerado o pedido de certificado com o OpenSSL, criou um ficheiro de chave privada.

Nota

O OpenSSL v3 cria séries de certificados com 20 octetos (40 carateres) conforme a especificação X.509 permite. Atualmente, apenas são suportados 10 octetos (20 carateres) ao carregar ficheiros PFX de certificado. O OpenSSL v3 também alterou a cifra predefinida de 3DES para AES256, mas pode ser substituída na linha de comandos. O OpenSSL v1 utiliza 3DES como predefinição e utiliza apenas 8 octetos (16 carateres) na série, pelo que os ficheiros PFX gerados são suportados sem modificações especiais.

  1. Para exportar o certificado para um ficheiro PFX, execute o seguinte comando, mas substitua os marcadores <de posição private-key-file> e <merged-certificate-file> pelos caminhos para a chave privada e o ficheiro de certificado intercalado.

    openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  
    
  2. Quando lhe for pedido, especifique uma palavra-passe para a operação de exportação. Quando carregar o certificado TLS/SSL para Serviço de Aplicações posteriormente, terá de fornecer esta palavra-passe.

  3. Se utilizou o IIS ou Certreq.exe para gerar o pedido de certificado, instale o certificado no seu computador local e, em seguida, exporte o certificado para um ficheiro PFX.

Carregar o certificado para Serviço de Aplicações

Está pronto para carregar o certificado para Serviço de Aplicações.

  1. Na portal do Azure, no menu esquerdo, selecioneNome> da aplicação dos Serviços aplicacionais<>.

  2. No menu de navegação da aplicação, selecione TLS/SSL settingsPrivate Key Certificates> (.pfx)>Upload Certificate(Carregar Certificado).

    Captura de ecrã a mostrar

  3. Em Ficheiro de Certificado PFX, selecione o ficheiro PFX. Em Palavra-passe do certificado, introduza a palavra-passe que criou quando exportou o ficheiro PFX. Quando terminar, selecione Carregar.

    Quando a operação estiver concluída, o certificado é apresentado na lista Certificados de Chave Privada .

    Captura de ecrã do painel

  4. Para proteger um domínio personalizado com este certificado, ainda tem de criar um enlace de certificado. Siga os passos em Criar enlace.

Carregar um certificado público

Os certificados públicos são suportados no formato .cer .

  1. Na portal do Azure, no menu esquerdo, selecioneNome> da aplicação dos Serviços aplicacionais<>.

  2. No menu de navegação da sua aplicação, selecione Definições TLS/SSL Certificados Públicos>(.cer)>Carregar Certificado de Chave Pública.

  3. Em Nome, introduza o nome do certificado. No ficheiro certificado CER, selecione o seu ficheiro CER. Quando terminar, selecione Carregar.

    Captura de ecrã do nome e do certificado de chave pública a carregar.

  4. Depois de o certificado ser carregado, copie o thumbprint do certificado e, em seguida, reveja Tornar o certificado acessível.

Renovar um certificado prestes a expirar

Antes de um certificado expirar, certifique-se de que adiciona o certificado renovado ao Serviço de Aplicações e atualize quaisquer enlaces TLS/SSL em que o processo depende do tipo de certificado. Por exemplo, um certificado importado de Key Vault, incluindo um certificado de Serviço de Aplicações, sincroniza automaticamente para Serviço de Aplicações a cada 24 horas e atualiza o enlace TLS/SSL quando renova o certificado. Para um certificado carregado, não existe nenhuma atualização de enlace automática. Com base no seu cenário, reveja a secção correspondente:

Renovar certificado carregado

Quando substitui um certificado prestes a expirar, a forma como atualiza o enlace de certificado pelo novo certificado pode afetar negativamente a experiência do utilizador. Por exemplo, o seu endereço IP de entrada pode ser alterado quando elimina um enlace, mesmo que esse enlace seja baseado em IP. Este resultado é especialmente impactante quando renova um certificado que já está num enlace baseado em IP. Para evitar uma alteração no endereço IP da aplicação e evitar períodos de indisponibilidade da aplicação devido a erros de HTTPS, siga estes passos na sequência especificada:

  1. Carregue o novo certificado.

  2. Vincular o novo certificado ao mesmo domínio personalizado sem eliminar o certificado existente que expira. Para esta tarefa, aceda ao painel de definições TLS/SSL da sua aplicação Serviço de Aplicações e selecione Adicionar Enlace.

    Esta ação substitui o enlace, em vez de remover o enlace de certificado existente.

  3. Elimine o certificado existente.

Renovar certificado de Serviço de Aplicações

Por predefinição, Serviço de Aplicações certificados têm um período de validade de um ano. Antes e mais perto da data de expiração, pode renovar automaticamente ou manualmente Serviço de Aplicações certificados em incrementos de um ano. O processo de renovação dá-lhe efetivamente um novo certificado de Serviço de Aplicações com a data de expiração prolongada para um ano a partir da data de expiração do certificado existente.

Nota

A partir de 23 de setembro de 2021, se não tiver verificado o domínio nos últimos 395 dias, Serviço de Aplicações certificados necessitam de verificação de domínio durante um processo de renovação ou recodificação. A nova ordem de certificado permanece no modo de "emissão pendente" durante o processo de renovação ou recodificação até concluir a verificação do domínio.

Ao contrário de um certificado gerido Serviço de Aplicações, a nova verificação do domínio para certificados de Serviço de Aplicações não é automatizada. A falha ao verificar a propriedade do domínio resulta em renovações falhadas. Para obter mais informações sobre como verificar o certificado de Serviço de Aplicações, veja Confirmar a propriedade do domínio.

O processo de renovação requer que o principal de serviço conhecido para Serviço de Aplicações tenha as permissões necessárias no cofre de chaves. Estas permissões são configuradas automaticamente quando importa um certificado de Serviço de Aplicações através do portal do Azure. Certifique-se de que não remove estas permisisons do cofre de chaves.

  1. Para alterar a definição de renovação automática do certificado de Serviço de Aplicações em qualquer altura, na página Certificados de Serviço de Aplicações, selecione o certificado.

  2. No menu esquerdo, selecione Definições de Renovação Automática.

  3. Selecione Ativar ou Desativar e selecione Guardar.

    Se ativar a renovação automática, os certificados podem começar a renovar automaticamente 32 dias antes da expiração.

    Captura de ecrã a mostrar as definições de renovação automática do certificado especificado.

  4. Para renovar manualmente o certificado, selecione Renovação Manual. Pode pedir para renovar manualmente o certificado 60 dias antes da expiração.

  5. Após a conclusão da operação de renovação, selecione Sincronizar.

    A operação de sincronização atualiza automaticamente os enlaces de nome de anfitrião do certificado no Serviço de Aplicações sem causar qualquer período de indisponibilidade para as suas aplicações.

    Nota

    Se não selecionar Sincronizar, Serviço de Aplicações sincroniza automaticamente o certificado dentro de 24 horas.

Renovar um certificado importado do Key Vault

Para renovar um certificado que importou para Serviço de Aplicações a partir de Key Vault, veja Renovar o certificado do Azure Key Vault.

Após a renovação do certificado no cofre de chaves, Serviço de Aplicações sincroniza automaticamente o novo certificado e atualiza qualquer enlace TLS/SSL aplicável dentro de 24 horas. Para sincronizar manualmente, siga estes passos:

  1. Aceda à página de definições TLS/SSL da sua aplicação.

  2. Em Certificados de Chave Privada, selecione o certificado importado e, em seguida, selecione Sincronizar.

Gerir certificados de Serviço de Aplicações

Esta secção inclui ligações para tarefas que o ajudam a gerir um certificado de Serviço de Aplicações que comprou:

Recodificar Serviço de Aplicações certificado

Se considerar que a chave privada do certificado está comprometida, pode recodificar o certificado. Esta ação lança o certificado com um novo certificado emitido pela autoridade de certificação.

  1. Na página Certificados Serviço de Aplicações, selecione o certificado. No menu esquerdo, selecione Recodificar e Sincronizar.

  2. Para iniciar o processo, selecione Recodificar. Este processo pode demorar entre 1 a 10 minutos a concluir.

    Captura de ecrã a mostrar a recodificação de um certificado de Serviço de Aplicações.

  3. Também poderá ser necessário voltar a confirmar a propriedade do domínio.

  4. Após a conclusão da operação de recodificação, selecione Sincronizar.

    A operação de sincronização atualiza automaticamente os enlaces de nome de anfitrião do certificado no Serviço de Aplicações sem causar qualquer período de indisponibilidade para as suas aplicações.

    Nota

    Se não selecionar Sincronizar, Serviço de Aplicações sincroniza automaticamente o certificado dentro de 24 horas.

Exportar certificado de Serviço de Aplicações

Uma vez que um certificado Serviço de Aplicações é um segredo Key Vault, pode exportar uma cópia como um ficheiro PFX, que pode utilizar para outros serviços do Azure ou fora do Azure.

Importante

O certificado exportado é um artefacto não gerido. Serviço de Aplicações não sincroniza esses artefactos quando o Certificado de Serviço de Aplicações é renovado. Tem de exportar e instalar o certificado renovado sempre que necessário.

  1. Na página Certificados Serviço de Aplicações, selecione o certificado.

  2. No menu esquerdo, selecione Exportar Certificado.

  3. Selecione Abrir no Key Vault.

  4. Selecione a versão atual do certificado.

  5. Selecione Transferir como certificado.

O ficheiro PFX transferido é um ficheiro PKCS12 não processado que contém os certificados públicos e privados e tem uma palavra-passe de importação que é uma cadeia vazia. Pode instalar localmente o ficheiro deixando o campo de palavra-passe vazio. Não pode carregar o ficheiro tal como está no Serviço de Aplicações porque o ficheiro não está protegido por palavra-passe.

Eliminar certificado de Serviço de Aplicações

Se eliminar um certificado de Serviço de Aplicações, a operação de eliminação é irreversível e final. O resultado é um certificado revogado e qualquer enlace no Serviço de Aplicações que utiliza este certificado torna-se inválido.

Para evitar a eliminação acidental, o Azure coloca um bloqueio no certificado de Serviço de Aplicações. Por isso, para eliminar o certificado, primeiro tem de remover o bloqueio de eliminação no certificado.

  1. Na página Certificados Serviço de Aplicações, selecione o certificado.

  2. No menu esquerdo, selecione Bloqueios.

  3. No certificado, localize o bloqueio com o tipo de bloqueio denominado Eliminar. No lado direito, selecione Eliminar.

    Captura de ecrã a mostrar a eliminação do bloqueio num certificado de Serviço de Aplicações.

  4. Agora, pode eliminar o certificado de Serviço de Aplicações. No menu esquerdo, selecione Descrição Geral>Eliminar.

  5. Quando a caixa de confirmação abrir, introduza o nome do certificado e selecione OK.

Automatizar com scripts

CLI do Azure

Vincular um certificado TLS/SSL personalizado a uma aplicação Web

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Mais recursos