Certificados e o ambiente do Serviço de Aplicativo
Nota
Este artigo é sobre o Ambiente do Serviço de Aplicativo v3, que é usado com os planos do Serviço de Aplicativo Isolado v2
O Ambiente do Serviço de Aplicativo é uma implantação do Serviço de Aplicativo do Azure que é executado em sua rede virtual do Azure. Ele pode ser implantado com um ponto de extremidade de aplicativo acessível pela Internet ou um ponto de extremidade de aplicativo que está em sua rede virtual. Se você implantar o Ambiente do Serviço de Aplicativo com um ponto de extremidade acessível pela Internet, essa implantação será chamada de Ambiente do Serviço de Aplicativo Externo. Se você implantar o Ambiente do Serviço de Aplicativo com um ponto de extremidade em sua rede virtual, essa implantação será chamada de Ambiente do Serviço de Aplicativo ILB. Você pode saber mais sobre o Ambiente do Serviço de Aplicativo ILB no documento Criar e usar um Ambiente do Serviço de Aplicativo ILB.
Certificados de candidatura
Os aplicativos hospedados em um Ambiente do Serviço de Aplicativo oferecem suporte aos seguintes recursos de certificado centrados no aplicativo, que também estão disponíveis no Serviço de Aplicativo multilocatário. Para obter requisitos e instruções para carregar e gerenciar esses certificados, consulte Adicionar um certificado TLS/SSL no Serviço de Aplicativo do Azure.
Depois de adicionar o certificado ao seu aplicativo do Serviço de Aplicativo ou aplicativo de função, você pode proteger um nome de domínio personalizado com ele ou usá-lo no código do aplicativo.
Limitações
Os certificados gerenciados do Serviço de Aplicativo não são suportados em aplicativos hospedados em um Ambiente do Serviço de Aplicativo.
Definições do TLS
Você pode definir a configuração TLS em um nível de aplicativo.
Certificado de cliente privado
Um caso de uso comum é configurar seu aplicativo como um cliente em um modelo cliente-servidor. Se você proteger seu servidor com um certificado de autoridade de certificação privada, precisará carregar o certificado do cliente (arquivo .cer ) para seu aplicativo. As instruções a seguir carregam certificados no armazenamento confiável dos trabalhadores em que seu aplicativo está sendo executado. Você só precisa carregar o certificado uma vez para usá-lo com aplicativos que estão no mesmo plano do Serviço de Aplicativo.
Nota
Os certificados de cliente privado só são suportados a partir de código personalizado em aplicações de código do Windows. Não há suporte para certificados de cliente privado fora do aplicativo. Isso limita o uso em cenários como extrair a imagem do contêiner do aplicativo de um registro usando um certificado privado e validação TLS através dos servidores front-end usando um certificado privado.
Siga estas etapas para carregar o certificado (arquivo .cer ) para seu aplicativo no Ambiente do Serviço de Aplicativo. O arquivo .cer pode ser exportado do seu certificado. Para fins de teste, há um exemplo do PowerShell no final para gerar um certificado autoassinado temporário:
Vá para o aplicativo que precisa do certificado no portal do Azure
Vá para Certificados no aplicativo. Selecione Certificado de Chave Pública (.cer). Selecione Adicionar certificado. Forneça um nome. Procure e selecione seu arquivo .cer . Selecione carregar.
Copie a impressão digital.
Vá para Configurações>do aplicativo de configuração. Crie uma configuração de aplicativo WEBSITE_LOAD_ROOT_CERTIFICATES com a impressão digital como o valor. Se você tiver vários certificados, poderá colocá-los na mesma configuração separados por vírgulas e sem espaço em branco como
84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819
O certificado está disponível por todos os aplicativos no mesmo plano de serviço de aplicativo que o aplicativo, que definiu essa configuração, mas todos os aplicativos que dependem do certificado de autoridade de certificação privada devem ter a Configuração do Aplicativo configurada para evitar problemas de tempo.
Se você precisar que ele esteja disponível para aplicativos em um plano diferente do Serviço de Aplicativo, precisará repetir a operação de configuração do aplicativo para os aplicativos desse plano do Serviço de Aplicativo. Para verificar se o certificado está definido, vá para o console do Kudu e emita o seguinte comando no console de depuração do PowerShell:
dir Cert:\LocalMachine\Root
Para executar testes, você pode criar um certificado autoassinado e gerar um arquivo .cer com o seguinte PowerShell:
$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"
$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT
Certificado de servidor privado
Se seu aplicativo atuar como um servidor em um modelo cliente-servidor, seja atrás de um proxy reverso ou diretamente com um cliente privado e você estiver usando um certificado de CA privado, será necessário carregar o certificado do servidor (arquivo .pfx ) com a cadeia de certificados completa para seu aplicativo e vincular o certificado ao domínio personalizado. Como a infraestrutura é dedicada ao seu Ambiente do Serviço de Aplicativo, a cadeia de certificados completa é adicionada ao armazenamento confiável dos servidores. Você só precisa carregar o certificado uma vez para usá-lo com aplicativos que estão no mesmo Ambiente do Serviço de Aplicativo.
Nota
Se carregou o seu certificado antes de 1. Em outubro de 2023, você precisará recarregar e vincular novamente o certificado para que toda a cadeia de certificados seja adicionada aos servidores.
Siga o tutorial de domínio personalizado seguro com TLS/SSL para carregar/vincular seu certificado de CA privado enraizado ao aplicativo em seu Ambiente do Serviço de Aplicativo.
Próximos passos
- Informações sobre como usar certificados no código do aplicativo