Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Ao configurar um domínio ou certificado TLS/SSL para seus aplicativos Web no Serviço de Aplicativo do Azure, você pode encontrar os seguintes problemas comuns. Este artigo explora as possíveis causas e soluções para estes problemas.
Além das informações neste artigo, você pode obter mais ajuda entrando em contato com especialistas do Azure nos fóruns Microsoft Q & A e Stack Overflow. Como alternativa, você pode registrar um incidente de suporte do Azure no site de Suporte do Azure. Selecione Obter suporte.
Nota
Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Problemas com certificados
Não é possível adicionar uma associação de certificado TLS/SSL a um aplicativo
Sintoma
Quando você adiciona uma ligação TLS, você recebe a seguinte mensagem de erro:
Falha em adicionar vinculação SSL. Não é possível definir o certificado para o VIP existente porque outro VIP já usa esse certificado."
Motivo
Esse problema pode acontecer se você tiver várias ligações TLS/SSL baseadas em IP para o mesmo endereço IP em vários aplicativos. Por exemplo, o aplicativo A tem uma associação TLS/SSL baseada em IP com um certificado antigo. O aplicativo B tem uma associação TLS/SSL baseada em IP com um novo certificado para o mesmo endereço IP. Quando você atualiza a associação TLS do aplicativo com o novo certificado, a atualização falha porque o mesmo endereço IP é usado para outro aplicativo e você recebe a mensagem de erro.
Solução
Para resolver esse problema, tente um dos seguintes métodos:
- Exclua a associação TLS/SSL baseada em IP no aplicativo que usa o certificado antigo.
- Crie uma nova ligação TLS/SSL baseada em IP que use o novo certificado.
Não é possível excluir um certificado
Sintoma
Quando você tenta excluir um certificado, você receber a seguinte mensagem de erro:
"Não é possível excluir o certificado porque ele está sendo usado atualmente em uma associação TLS/SSL. A associação TLS deve ser removida antes que você possa excluir o certificado."
Motivo
Esse problema pode acontecer se outro aplicativo usar o certificado.
Solução
- Remova a associação TLS para esse certificado dos aplicativos.
- Tente apagar o certificado.
- Se ainda não conseguir excluir o certificado, limpe o cache do navegador da Internet e reabra o portal do Azure em uma nova janela do navegador. Em seguida, tente excluir o certificado.
Não é possível comprar um certificado do Serviço de Aplicativo
Sintoma
No portal do Azure, você não pode comprar um certificado do Serviço de Aplicativo do Azure.
Causa e solução
Esse problema pode acontecer por qualquer um dos seguintes motivos:
O plano do Serviço de Aplicativo é um nível de preço Gratuito ou Compartilhado, que não oferece suporte a TLS.
Solução: atualize o plano do Serviço de Aplicativo para Padrão.
A subscrição não tem um cartão de crédito válido.
Solução: adicione um cartão de crédito válido à sua subscrição.
A oferta de subscrição não suporta a compra de um certificado do Serviço de Aplicações. Exemplo: Microsoft Student.
Solução: atualize a sua subscrição.
A subscrição atingiu o limite de compra permitido.
Solução: os certificados do Serviço de Aplicativo têm um limite de 10 compras de certificados para os tipos de assinatura pré-pago e Enterprise Agreement. Para outros tipos de assinatura, o limite é 3. Para aumentar o limite, contacte o suporte do Azure.
O certificado do Serviço de Aplicativo foi marcado como fraude. Você recebeu a seguinte mensagem de erro: "Seu certificado foi sinalizado para possível fraude. O pedido está atualmente a ser analisado. Se o certificado não se tornar utilizável dentro de 24 horas, contacte o Suporte do Azure."
Solução: Se o certificado estiver marcado como fraude e não for resolvido após 24 horas, siga estes passos:
Inicie sessão no portal do Azure.
Vá para Certificados do Serviço de Aplicativo e selecione o certificado.
Selecione Configuração do Certificado>Etapa 2: Verificar>Verificação de Domínio. Esta etapa envia um aviso por email para o provedor de certificados do Azure para resolver o problema.
Um certificado do Serviço de Aplicativo foi renovado, mas o aplicativo mostra o certificado antigo
Sintoma
O certificado do Serviço de Aplicativo foi renovado, mas o aplicativo que usa o certificado do Serviço de Aplicativo ainda está usando o certificado antigo. Você também pode receber um aviso de que o protocolo HTTPS é necessário.
Causa 1: Falta de permissões de política de acesso no cofre de chaves
O cofre de chaves usado para armazenar o certificado do Serviço de Aplicativo não tem permissões de política de acesso no cofre de chaves para Microsoft.Azure.Websites e Microsoft.Azure.CertificateRegistration. Os princípios de serviço e as suas permissões necessárias para acesso ao cofre de chaves são:
| Entidade de serviço | Permissões secretas | Permissões de certificado |
|---|---|---|
| Serviço de Aplicações do Microsoft Azure | Obter | Obter |
| Microsoft.Azure.CertificateRegistration | Obter, Listar, Excluir | Obter, Listar |
Solução 1: Modificar as políticas de acesso para o cofre de chaves
Para modificar as políticas de acesso para o cofre de chaves, siga os passos abaixo:
- Inicie sessão no portal do Azure. Selecione o cofre de chaves usado pelo certificado do App Service. Vá para Políticas de acesso.
- Se você não vir as duas entidades de serviço listadas, precisará adicioná-las. Se estiverem disponíveis, verifique se as permissões incluem as permissões de segredo e certificado recomendadas.
- Adicione um principal de serviço selecionando Criar. Em seguida, selecione as permissões necessárias para as permissões Secret e Certificate.
- Para a entidade de serviço, insira os valores que você obteve anteriormente na caixa de pesquisa. Em seguida, selecione a entidade de serviço.
Causa 2: O serviço de aplicativo não foi sincronizado com o novo certificado
O Serviço de Aplicativo sincroniza automaticamente seu certificado em 48 horas. Quando você alterna ou atualiza um certificado, às vezes o aplicativo ainda está recuperando o certificado antigo e não o certificado recém-atualizado. Isso acontece porque o trabalho que sincroniza o recurso de certificado não foi executado. Para resolver esse problema, sincronize o certificado manualmente. A sincronização manual atualiza as associações de nomes de host para o certificado no App Service sem causar nenhuma interrupção nas suas aplicações.
Solução 2: Forçar uma sincronização para o certificado
Para forçar uma sincronização para o certificado, siga estes passos:
- Inicie sessão no portal do Azure. Selecione Certificados do Serviço de Aplicativo e, em seguida, selecione o certificado.
- Selecione Rekey e Sync e, em seguida, selecione Sync. A sincronização leva algum tempo para ser concluída.
- Quando a sincronização terminar, a seguinte notificação será exibida: "Atualizado com êxito todos os recursos com o certificado mais recente."
O Serviço de Aplicativo está mostrando o certificado errado
Sintoma
Quando você está navegando no Serviço de Aplicativo, ele está apresentando o certificado errado.
Motivo
Esse problema pode se manifestar quando as ligações IP SSL e SNI (Indicação de Nome do Servidor) são configuradas para o Serviço de Aplicativo. Quando clientes que não usam SNI atingem o ponto de extremidade IP SSL, o certificado IP SSL é armazenado em cache. Mesmo que os clientes habilitados para SNI acessem o site, eles recebem o certificado IP SSL, o que faz com que um certificado inválido seja apresentado.
Solução
Certifique-se de não usar associações SNI junto com associações IP SSL e sempre navegue até o site pela URL de domínio personalizada se você tiver clientes não-SNI. Se você precisar usar associações SNI, certifique-se de que o certificado vinculado à associação IP SSL seja emitido para proteger todas as URLs configuradas para o site (incluindo as associações SNI). Configure o mesmo certificado em relação a todos os outros vínculos. Este comportamento é intencional.
Problemas de domínio personalizado
Um domínio personalizado retorna um erro 404
Sintoma
Quando você navega para o site usando o nome de domínio personalizado, você recebe a mensagem de erro "Erro 404 - aplicativo Web não encontrado".
Causa e solução
Causa 1
Seu domínio personalizado configurado está faltando um CNAME record ou um A record.
Solução para o motivo 1
- Se você adicionou um
A record, certifique-se de que umTXT recordtambém foi adicionado. Para obter mais informações, consulte Criar os registros DNS. - Se não tiveres de usar o domínio raiz para a tua aplicação, recomendamos que uses um
CNAME recordem vez de umA record. - Não use a
CNAME recorde umA recordpara o mesmo domínio. Esse problema pode causar um conflito e impedir a resolução do domínio.
Causa 2
O navegador da Internet ainda pode estar armazenando em cache o endereço IP antigo do seu domínio.
Solução para a Causa 2
Limpe o navegador. Para dispositivos Windows, você pode executar o comando ipconfig /flushdns. Para verificar se o seu domínio aponta para o endereço IP da aplicação, utilize WhatsmyDNS.net.
Não é possível adicionar um subdomínio
Sintoma
Não é possível adicionar um novo nome de host a um aplicativo para atribuir um subdomínio.
Solução
- Verifique se você tem permissões para adicionar um nome de host a um aplicativo verificando com o administrador da assinatura.
- Se precisar de mais subdomínios, recomendamos que altere a hospedagem de domínio para o DNS do Azure. Usando o DNS do Azure, você pode adicionar 500 nomes de host ao seu aplicativo. Para obter mais informações, consulte Adicionar um subdomínio.
O DNS não pode ser resolvido
Sintoma
Recebeu a seguinte mensagem de erro: "Não foi possível localizar o registo DNS."
Motivo
Esse problema acontece por um dos seguintes motivos:
- O período de validade (TTL) ainda não expirou. Para determinar o valor TTL, verifique a configuração de DNS do seu domínio e aguarde até que o período expire.
- A configuração do DNS está incorreta.
Solução
- Aguarde 48 horas para que este problema se resolva sozinho.
- Se você puder alterar a configuração TTL na configuração de DNS, tente alterar o valor para 5 minutos, o que pode resolver esse problema.
- Para verificar se o seu domínio aponta para o endereço IP da aplicação, utilize WhatsmyDNS.net. Se o domínio não apontar para o endereço IP, configure o
A recordpara o endereço IP correto do aplicativo.
Você precisa restaurar um domínio excluído
Sintoma
Seu domínio não está mais visível no portal do Azure.
Motivo
O proprietário da subscrição pode ter eliminado acidentalmente o domínio.
Solução
Se o seu domínio tiver sido eliminado há menos de sete dias, o domínio não iniciou o processo de eliminação. Nesse caso, você pode comprar o mesmo domínio novamente no portal do Azure com a mesma assinatura. (Certifique-se de digitar o nome de domínio exato na caixa de pesquisa.) Este domínio não será cobrado novamente. Se o domínio tiver sido excluído há mais de sete dias, entre em contato com o suporte do Azure para obter ajuda com a restauração do domínio.
Problemas de domínio
Você comprou um certificado TLS/SSL para o domínio errado
Sintoma
Você comprou um certificado do Serviço de Aplicativo para o domínio errado. Não é possível atualizar o certificado para usar o domínio correto.
Solução
Exclua esse certificado e compre um novo certificado.
Se o certificado atual que usa o domínio errado estiver no estado "Emitido", você também será cobrado por esse certificado. Os certificados do Serviço de Aplicativo não são reembolsáveis, mas você pode entrar em contato com o suporte do Azure para obter outras opções possíveis.
A verificação de domínio não está a funcionar
Sintoma
O certificado do Serviço de Aplicativo requer verificação de domínio antes que o certificado esteja pronto para uso. Quando você seleciona Verificar, o processo falha.
Solução
Verifique manualmente o seu domínio adicionando um TXT record:
Aceda ao fornecedor de DNS que aloja o nome de domínio.
Adicione um
TXT recordpara o seu domínio que usa o valor do token de domínio do portal do Azure.Aguarde alguns minutos até que a propagação de DNS seja executada e, em seguida, selecione o botão Atualizar para acionar a verificação.
Como alternativa, você pode usar o método de página da Web HTML para verificar manualmente seu domínio. Esse método permite que a autoridade de certificação (CA) confirme a propriedade do domínio para o qual o certificado é emitido.
Crie um arquivo HTML chamado
{domain verification token}.html. O conteúdo do arquivo deve conter o valor do token de verificação de domínio.Carregue este ficheiro na raiz do servidor Web que está a alojar o seu domínio.
Selecione Atualizar para verificar o status do certificado. Pode levar alguns minutos para que a verificação seja concluída.
Por exemplo, se você estiver comprando um certificado padrão para azure.com com o token 1234abcdde verificação de domínio, uma solicitação da Web feita para https://azure.com/1234abcd.html deve retornar 1234abcd.
Importante
A compra de um certificado tem apenas 15 dias para concluir a operação de verificação de domínio. Após 15 dias, a autoridade de certificação nega o certificado e você não é cobrado pelo certificado. Nesta situação, elimine este certificado e tente novamente.
Não é possível comprar um domínio
Sintoma
Não é possível comprar um domínio do Serviço de Aplicativo no portal do Azure.
Causa e solução
Esse problema acontece por um dos seguintes motivos:
Não existem cartões de crédito na subscrição do Azure ou o cartão de crédito é inválido.
Solução: adicione um cartão de crédito válido à sua subscrição.
O tipo de subscrição do Azure não suporta a compra de um domínio do Serviço de Aplicações.
Solução: atualize sua assinatura do Azure para outro tipo de assinatura, como uma assinatura pré-paga.
Dependendo do tipo de assinatura, talvez seja necessário ter um histórico de pagamentos suficiente antes de comprar um domínio do Serviço de Aplicativo.
Solução: compre com uma subscrição diferente que tenha um histórico de pagamentos ou aguarde até ter um histórico de pagamentos com a sua subscrição atual.
Não é o proprietário da subscrição, pelo que não tem permissão para comprar um domínio.
Solução: atribua a função de Proprietário à sua conta. Ou entre em contato com o administrador da assinatura para obter permissão para comprar um domínio.
Não é possível adicionar um nome de host a um aplicativo
Sintoma
Quando você adiciona um nome de host, o processo não consegue validar e verificar o domínio.
Motivo
Esse problema acontece por um dos seguintes motivos:
Você não tem permissão para adicionar um nome de host.
Solução: Peça ao administrador da subscrição para lhe dar permissão para adicionar um nome de anfitrião.
Não foi possível verificar a propriedade do seu domínio.
Solução: verifique se o seu
CNAME recordouA recordestá configurado corretamente. Para mapear um domínio personalizado num aplicativo, crie umCNAME recordouA recordarquivo. Se você quiser usar um domínio raiz, você deve usar umA recorde umTXT record:Tipo de registo Anfitrião Aponte para A@Endereço IP de uma aplicação TXT@<app-name>.azurewebsites.netCNAMEwww<app-name>.azurewebsites.net
Perguntas Frequentes
Tenho de configurar o meu domínio personalizado para o meu website quando o compro?
Quando você compra um domínio no portal do Azure, o aplicativo Serviço de Aplicativo é configurado automaticamente para usar esse domínio personalizado. Você não precisa tomar mais nenhuma medida. Para obter mais informações, assista Autoajuda do Serviço de Aplicativo do Azure: Adicionar um nome de domínio personalizado no Channel9.
Posso usar um domínio comprado no portal do Azure para apontar para uma máquina virtual do Azure?
Sim, você pode apontar o domínio para uma máquina virtual. Para obter mais informações, veja Utilizar o DNS do Azure para oferecer definições de domínio personalizado para um serviço do Azure.
O meu domínio está alojado pela GoDaddy ou pelo DNS do Azure?
Os domínios do Serviço de Aplicativo usam a GoDaddy para registro de domínio e o DNS do Azure para hospedar os domínios.
Ativei a renovação automática, mas ainda recebi um aviso de renovação do meu domínio por e-mail. O que devo fazer?
Se você ativou a renovação automática, não precisará realizar nenhuma ação. O e-mail informa apenas que o domínio está perto da expiração e que você precisa renovar manualmente se a renovação automática não estiver habilitada.
Serei cobrado pelo DNS do Azure que hospeda meu domínio?
O custo inicial da compra de domínio aplica-se apenas ao registo de domínio. Juntamente com o custo de registo, o DNS do Azure incorre em encargos, com base na sua utilização. Para obter mais informações, consulte Preços do DNS do Azure.
Comprei anteriormente o meu domínio no portal do Azure e pretendo mudar do alojamento GoDaddy para o alojamento DNS do Azure. Como posso fazê-lo?
Não é necessário migrar para a hospedagem DNS do Azure. Se você quiser migrar para o DNS do Azure, a experiência de gerenciamento de domínio no portal do Azure fornece informações sobre as etapas necessárias para migrar para o DNS do Azure. Se comprou o domínio através do Serviço de Aplicações, a migração do alojamento GoDaddy para o DNS do Azure é um procedimento relativamente simples.
Gostaria de comprar o meu domínio no Serviço de Aplicação, mas posso alojar o meu domínio na GoDaddy em vez do DNS do Azure?
A partir de 24 de julho de 2017, o Azure hospeda domínios do Serviço de Aplicativo comprados no portal do Azure no DNS do Azure. Se você preferir usar um provedor de hospedagem diferente, você deve ir ao site deles para obter uma solução de hospedagem de domínio.
Tenho de pagar pela proteção de privacidade do meu domínio?
Quando compra um domínio através do portal do Azure, pode optar por adicionar privacidade sem custos adicionais. Esse benefício é incluído quando você compra seu domínio por meio do Serviço de Aplicativo do Azure.
Se eu decidir que não quero mais meu domínio, posso receber meu dinheiro de volta?
Quando compra um domínio, não lhe são cobrados cinco dias (com uma exceção). Durante esse período, você pode decidir se deseja manter o domínio. Se optar por não manter o domínio dentro desta duração, não será cobrado. Os domínios que terminam com .uk são a exceção. Se comprar um .uk domínio, será imediatamente cobrado e não poderá obter um reembolso.
Posso usar o domínio em outro aplicativo do Serviço de Aplicativo do Azure na minha assinatura?
Sim, quando acede às páginas Domínios personalizados e Certificados no portal do Azure, vê os domínios que comprou. Você pode configurar seu aplicativo para usar qualquer um desses domínios.
Posso transferir um domínio de uma subscrição para outra?
Sim, você pode mover um domínio para outra assinatura ou grupo de recursos usando o Move-AzResource cmdlet do PowerShell.
Como posso gerenciar meu domínio personalizado se não tenho atualmente um aplicativo do Serviço de Aplicativo do Azure?
Você pode gerenciar seu domínio mesmo que não tenha um aplicativo Web do Serviço de Aplicativo. Você pode usar o domínio para serviços do Azure, como Máquinas Virtuais do Azure, Armazenamento do Azure e assim por diante. Se você planeja usar o domínio para aplicativos Web do Serviço de Aplicativo, deverá incluir um aplicativo Web que não esteja em uma camada gratuita do Serviço de Aplicativo para que possa vincular o domínio ao seu aplicativo Web.
Posso mover um aplicativo Web com um domínio personalizado para outra assinatura ou do Ambiente do Serviço de Aplicativo v1 para V2?
Sim, você pode mover seu aplicativo Web entre assinaturas. Siga as orientações em Como mover recursos no Azure. Algumas limitações se aplicam quando você move um aplicativo Web. Para obter mais informações, consulte Limitações para mover recursos do Serviço de Aplicativo.
Depois de mover um aplicativo Web, as associações de nome de host dos domínios dentro da configuração de domínios personalizados devem permanecer as mesmas. Nenhuma etapa extra é necessária para configurar as associações de nome de host.
Que formatos de ficheiro são devolvidos quando transfiro o meu certificado do Serviço de Aplicação a partir do respetivo cofre de chaves?
Quando você seleciona Baixar como um certificado para o certificado do Serviço de Aplicativo em seu cofre/segredos de chaves, o formato do arquivo de certificado é .pfx. Nenhuma senha é aplicada ao arquivo.
Que formato de ficheiro posso utilizar para carregar um certificado para o Serviço de Aplicações?
O formato de arquivo de certificado deve ser um arquivo .pfx com uma senha aplicada ao arquivo. O certificado também deve cumprir os requisitos do certificado.
Se você obteve seu certificado de uma CA de terceiros e o formato de arquivo é um formato .pem/.key, você pode usar uma ferramenta como OpenSSL para converter os arquivos para um formato de arquivo .pfx. A chave privada deve ser incluída durante a conversão porque o formato de arquivo .pfx a exige.
Além disso, se sua autoridade de certificação fornecer vários certificados na cadeia de certificados, você precisará mesclar os certificados seguindo a mesma ordem. Para obter mais informações, consulte Mesclar certificados intermediários.
Como gero uma solicitação de assinatura de certificado para um certificado do Serviço de Aplicativo?
Para um certificado do Serviço de Aplicativo, você compra por meio do portal do Azure ou usando um comando Powershell/CLI. Uma solicitação de assinatura de certificado não é necessária. No entanto, o Azure Key Vault oferece suporte ao armazenamento de certificados digitais emitidos por qualquer autoridade de certificação. Ele suporta a criação de uma solicitação de assinatura de certificado com um par de chaves privadas/públicas. A solicitação de assinatura de certificado pode ser assinada por qualquer autoridade de certificação (uma autoridade de certificação corporativa interna ou uma autoridade de certificação pública externa). Para obter mais informações, consulte Criar uma solicitação de assinatura de certificado.