Partilhar via

Configurar um domínio personalizado para o Serviço Azure Web PubSub

  • Artigo

Além do domínio padrão fornecido pelo Serviço PubSub da Web do Azure, você também pode adicionar um domínio personalizado. Um domínio personalizado é um nome de domínio que você possui e gerencia. Você pode usar um domínio personalizado para acessar seu recurso do Serviço Azure Web PubSub. Por exemplo, você pode usar contoso.example.com em vez de acessar seu recurso do contoso.webpubsub.azure.com Serviço PubSub da Web do Azure.

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Se não tiver uma conta do Azure, pode criar uma conta gratuitamente.
  • Um serviço Azure Web PubSub (deve ser camada Premium).
  • Um recurso do Azure Key Vault.
  • Um certificado personalizado que corresponde ao domínio personalizado armazenado no Cofre da Chave do Azure.

Adicionar um certificado personalizado

Antes de adicionar um domínio personalizado, você precisa adicionar um certificado personalizado correspondente primeiro. Um certificado personalizado é um recurso do seu Serviço Azure Web PubSub. Ele faz referência a um certificado em seu Cofre de Chaves do Azure. Por motivos de segurança e conformidade, o Serviço Azure Web PubSub não armazena permanentemente o seu certificado. Em vez disso, ele o busca no seu Cofre de Chaves em tempo real e o mantém na memória.

Etapa 1: Conceder ao recurso do Serviço Azure Web PubSub ao Cofre da Chave

O Serviço Azure Web PubSub usa a Identidade Gerenciada para acessar seu Cofre de Chaves. Para autorizar, ele precisa receber permissões.

  1. No portal do Azure, vá para o recurso do Serviço Azure Web PubSub.

  2. No painel de menus, selecione Identidade.

  3. Você pode selecionar Sistema atribuído ou Identidade atribuída pelo usuário. Se você quiser usar a identidade atribuída ao usuário, você precisa criar uma primeiro.

    1. Para adicionar uma identidade atribuída ao Sistema

      1. Selecione Ativado.
      2. Selecione Sim para confirmar.
      3. Selecione Guardar.

      Screenshot of enabling system assigned managed identity.

    2. Para adicionar uma identidade atribuída ao Utilizador;

      1. Selecione Adicionar identidade gerenciada atribuída ao usuário.
      2. Selecione uma identidade existente.
      3. Selecione Adicionar.

      Screenshot of enabling user assigned managed identity.

  4. Selecione Guardar.

Dependendo de como você configura seu modelo de permissão do Cofre da Chave, talvez seja necessário conceder permissões em locais diferentes.

Se você estiver usando a política de acesso interna do Cofre da Chave como modelo de permissão do Cofre da Chave:

Screenshot of built-in access policy selected as Key Vault permission model.

  1. Aceda ao recurso Key Vault.

  2. No painel de menus, selecione Configuração do Access.

  3. Selecione Política de acesso ao Vault.

  4. Selecione Ir para políticas de acesso.

  5. Selecione Criar.

  6. Selecione Obter permissão secreta .

  7. Selecione Obter permissão de certificado .

  8. Selecione Seguinte.

    Screenshot of permissions selection in Key Vault.

  9. Procure o nome do recurso do Serviço Azure Web PubSub.

  10. Selecione Seguinte.

    Screenshot of principal selection in Key Vault.

  11. Selecione Avançar na guia Aplicativo .

  12. Selecione Criar.

Etapa 2: Criar um certificado personalizado

  1. No portal do Azure, vá para o recurso do Serviço Azure Web PubSub.

  2. No painel de menus, selecione Domínio personalizado.

  3. Na seção Certificado personalizado, selecione Adicionar.

    Screenshot of custom certificate management.

  4. Preencha um nome para o certificado personalizado.

  5. Selecione Selecionar no Cofre da Chave para escolher um certificado do Cofre da Chave . Após a seleção do seguinte URI Base do Cofre da Chave, o Nome Secreto do Cofre da Chave será preenchido automaticamente. Em alternativa, também pode preencher estes campos manualmente.

  6. Opcionalmente, você pode especificar uma versão secreta do cofre da chave se quiser fixar o certificado em uma versão específica.

  7. Selecione Adicionar.

    Screenshot of adding a custom certificate.

O Serviço Azure Web PubSub busca o certificado e valida seu conteúdo. Quando for bem-sucedido, o Estado de Provisionamento do certificado será Bem-sucedido.

Screenshot of an added custom certificate.

Criar um CNAME de domínio personalizado

Para validar a propriedade do seu domínio personalizado, você precisa criar um registro CNAME para o domínio personalizado e apontá-lo para o domínio padrão do Serviço Azure Web PubSub.

Por exemplo, se o seu domínio padrão for , e o seu domínio personalizado for contoso.webpubsub.azure.comcontoso.example.com, você precisará criar um registro CNAME comoexample.com:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.

Se estiver a utilizar a Zona DNS do Azure, consulte Gerir registos DNS para saber como adicionar um registo CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Se você estiver usando outros provedores de DNS, siga o guia do provedor para criar um registro CNAME.

Adicionar um domínio personalizado

Um domínio personalizado é outro subrecurso do seu Serviço PubSub Web do Azure. Ele contém todas as configurações para um domínio personalizado.

  1. No portal do Azure, vá para o recurso do Serviço Azure Web PubSub.

  2. No painel de menus, selecione Domínio personalizado.

  3. Em Domínio personalizado, selecione Adicionar.

    Screenshot of custom domain management.

  4. Insira um nome para o domínio personalizado. É o nome do subrecurso.

  5. Insira o nome do domínio. É o nome de domínio completo do seu domínio personalizado, por exemplo, contoso.com.

  6. Selecione um certificado personalizado que se aplique a este domínio personalizado.

  7. Selecione Adicionar.

    Screenshot of adding a custom domain.

Verificar um domínio personalizado

Agora você pode acessar seu ponto de extremidade do Serviço Azure Web PubSub por meio do domínio personalizado. Para verificá-lo, você pode acessar a API de integridade.

Aqui está um exemplo usando cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

A API de integridade deve retornar 200 o código de status sem qualquer erro de certificado.

Cofre da chave na rede privada

Se tiver configurado um Ponto de Extremidade Privado para o Cofre da Chave, o Serviço PubSub Web do Azure não poderá aceder ao Cofre da Chave através da rede pública. Você precisa configurar um ponto de extremidade privado compartilhado para permitir que o Serviço Azure Web PubSub acesse seu Cofre de Chaves via rede privada.

Depois de criar um ponto de extremidade privado compartilhado, você pode criar um certificado personalizado como de costume. Não é necessário alterar o domínio no URI do Cofre de Chaves. Por exemplo, se o URI base do Cofre da Chave for https://contoso.vault.azure.net, você ainda usará esse URI para configurar o certificado personalizado.

Não é necessário permitir explicitamente IPs do Serviço Azure Web PubSub nas configurações de firewall do Cofre de Chaves. Para obter mais informações, consulte Diagnóstico de link privado do Cofre de Chaves.

Rotação de certificados

Se você não especificar uma versão secreta ao criar um certificado personalizado, o Serviço Azure Web PubSub verificará periodicamente a versão mais recente no Cofre da Chave. Quando uma nova versão é observada, ela é aplicada automaticamente. O atraso é geralmente dentro de 1 hora.

Como alternativa, você também pode fixar o certificado personalizado em uma versão secreta específica no Cofre da Chave. Quando precisar aplicar um novo certificado, você poderá editar a versão secreta e, em seguida, atualizar o certificado personalizado proativamente.

Próximos passos