Domínios no Azure Front Door

  • Artigo

Um domínio representa um nome de domínio personalizado que o Azure Front Door usa para receber o tráfego do seu aplicativo. O Azure Front Door suporta a adição de três tipos de nomes de domínio:

  • Os subdomínios são o tipo mais comum de nome de domínio personalizado. Um exemplo de subdomínio é myapplication.contoso.com.
  • Os domínios do Apex não contêm um subdomínio. Um exemplo de domínio do ápice é contoso.com. Para obter mais informações sobre como usar domínios do apex com o Azure Front Door, consulte Domínios do Apex.
  • Os domínios curinga permitem que o tráfego seja recebido para qualquer subdomínio. Um exemplo de domínio curinga é *.contoso.com. Para obter mais informações sobre como usar domínios curinga com o Azure Front Door, consulte Domínios curinga.

Os domínios são adicionados ao seu perfil do Azure Front Door. Você pode usar um domínio em várias rotas dentro de um ponto de extremidade, se usar caminhos diferentes em cada rota.

Para saber como adicionar um domínio personalizado ao seu perfil do Azure Front Door, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.

Configuração do DNS

Quando adiciona um domínio ao seu perfil do Azure Front Door, configura dois registos no seu servidor DNS:

  • Um registo txt DNS, que é necessário para validar a propriedade do seu nome de domínio. Para obter mais informações sobre os registros TXT DNS, consulte Validação de domínio.
  • Um registro DNS CNAME, que controla o fluxo de tráfego da Internet para o Azure Front Door.

Gorjeta

Você pode adicionar um nome de domínio ao seu perfil do Azure Front Door antes de fazer qualquer alteração de DNS. Essa abordagem pode ser útil se você precisar definir sua configuração do Azure Front Door em conjunto ou se tiver uma equipe separada que altere seus registros DNS.

Você também pode adicionar seu registro TXT DNS para validar a propriedade do domínio antes de adicionar o registro CNAME para controlar o fluxo de tráfego. Essa abordagem pode ser útil para evitar o tempo de inatividade da migração se você já tiver um aplicativo em produção.

Validação de domínio

Todos os domínios adicionados ao Azure Front Door devem ser validados. A validação ajuda a protegê-lo contra erros acidentais de configuração e também ajuda a proteger outras pessoas contra falsificação de domínio. Em algumas situações, os domínios podem ser pré-validados por outro serviço do Azure. Caso contrário, você precisará seguir o processo de validação de domínio do Azure Front Door para provar sua propriedade do nome de domínio.

  • Os domínios pré-validados do Azure são domínios que foram validados por outro serviço do Azure com suporte. Se você integrar e validar um domínio para outro serviço do Azure e, em seguida, configurar o Azure Front Door mais tarde, poderá trabalhar com um domínio pré-validado. Você não precisa validar o domínio por meio do Azure Front Door quando usa esse tipo de domínio.

    Nota

    Atualmente, o Azure Front Door só aceita domínios pré-validados que foram configurados com os Aplicativos Web Estáticos do Azure.

  • Domínios não validados pelo Azure são domínios que não são validados por um serviço do Azure com suporte. Esse tipo de domínio pode ser hospedado com qualquer serviço DNS, incluindo o DNS do Azure, e requer que a propriedade do domínio seja validada pelo Azure Front Door.

Validação de registo TXT

Para validar um domínio, você precisa criar um registro TXT DNS. O nome do registro TXT deve ser do formato _dnsauth.{subdomain}. O Azure Front Door fornece um valor exclusivo para seu registro TXT quando você começa a adicionar o domínio ao Azure Front Door.

Por exemplo, suponha que você queira usar o subdomínio myapplication.contoso.com personalizado com o Azure Front Door. Primeiro, você deve adicionar o domínio ao seu perfil do Azure Front Door e anotar o valor do registro TXT que precisa usar. Em seguida, você deve configurar um registro DNS com as seguintes propriedades:

Property valor
Nome do registo _dnsauth.myapplication
Valor recorde usar o valor fornecido pelo Azure Front Door
Tempo de vida (TTL) Uma hora

Depois que seu domínio tiver sido validado com êxito, você poderá excluir com segurança o registro TXT do seu servidor DNS.

Para obter mais informações sobre como adicionar um registro TXT DNS para um domínio personalizado, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.

Estados de validação de domínio

A tabela a seguir lista os estados de validação que um domínio pode mostrar.

Estado de validação do domínio Descrição e ações
A submeter O domínio personalizado está sendo criado.

Aguarde até que o recurso de domínio esteja pronto.
Pendente O valor do registro TXT DNS foi gerado e o Azure Front Door está pronto para você adicionar o registro TXT DNS.

Adicione o registo TXT DNS ao seu fornecedor de DNS e aguarde a conclusão da validação. Se o status permanecer Pendente mesmo após o registro TXT ter sido atualizado com o provedor DNS, selecione Regenerar para atualizar o registro TXT e adicione o registro TXT ao seu provedor de DNS novamente.
Pendente de revalidação O certificado gerenciado está a menos de 45 dias de expirar.

Se você já tiver um registro CNAME apontando para o ponto de extremidade da Porta da Frente do Azure, nenhuma ação será necessária para a renovação do certificado. Se o domínio personalizado estiver apontado para outro registro CNAME, selecione o status de revalidação pendente e, em seguida, selecione Regenerar na página Validar o domínio personalizado. Por fim, selecione Adicionar se estiver usando o DNS do Azure ou adicione manualmente o registro TXT com o gerenciamento de DNS do seu próprio provedor de DNS.
Atualizando o token de validação Um domínio entra em um estado de Token de Validação de Atualização por um breve período depois que o botão Regenerar é selecionado. Depois que um novo valor de registro TXT é emitido, o estado muda para Pendente.
nenhuma ação necessária.
Aprovado O domínio foi validado com êxito e o Azure Front Door pode aceitar tráfego que usa esse domínio.

nenhuma ação necessária.
Rejeitado O provedor/autoridade de certificado rejeitou a emissão do certificado gerenciado. Por exemplo, o nome de domínio pode ser inválido.

Selecione o link Rejeitado e, em seguida, selecione Regenerar na página Validar o domínio personalizado, conforme mostrado nas capturas de tela abaixo desta tabela. Em seguida, selecione Adicionar para adicionar o registro TXT no provedor de DNS.
Limite de tempo excedido O registo TXT não foi adicionado ao seu fornecedor de DNS no prazo de sete dias ou foi adicionado um registo TXT DNS inválido.

Selecione o link Tempo limite e, em seguida, selecione Regenerar na página Validar o domínio personalizado. Em seguida, selecione Adicionar para adicionar um novo registro TXT ao provedor DNS. Certifique-se de usar o valor atualizado.
Erro interno Ocorreu um erro desconhecido.

Repita a validação selecionando o botão Atualizar ou Regenerar. Se você ainda estiver enfrentando problemas, envie uma solicitação de suporte ao suporte do Azure.

Nota

  • O TTL padrão para registros TXT é de 1 hora. Quando precisar regenerar o registro TXT para revalidação, preste atenção ao TTL do registro TXT anterior. Se não expirar, a validação falhará até que o registro TXT anterior expire.
  • Se o botão Regenerar não funcionar, exclua e recrie o domínio.
  • Se o estado do domínio não refletir como esperado, selecione o botão Atualizar .

HTTPS para domínios personalizados

Ao usar o protocolo HTTPS em seu domínio personalizado, você garante que seus dados confidenciais sejam entregues com segurança com criptografia TLS/SSL quando enviados pela Internet. Quando um cliente, como um navegador da Web, está conectado a um site usando HTTPS, o cliente valida o certificado de segurança do site e garante que ele foi emitido por uma autoridade de certificação legítima. Este processo oferece segurança e protege as suas aplicações Web de ataques.

O Azure Front Door dá suporte ao uso de HTTPS com seus próprios domínios e descarrega o gerenciamento de certificados TLS (Transport Layer Security) de seus servidores de origem. Ao usar domínios personalizados, você pode usar certificados TLS gerenciados pelo Azure (recomendado) ou comprar e usar seus próprios certificados TLS.

Para obter mais informações sobre como o Azure Front Door funciona com TLS, consulte TLS de ponta a ponta com o Azure Front Door.

Certificados TLS gerenciados pelo Azure Front Door

O Azure Front Door pode gerenciar automaticamente certificados TLS para subdomínios e domínios do apex. Ao usar certificados gerenciados, você não precisa criar chaves ou solicitações de assinatura de certificado, nem carregar, armazenar ou instalar os certificados. Além disso, o Azure Front Door pode alternar automaticamente (renovar) certificados gerenciados sem qualquer intervenção humana. Esse processo evita o tempo de inatividade causado por uma falha na renovação dos certificados TLS a tempo.

O processo de geração, emissão e instalação de um certificado TLS gerenciado pode levar de vários minutos a uma hora para ser concluído e, ocasionalmente, pode levar mais tempo.

Nota

Os certificados gerenciados do Azure Front Door (Standard e Premium) são alternados automaticamente se o registro CNAME do domínio apontar diretamente para um ponto de extremidade do Front Door ou apontar indiretamente para um ponto de extremidade do Gerenciador de Tráfego. Caso contrário, você precisará revalidar a propriedade do domínio para alternar os certificados.

Tipos de domínio

A tabela a seguir resume os recursos disponíveis com certificados TLS gerenciados quando você usa diferentes tipos de domínios:

Consideração Subdomínio Domínio Apex Domínio com caráter universal
Certificados TLS gerenciados disponíveis Sim Sim No
Os certificados TLS gerenciados são alternados automaticamente Sim Ver abaixo Não

Quando você usa certificados TLS gerenciados pelo Azure Front Door com domínios apex, a rotação automatizada de certificados pode exigir que você revalide a propriedade do domínio. Para obter mais informações, consulte Domínios do Apex na Porta da Frente do Azure.

Emissão de certificados gerenciados

Os certificados do Azure Front Door são emitidos pela nossa autoridade de certificação parceira, a DigiCert. Para alguns domínios, você deve permitir explicitamente o DigiCert como um emissor de certificado criando um registro de domínio CAA com o valor: 0 issue digicert.com.

O Azure gerencia totalmente os certificados em seu nome, portanto, qualquer aspeto do certificado gerenciado, incluindo o emissor raiz, pode ser alterado a qualquer momento. Estas alterações estão fora do seu controlo. Certifique-se de evitar dependências rígidas em qualquer aspeto de um certificado gerenciado, como verificar a impressão digital do certificado ou fixar no certificado gerenciado ou em qualquer parte da hierarquia de certificados. Se precisar fixar certificados, use um certificado TLS gerenciado pelo cliente, conforme explicado na próxima seção.

Certificados TLS gerenciados pelo cliente

Às vezes, você pode precisar fornecer seus próprios certificados TLS. Os cenários comuns para fornecer seus próprios certificados incluem:

  • Sua organização exige que você use certificados emitidos por uma autoridade de certificação específica.
  • Você deseja que o Azure Key Vault emita seu certificado usando uma autoridade de certificação de parceiro.
  • Você precisa usar um certificado TLS que um aplicativo cliente reconhece.
  • Você precisa usar o mesmo certificado TLS em vários sistemas.
  • Você usa domínios curinga. O Azure Front Door não fornece certificados gerenciados para domínios curinga.

Nota

  • A partir de setembro de 2023, o Azure Front Door suporta Bring Your Own Certificates (BYOC) para validação de propriedade de domínio. A Front Door aprova a propriedade do domínio se o Nome do Certificado (CN) ou o Nome Alternativo da Entidade (SAN) do certificado corresponder ao domínio personalizado. Se você selecionar o certificado gerenciado do Azure, a validação de domínio usará o registro TXT DNS.
  • Para domínios personalizados criados antes da validação baseada em BYOC e o status de validação de domínio não é Aprovado, você precisa acionar a aprovação automática da validação de propriedade do domínio selecionando o Estado de Validação e clicando no botão Revalidar no portal. Se você usar a ferramenta de linha de comando, poderá acionar a validação do domínio enviando uma solicitação PATCH vazia para a API do domínio.

Requisitos dos certificados

Para usar seu certificado com o Azure Front Door, ele deve atender aos seguintes requisitos:

  • Cadeia de certificados completa: ao criar seu certificado TLS/SSL, você deve criar uma cadeia de certificados completa com uma autoridade de certificação (CA) permitida que faz parte da Lista de CAs Confiáveis da Microsoft. Se você usar uma autoridade de certificação não permitida, sua solicitação será rejeitada. A autoridade de certificação raiz deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft. Se for apresentado um certificado sem uma cadeia completa, os pedidos que envolvem esse certificado não serão garantidos como esperado.
  • Nome comum: o nome comum (CN) do certificado deve corresponder ao domínio configurado no Azure Front Door.
  • Algoritmo: o Azure Front Door não suporta certificados com algoritmos de criptografia de curva elíptica (EC).
  • Tipo de ficheiro (conteúdo): O certificado tem de ser carregado para o cofre de chaves a partir de um ficheiro PFX, que utiliza o application/x-pkcs12 tipo de conteúdo.

Importar um certificado para o Azure Key Vault

Os certificados TLS personalizados devem ser importados para o Cofre da Chave do Azure antes que você possa usá-lo com o Azure Front Door. Para saber como importar um certificado para um cofre de chaves, consulte Tutorial: Importar um certificado no Cofre de Chaves do Azure.

O cofre de chaves deve estar na mesma assinatura do Azure que seu perfil do Azure Front Door.

Aviso

O Azure Front Door só suporta cofres de chaves na mesma subscrição que o perfil Front Door. Escolher um cofre de chaves em uma assinatura diferente do seu perfil do Azure Front Door resultará em uma falha.

Os certificados devem ser carregados como um objeto de certificado , em vez de um segredo.

Conceder acesso ao Azure Front Door

O Azure Front Door precisa acessar seu cofre de chaves para ler seu certificado. Você precisa configurar o firewall de rede do cofre de chaves e o controle de acesso do cofre.

Se o cofre de chaves tiver restrições de acesso à rede ativadas, terá de o configurar para permitir que os serviços Microsoft fidedignos ignorem a firewall.

Há duas maneiras de configurar o controle de acesso no cofre de chaves:

  • O Azure Front Door pode usar uma identidade gerenciada para acessar seu cofre de chaves. Você pode usar essa abordagem quando o cofre de chaves usa a autenticação do Microsoft Entra. Para obter mais informações, consulte Usar identidades gerenciadas com o Azure Front Door Standard/Premium.
  • Como alternativa, você pode conceder à entidade de serviço do Azure Front Door acesso ao seu cofre de chaves. Você pode usar essa abordagem ao usar políticas de acesso ao cofre.

Adicionar seu certificado personalizado ao Azure Front Door

Depois de importar o certificado para um cofre de chaves, crie um recurso secreto da Porta da Frente do Azure, que é uma referência ao certificado que você adicionou ao cofre de chaves.

Em seguida, configure seu domínio para usar o segredo da Porta da Frente do Azure para seu certificado TLS.

Para obter um passo a passo guiado dessas etapas, consulte Configurar HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure.

Alternar entre tipos de certificado

Você pode alterar um domínio entre o uso de um certificado gerenciado pelo Azure Front Door e um certificado gerenciado pelo usuário.

  • Pode levar até uma hora para que o novo certificado seja implantado quando você alterna entre tipos de certificado.
  • Se o estado do seu domínio for Aprovado, alternar o tipo de certificado entre um certificado gerenciado pelo usuário e um certificado gerenciado não causará nenhum tempo de inatividade.
  • Ao mudar para um certificado gerenciado, o Azure Front Door continua a usar o certificado anterior até que a propriedade do domínio seja revalidada e o estado do domínio se torne Aprovado.
  • Se você mudar de BYOC para certificado gerenciado, a revalidação do domínio será necessária. Se você mudar de certificado gerenciado para BYOC, não será necessário revalidar o domínio.

Renovação do certificado

Renovar certificados gerenciados pelo Azure Front Door

Para a maioria dos domínios personalizados, o Azure Front Door renova automaticamente (gira) os certificados gerenciados quando eles estão perto do vencimento e você não precisa fazer nada.

No entanto, o Azure Front Door não alternará certificados automaticamente nos seguintes cenários:

  • O registro CNAME do domínio personalizado está apontando para um registro DNS diferente do domínio do ponto de extremidade do Azure Front Door.
  • O domínio personalizado aponta para o ponto de extremidade da Porta da Frente do Azure por meio de uma cadeia. Por exemplo, se o seu registo DNS apontar para o Azure Traffic Manager, que por sua vez resolve para o Azure Front Door, a cadeia CNAME é contoso.com CNAME em contoso.trafficmanager.net CNAME em contoso.z01.azurefd.net. O Azure Front Door não pode verificar toda a cadeia.
  • O domínio personalizado usa um registro A. Recomendamos que você sempre use um registro CNAME para apontar para a Porta da Frente do Azure.
  • O domínio personalizado é um domínio apex e usa o nivelamento CNAME.

Se um dos cenários acima se aplicar ao seu domínio personalizado, 45 dias antes do certificado gerenciado expirar, o estado de validação do domínio se tornará Revalidação Pendente. O estado de Revalidação Pendente indica que você precisa criar um novo registro TXT DNS para revalidar a propriedade do domínio.

Nota

Os registos TXT DNS expiram após sete dias. Se você adicionou anteriormente um registro TXT de validação de domínio ao seu servidor DNS, precisará substituí-lo por um novo registro TXT. Certifique-se de usar o novo valor, caso contrário, o processo de validação do domínio falhará.

Se o seu domínio não puder ser validado, o estado de validação do domínio será Rejeitado. Esse estado indica que a autoridade de certificação rejeitou a solicitação de reemissão de um certificado gerenciado.

Para obter mais informações sobre os estados de validação de domínio, consulte Estados de validação de domínio.

Renovar certificados gerenciados pelo Azure para domínios pré-validados por outros serviços do Azure

Os certificados gerenciados pelo Azure são alternados automaticamente pelo serviço do Azure que valida o domínio.

Renovar certificados TLS gerenciados pelo cliente

Quando você atualiza o certificado em seu cofre de chaves, o Azure Front Door pode detetar e usar automaticamente o certificado atualizado. Para que essa funcionalidade funcione, defina a versão secreta como 'Mais recente' ao configurar seu certificado na Porta da Frente do Azure.

Se você selecionar uma versão específica do certificado, precisará selecionar novamente a nova versão manualmente ao atualizar o certificado.

Leva até 72 horas para que a nova versão do certificado/segredo seja implantada automaticamente.

Se você quiser alterar a versão secreta de 'Mais recente' para uma versão especificada ou vice-versa, adicione um novo certificado.

Políticas de segurança

Você pode usar o firewall de aplicativo Web (WAF) do Azure Front Door para verificar solicitações ao seu aplicativo em busca de ameaças e para impor outros requisitos de segurança.

Para usar o WAF com um domínio personalizado, use um recurso de política de segurança do Azure Front Door. Uma política de segurança associa um domínio a uma política WAF. Opcionalmente, você pode criar várias políticas de segurança para que possa usar diferentes políticas WAF com domínios diferentes.

Próximos passos