Configurar HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure

O Azure Front Door permite a entrega segura de TLS (Transport Layer Security) para seus aplicativos por padrão quando você usa seus próprios domínios personalizados. Para saber mais sobre domínios personalizados, incluindo como os domínios personalizados funcionam com HTTPS, consulte Domínios na Porta da Frente do Azure.

O Azure Front Door dá suporte a certificados gerenciados pelo Azure e certificados gerenciados pelo cliente. Neste artigo, você aprenderá a configurar os dois tipos de certificados para seus domínios personalizados do Azure Front Door.

Pré-requisitos

• Antes de configurar HTTPS para seu domínio personalizado, você deve primeiro criar um perfil do Azure Front Door. Para obter mais informações, consulte Criar um perfil do Azure Front Door.
• Se você ainda não tiver um domínio personalizado, primeiro deverá comprar um com um provedor de domínio. Por exemplo, veja Buy a custom domain name (Comprar um nome de domínio personalizado).
• Se estiver a utilizar o Azure para alojar os seus domínios DNS, tem de delegar o sistema de nomes de domínio (DNS) do fornecedor de domínio a um DNS do Azure. Para obter mais informações, veja Delegar um domínio ao DNS do Azure. Caso contrário, se estiver a utilizar um fornecedor de domínios para processar o seu domínio DNS, tem de validar manualmente o domínio ao introduzir os registos TXT DNS solicitados.

Certificados gerenciados pela Porta da Frente do Azure para domínios pré-validados não Azure

Se você tiver seu próprio domínio e o domínio ainda não estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:

1. Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.

   

2. No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.

   

   Definição	Value
   Tipo de domínio	Selecione Domínio pré-validado não Azure.
   Gestão de DNS	Selecione DNS gerenciado do Azure (Recomendado).
   Zona DNS	Selecione a zona DNS do Azure que hospeda o domínio personalizado.
   Domínio personalizado	Selecione um domínio existente ou adicione um novo domínio.
   HTTPS	Selecione AFD gerenciado (Recomendado).

3. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar um domínio personalizado.

4. Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, o Azure Front Door gera um certificado e o implanta. Esse processo pode levar de vários minutos a uma hora para ser concluído.

Certificados gerenciados pelo Azure para domínios pré-validados do Azure

Se você tiver seu próprio domínio e o domínio estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:

1. Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.

   

2. No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.

   

   Definição	Value
   Tipo de domínio	Selecione Domínio pré-validado do Azure.
   Domínios personalizados pré-validados	Selecione um nome de domínio personalizado na lista suspensa de serviços do Azure.
   HTTPS	Selecione Azure gerenciado.

3. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar um domínio personalizado.

4. Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, um certificado gerenciado pelo Azure Front Door é implantado no Azure Front Door. Esse processo pode levar de vários minutos a uma hora para ser concluído.

Utilize o seu próprio certificado

Também pode optar por utilizar o seu próprio certificado TLS. Seu certificado TLS deve atender a determinados requisitos. Para obter mais informações, consulte Requisitos de certificado.

Prepare o seu cofre de chaves e o certificado

Recomendamos que você crie uma instância separada do Azure Key Vault na qual armazenar seus certificados TLS do Azure Front Door. Para obter mais informações, consulte Criar uma instância do Cofre da Chave. Se já tiver um certificado, pode carregá-lo para a sua nova instância do Cofre da Chave. Caso contrário, você pode criar um novo certificado por meio do Cofre da Chave de um dos parceiros da autoridade de certificação (CA).

Aviso

Atualmente, o Azure Front Door só suporta o Cofre da Chave na mesma subscrição. Selecionar o Cofre da Chave em uma assinatura diferente resulta em uma falha.

Outros pontos a observar sobre os certificados:

• O Azure Front Door não suporta certificados com algoritmos de criptografia de curva elíptica. Além disso, seu certificado deve ter uma cadeia de certificados completa com certificados folha e intermediários. A autoridade de certificação raiz também deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft.
• Recomendamos que você use a identidade gerenciada para permitir o acesso aos seus certificados do Cofre da Chave, pois o registro do aplicativo será desativado no futuro.

Registar o Azure Front Door

Registre a entidade de serviço do Azure Front Door como um aplicativo em sua ID do Microsoft Entra usando o Azure PowerShell ou a CLI do Azure.

Nota

• Esta ação requer que você tenha permissões de Administrador Global no Microsoft Entra ID. O registro só precisa ser realizado uma vez por locatário do Microsoft Entra.
• As IDs de aplicativo de 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e d4631ece-daab-479b-be77-ccb713491fc0 são predefinidas pelo Azure para Azure Front Door Standard e Premium em todos os locatários e assinaturas do Azure. O Azure Front Door (clássico) tem uma ID de aplicativo diferente.

Azure PowerShell

1. Caso seja necessário, instale o Azure PowerShell no PowerShell no seu computador local.

2. Use o PowerShell para executar o seguinte comando:

   Nuvem pública do Azure:

   New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
   

   Azure government cloud:

    New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
   

CLI do Azure

1. Se necessário, instale a CLI do Azure em sua máquina local.

2. Use a CLI do Azure para executar o seguinte comando:

   Nuvem pública do Azure:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

   Azure government cloud:

    az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
   

Conceder ao Azure Front Door Service acesso ao Key Vault

Conceda permissão ao Azure Front Door para acessar os certificados em sua conta do Cofre de Chaves. Você só precisa dar GET permissão ao certificado e ao segredo para que o Azure Front Door recupere o certificado.

1. Na sua conta do Cofre da Chave, selecione Políticas de acesso.

2. Selecione Adicionar nova ou Criar para criar uma nova política de acesso.

3. Em Permissões secretas, selecione Obter para permitir que o Azure Front Door recupere o certificado.

4. Em Permissões de certificado, selecione Obter para permitir que o Azure Front Door recupere o certificado.

5. Em Selecionar principal, procure 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e selecione Microsoft.AzureFrontDoor-Cdn. Selecione Seguinte.

6. Em Aplicação, selecione Seguinte.

7. Em Rever + criar, selecione Criar.

Nota

Se o cofre de chaves estiver protegido com restrições de acesso à rede, certifique-se de permitir que serviços confiáveis da Microsoft acessem seu cofre de chaves.

O Azure Front Door agora pode acessar esse cofre de chaves e os certificados que ele contém.

Selecione o certificado que será implementado pelo Azure Front Door

1. Volte ao Azure Front Door Standard/Premium no portal.

2. Em Configurações, vá para Segredos e selecione + Adicionar certificado.

   

3. No painel Adicionar certificado, marque a caixa de seleção do certificado que você deseja adicionar ao Azure Front Door Standard/Premium.

4. Quando seleciona um certificado, também tem de selecionar a versão. Se você selecionar Mais recente, o Azure Front Door será atualizado automaticamente sempre que o certificado for girado (renovado). Você também pode selecionar uma versão de certificado específica se preferir gerenciar a rotação de certificados por conta própria.

   Deixe a seleção de versão como Mais recente e selecione Adicionar.

   

5. Depois que o certificado for provisionado com êxito, você poderá usá-lo ao adicionar um novo domínio personalizado.

   

6. Em Configurações, vá para Domínios e selecione + Adicionar para adicionar um novo domínio personalizado. No painel Adicionar um domínio, para HTTPS, selecione Trazer seu próprio certificado (BYOC). Em Secret, selecione o certificado que deseja usar na lista suspensa.

   Nota

   O nome comum do certificado selecionado deve corresponder ao domínio personalizado que está sendo adicionado.

   

7. Siga as etapas na tela para validar o certificado. Em seguida, associe o domínio personalizado recém-criado a um ponto de extremidade, conforme descrito em Configurar um domínio personalizado.

Alternar entre tipos de certificado

Pode alterar um domínio entre a utilização de um certificado gerido pelo Azure Front Door e um certificado gerido pelo cliente. Para obter mais informações, consulte Domínios na porta frontal do Azure.

1. Selecione o estado do certificado para abrir o painel Detalhes do certificado.

   

2. No painel Detalhes do certificado, você pode alternar entre o Azure Front Door gerenciado e Bring Your Own Certificate (BYOC).

   Se você selecionar Bring Your Own Certificate (BYOC), siga as etapas anteriores para selecionar um certificado.

3. Selecione Atualizar para alterar o certificado associado a um domínio.

   

Próximos passos

• Saiba mais sobre o cache com o Azure Front Door Standard/Premium.
• Entenda os domínios personalizados no Azure Front Door.
• Saiba mais sobre o TLS de ponta a ponta com o Azure Front Door.