Configurar HTTPS num domínio personalizado do Azure Front Door com o portal do Azure

O Azure Front Door permite a entrega segura de TLS às suas aplicações por predefinição quando é adicionado um domínio personalizado. Ao utilizar o protocolo HTTPS no seu domínio personalizado, garante que os seus dados confidenciais são entregues de forma segura com a encriptação TLS/SSL quando são enviados pela Internet. Quando o browser está ligado a um site através de HTTPS, valida o certificado de segurança do web site e verifica se é emitido por uma autoridade de certificação legítima. Este processo oferece segurança e protege as suas aplicações Web de ataques.

O Azure Front Door suporta certificados geridos do Azure e certificados geridos pelo cliente.

  • Um domínio não validado do Azure requer a validação da propriedade do domínio. O certificado gerido (gerido pelo AFD) é emitido e gerido pelo Azure Front Door. Por predefinição, o Azure Front Door ativa automaticamente HTTPS em todos os domínios personalizados com certificados geridos do Azure. Não são necessários passos adicionais para obter um certificado gerido por AFD. É criado um certificado durante o processo de validação do domínio.

  • Um domínio pré-validado do Azure não requer validação de domínio porque já está validado por outro serviço do Azure. O certificado gerido (gerido pelo Azure) é emitido e gerido pelo serviço do Azure. Não são necessários passos adicionais para obter um certificado gerido do Azure. O Azure Front Door não emite um novo certificado gerido para este cenário e, em vez disso, reutilizará o certificado gerido emitido pelo serviço do Azure. Para obter o serviço do Azure suportado para domínio pré-validado, veja domínio personalizado.

  • Em ambos os cenários, pode trazer o seu próprio certificado.

Pré-requisitos

  • Antes de poder configurar HTTPS para o seu domínio personalizado, primeiro tem de criar um perfil do Azure Front Door. Para obter mais informações, veja Criar um perfil do Azure Front Door.

  • Se ainda não tiver um domínio personalizado, primeiro tem de comprar um com um fornecedor de domínio. Por exemplo, veja Buy a custom domain name (Comprar um nome de domínio personalizado).

  • Se estiver a utilizar o Azure para alojar os seus domínios DNS, tem de delegar o sistema de nomes de domínio (DNS) do fornecedor de domínio a um DNS do Azure. Para obter mais informações, veja Delegar um domínio ao DNS do Azure. Caso contrário, se estiver a utilizar um fornecedor de domínio para processar o seu domínio DNS, tem de validar manualmente o domínio ao introduzir os registos TXT DNS solicitados.

Certificados geridos do AFD para domínio pré-validado não validado do Azure

  1. Selecione Domínios em definições para o perfil do Azure Front Door e, em seguida, selecione + Adicionar para adicionar um novo domínio.

    Captura de ecrã da página de destino da configuração do domínio.

  2. Na página Adicionar um domínio , introduza ou selecione as seguintes informações e, em seguida, selecione Adicionar para integrar o domínio personalizado.

    Captura de ecrã a mostrar a opção Adicionar uma página de domínio com o DNS gerido do Azure selecionado.

    Definição Valor
    Tipo de domínio Selecione Domínio não validado do Azure
    Gestão de DNS Selecione DNS gerido do Azure (Recomendado)
    Zona DNS Selecione a zona DNS do Azure que aloja o domínio personalizado.
    Domínio personalizado Selecione um domínio existente ou adicione um novo domínio.
    HTTPS Selecione AFD gerido (Recomendado)
  3. Valide e associe o domínio personalizado a um ponto final ao seguir os passos para ativar o domínio personalizado.

  4. Assim que o domínio personalizado for associado a um ponto final com êxito, é implementado um certificado gerido por AFD no Front Door. Este processo pode demorar entre vários minutos a uma hora a ser concluído.

Certificados geridos do Azure para domínio pré-validado do Azure

  1. Selecione Domínios em definições para o perfil do Azure Front Door e, em seguida, selecione + Adicionar para adicionar um novo domínio.

    Captura de ecrã da página de destino da configuração do domínio.

  2. Na página Adicionar um domínio , introduza ou selecione as seguintes informações e, em seguida, selecione Adicionar para integrar o domínio personalizado.

    Captura de ecrã a mostrar a adição de uma página de domínio com domínio pré-validado.

    Definição Valor
    Tipo de domínio Selecionar domínio pré-validado do Azure
    Domínio personalizado pré-validado Selecione um nome de domínio personalizado na lista pendente de serviços do Azure.
    HTTPS Selecione Gerido pelo Azure (Recomendado)
  3. Valide e associe o domínio personalizado a um ponto final ao seguir os passos para ativar o domínio personalizado.

  4. Assim que o domínio personalizado for associado ao ponto final com êxito, é implementado um certificado gerido por AFD no Front Door. Este processo pode demorar entre vários minutos a uma hora a ser concluído.

Utilizar o seu próprio certificado

Também pode optar por utilizar o seu próprio certificado TLS. Quando cria o certificado TLS/SSL, tem de criar uma cadeia de certificados completa com uma autoridade de certificação (AC) permitida que faça parte da Lista de AC Fidedignas da Microsoft. Se utilizar uma AC não permitida, o seu pedido será rejeitado. A AC de raiz tem de fazer parte da Lista de AC Fidedignas da Microsoft. Se for apresentado um certificado sem uma cadeia completa, os pedidos que envolvem esse certificado não serão garantidos como esperado. Este certificado tem de ser importado para um Key Vault do Azure antes de poder utilizá-lo com o Azure Front Door Standard/Premium. Veja como importar um certificado para o Azure Key Vault.

Preparar o cofre de chaves e o certificado

  • Tem de ter um cofre de chaves na mesma subscrição do Azure que o seu perfil Standard/Premium do Azure Front Door. Crie um cofre de chaves se não tiver um.

    Aviso

    Atualmente, o Azure Front Door só suporta cofres de chaves na mesma subscrição que o perfil do Front Door. Escolher um cofre de chaves numa subscrição diferente do perfil Standard/Premium do Azure Front Door resultará numa falha.

  • Se o cofre de chaves tiver restrições de acesso à rede ativadas, tem de configurar o cofre de chaves para permitir que os serviços Microsoft fidedignos ignorem a firewall.

  • O cofre de chaves tem de ser configurado para utilizar o modelo de permissão de política de acesso Key Vault.

  • Se já tiver um certificado, pode carregá-lo para o cofre de chaves. Caso contrário, crie um novo certificado diretamente através do Azure Key Vault a partir de uma das autoridades de certificação (ACs) parceiras às quais o Azure Key Vault se integra. Carregue o certificado como um objeto de certificado , em vez de um segredo.

Nota

O Front Door não suporta certificados com algoritmos de criptografia de curva elíptica (EC). O certificado tem de ter uma cadeia de certificados completa com certificados de folha e intermédios e a AC de raiz tem de fazer parte da Lista de AC Fidedignas da Microsoft.

Registar o Azure Front Door

Registe o principal de serviço do Azure Front Door como uma aplicação no Azure Active Directory (Azure AD) com Azure PowerShell ou a CLI do Azure.

Nota

  • Esta ação requer que tenha permissões de Administrador Global no Azure AD. O registo só tem de ser efetuado uma vez por inquilino Azure AD.
  • O ID da Aplicação de 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 é predefinido pelo Azure para o escalão Standard e Premium do Front Door em todos os inquilinos e subscrições do Azure. O Azure Front Door (Clássico) tem um ID de Aplicação diferente.
Azure PowerShell
  1. Caso seja necessário, instale o Azure PowerShell no PowerShell no seu computador local.

  2. No PowerShell, execute o seguinte comando:

    New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
    
CLI do Azure
  1. Se necessário, instale a CLI do Azure no seu computador local.

  2. Na CLI, execute o seguinte comando:

    az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
    

Conceder acesso ao Azure Front Door ao cofre de chaves

Conceda permissão ao Azure Front Door para aceder aos certificados na sua conta do Azure Key Vault.

  1. Na sua conta do cofre de chaves, selecione Políticas de acesso.

  2. Selecione Adicionar novo ou Criar para criar uma nova política de acesso.

  3. Em Permissões de segredos, selecione Obter para permitir que o Front Door obtenha o certificado.

  4. Em Permissões de certificado,selecione Obter para permitir que o Front Door obtenha o certificado.

  5. Em Selecionar principal, procure 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e selecioneMicrosoft.AzureFrontDoor-Cdn. Selecione Seguinte.

  6. Em Aplicação, selecione Seguinte.

  7. Em Rever + criar, selecione Criar.

Nota

Se o cofre de chaves estiver protegido com restrições de acesso à rede, certifique-se de que permite que os serviços Microsoft fidedignos acedam ao cofre de chaves.

O Azure Front Door pode agora aceder a este cofre de chaves e aos certificados que contém.

Selecione o certificado para o Azure Front Door implementar

  1. Regresse ao Azure Front Door Standard/Premium no portal.

  2. Navegue para Segredos em Definições e selecione + Adicionar certificado.

    Captura de ecrã da página de destino do segredo do Azure Front Door.

  3. Na página Adicionar certificado , selecione a caixa de verificação do certificado que pretende adicionar ao Azure Front Door Standard/Premium.

  4. Quando seleciona um certificado, tem de selecionar a versão do certificado. Se selecionar Mais Recente, o Azure Front Door será atualizado automaticamente sempre que o certificado for rodado (renovado). Em alternativa, pode selecionar uma versão de certificado específica se preferir gerir a rotação de certificados manualmente.

    Deixe a seleção da versão como "Mais Recente" e selecione Adicionar.

    Captura de ecrã a mostrar a página Adicionar certificado.

  5. Assim que o certificado for aprovisionado com êxito, pode utilizá-lo quando adicionar um novo domínio personalizado.

    Captura de ecrã do certificado adicionado com êxito aos segredos.

  6. Navegue para Domínios em Definição e selecione + Adicionar para adicionar um novo domínio personalizado. Na página Adicionar um domínio , selecione "Bring Your Own Certificate (BYOC)" para HTTPS. Em Segredo, selecione o certificado que pretende utilizar no menu pendente.

    Nota

    O nome comum (CN) do certificado selecionado tem de corresponder ao domínio personalizado que está a ser adicionado.

    Captura de ecrã a mostrar a opção Adicionar uma página de domínio personalizada com HTTPS.

  7. Siga os passos apresentados no ecrã para validar o certificado. Em seguida, associe o domínio personalizado recentemente criado a um ponto final, conforme descrito na criação de um guia de domínio personalizado .

Renovação de certificados e alteração de tipos de certificado

Certificado gerido do AFD para domínio pré-validado não validado do Azure

Os certificados geridos por AFD são rodados automaticamente quando o seu domínio personalizado utiliza um registo CNAME que aponta para um ponto final Do Azure Front Door Standard ou Premium.

O Front Door não roda automaticamente os certificados nos seguintes cenários:

  • O registo CNAME do domínio personalizado está a apontar para outros recursos DNS.
  • O domínio personalizado aponta para o Azure Front Door através de uma cadeia longa. Por exemplo, se colocar o Gestor de Tráfego do Azure antes do Azure Front Door, a cadeia CNAME é contoso.com CNAME no contoso.trafficmanager.net CNAME no contoso.z01.azurefd.net.

O estado de validação do domínio passará a ser Revalidação Pendente 45 dias antes de o certificado gerido expirar ou Rejeitado se a emissão do certificado gerido for rejeitada pela autoridade de certificação. Veja Adicionar um domínio personalizado para obter ações para cada um dos estados de domínio.

Certificado gerido do Azure para domínio pré-validado do Azure

Os certificados geridos do Azure são rodados automaticamente pelo serviço do Azure que valida o domínio.

Utilize o seu próprio certificado

Para que o certificado seja automaticamente rodado para a versão mais recente quando estiver disponível uma versão mais recente do certificado no cofre de chaves, defina a versão secreta como "Mais Recente". Se estiver selecionada uma versão específica, terá de voltar a selecionar a nova versão manualmente para a rotação de certificados. Demora até 72 horas para que a nova versão do certificado/segredo seja implementada automaticamente.

Se quiser alterar a versão secreta de "Mais Recente" para uma versão especificada ou vice-versa, adicione um novo certificado.

Como alternar entre tipos de certificado

  1. Pode alterar um certificado gerido do Azure existente para um certificado gerido pelo utilizador ao selecionar o estado do certificado para abrir a página Detalhes do certificado .

    Captura de ecrã a mostrar o estado do certificado na página de destino de domínios.

  2. Na página Detalhes do certificado, pode alterar entre o Certificado gerido pelo Azure e o BYOC (Bring Your Own Certificate). Em seguida, siga os mesmos passos que anteriormente para escolher um certificado. Selecione Atualizar para alterar o certificado associado a um domínio.

    Nota

    • Pode demorar até uma hora para que o novo certificado seja implementado quando alterna entre tipos de certificado.
    • Se o seu estado de domínio for Aprovado, mudar o tipo de certificado entre BYOC e certificado gerido não terá qualquer período de indisponibilidade. Ao mudar para o certificado gerido, a menos que a propriedade do domínio seja validada novamente e o estado do domínio se torne Aprovado, continuará a ser servido pelo certificado anterior.
    • Se mudar do BYOC para o certificado gerido, é necessária a validação do domínio. Se mudar do certificado gerido para o BYOC, não terá de validar novamente o domínio.

    Captura de ecrã da página de detalhes do certificado.

Passos seguintes

Saiba mais sobre a colocação em cache com o Azure Front Door Standard/Premium.