Criar e gerenciar um certificado do Serviço de Aplicativo para seu aplicativo Web

Este artigo mostra como criar um certificado do Serviço de Aplicativo e gerenciá-lo (como renovar, sincronizar e excluir). Depois de ter um certificado do Serviço de Aplicativo, você poderá importá-lo para um aplicativo do Serviço de Aplicativo. Um certificado do Serviço de Aplicativo é um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificados e a flexibilidade das opções de renovação e exportação.

Se você comprar um certificado do Serviço de Aplicativo do Azure, o Azure gerenciará as seguintes tarefas:

• Lida com o processo de compra da GoDaddy.
• Executa a verificação de domínio do certificado.
• Mantém o certificado no Cofre da Chave do Azure.
• Gerencia a renovação de certificados.
• Sincroniza o certificado automaticamente com as cópias importadas nos aplicativos do Serviço de Aplicativo.

Nota

Depois de carregar um certificado para um aplicativo, o certificado é armazenado em uma unidade de implantação vinculada ao grupo de recursos, região e combinação de sistema operacional do plano do Serviço de Aplicativo, chamado internamente de espaço web. Dessa forma, o certificado fica acessível a outros aplicativos no mesmo grupo de recursos e combinação de região. Os certificados carregados ou importados para o Serviço de Aplicativo são compartilhados com os Serviços de Aplicativo na mesma unidade de implantação.

Pré-requisitos

• Crie um aplicativo do Serviço de Aplicativo. O plano do Serviço de Aplicativo do aplicativo deve estar na camada Básico, Padrão, Premium ou Isolado. Consulte Dimensionar um aplicativo para atualizar a camada.

Nota

Atualmente, os certificados do Serviço de Aplicativo não são suportados nas Nuvens Nacionais do Azure.

Comprar e configurar um certificado do Serviço de Aplicativo

Iniciar a compra do certificado

1. Vá para a página de criação de Certificado do Serviço de Aplicativo e inicie a compra de um certificado do Serviço de Aplicativo.

   Nota

   Os Certificados do Serviço de Aplicativo comprados no Azure são emitidos pela GoDaddy. Para alguns domínios, tem de permitir explicitamente a GoDaddy como emissor de certificados criando um registo de domínio CAA com o valor: 0 issue godaddy.com

   

2. Para ajudá-lo a configurar o certificado, use a tabela a seguir. Quando terminar, selecione Rever + Criar e, em seguida, selecione Criar.

   Definição	Descrição
   Subscrição	A assinatura do Azure para associar ao certificado.
   Grupo de recursos	O grupo de recursos que conterá o certificado. Você pode criar um novo grupo de recursos ou selecionar o mesmo grupo de recursos que seu aplicativo do Serviço de Aplicativo.
   SKU	Determina o tipo de certificado a ser criado, um certificado padrão ou um certificado curinga.
   Nome de host de domínio nu	Especifique o domínio raiz. O certificado emitido protege o domínio raiz e o www subdomínio. No certificado emitido, o campo Nome Comum especifica o domínio raiz e o campo Nome Alternativo da Entidade especifica o www domínio. Para proteger apenas qualquer subdomínio, especifique o nome de domínio totalmente qualificado para o subdomínio, por exemplo, mysubdomain.contoso.com.
   Nome do certificado	O nome amigável para seu certificado do Serviço de Aplicativo.
   Ativar renovação automática	Selecione se deseja renovar automaticamente o certificado antes da expiração. Cada renovação prolonga a expiração do certificado por um ano e o custo é cobrado à sua subscrição.

3. Quando a implantação estiver concluída, selecione Ir para recurso.

Armazenar certificado no Azure Key Vault

O Cofre de Chaves é um serviço do Azure que ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços na nuvem. Para certificados do Serviço de Aplicativo, o armazenamento preferido é o Cofre da Chave. Depois de concluir o processo de compra do certificado, você deve concluir mais algumas etapas antes de começar a usar esse certificado.

1. Na página Certificados do Serviço de Aplicativo, selecione o certificado. No menu de certificado, selecione Configuração de certificado>Etapa 1: Armazenar.

   

2. Na página Status do Cofre da Chave, selecione Selecionar do Cofre da Chave.

3. Se criar um novo cofre, configure-o com base na tabela seguinte e certifique-se de que utiliza a mesma subscrição e o mesmo grupo de recursos que a sua aplicação do Serviço de Aplicação.

   Definição	Descrição
   Grupo de recursos	Recomendado: o mesmo grupo de recursos que o certificado do Serviço de Aplicativo.
   Nome do cofre da chave	Um nome exclusivo que usa apenas caracteres alfanuméricos e traços.
   Região	O mesmo local do seu aplicativo do Serviço de Aplicativo.
   Escalão de preço	Para obter informações, consulte Detalhes de preços do Azure Key Vault.
   Dias para reter cofres excluídos	O número de dias após a exclusão, nos quais os objetos permanecem recuperáveis (consulte Visão geral de exclusão suave do Cofre de Chaves do Azure). Defina um valor entre 7 e 90.
   Proteção contra purga	Impede que objetos excluídos suavemente sejam limpos manualmente. Habilitar essa opção força todos os objetos excluídos a permanecerem no estado de exclusão suave durante todo o período de retenção.

4. Selecione Avançar e selecione Política de acesso ao Vault. Atualmente, os certificados do Serviço de Aplicativo oferecem suporte apenas às políticas de acesso ao Cofre da Chave, não ao modelo RBAC.

5. Selecione Rever + criar e, em seguida, selecione Criar.

6. Depois que o cofre de chaves for criado, não selecione Ir para recurso , mas aguarde até que a página Selecionar cofre de chaves do Cofre de Chaves do Azure seja recarregada.

7. Selecione Selecionar.

8. Depois de selecionar o cofre, feche a página Repositório do Cofre de Chaves . A opção Etapa 1: Armazenar deve mostrar uma marca de seleção verde para indicar o sucesso. Mantenha a página aberta para a próxima etapa.

Confirmar a propriedade do domínio

1. Na mesma página Configuração de Certificado na seção anterior, selecione Etapa 2: Verificar.

   

2. Selecione Verificação do Serviço de Aplicativo. No entanto, como você mapeou anteriormente o domínio para seu aplicativo Web de acordo com os Pré-requisitos, o domínio já está verificado. Para concluir esta etapa, basta selecionar Verificar e, em seguida, selecionar Atualizar até que a mensagem Certificado é Domínio Verificado apareça.

Os seguintes métodos de verificação de domínio são suportados:

Método	Description
Verificação do Serviço de Aplicativo	A opção mais conveniente quando o domínio já está mapeado para um aplicativo do Serviço de Aplicativo na mesma assinatura, porque o aplicativo do Serviço de Aplicativo já verificou a propriedade do domínio. Analise a última etapa em Confirmar propriedade do domínio.
Verificação de Domínio	Confirme um domínio do Serviço de Aplicativo que você comprou do Azure. O Azure adiciona automaticamente o registo TXT de verificação por si e conclui o processo.
Verificação de e-mail	Confirme o domínio enviando um e-mail para o administrador do domínio. As instruções são fornecidas quando você seleciona a opção.
Verificação manual	Confirme o domínio usando um registro TXT DNS ou uma página HTML, que se aplica somente a certificados padrão de acordo com a observação a seguir. As etapas são fornecidas depois que você seleciona a opção. A opção de página HTML não funciona para aplicativos Web com "Somente HTTPS" habilitado. Para verificação de domínio via registro TXT DNS para qualquer domínio raiz (ou seja, "contoso.com") ou subdomínio (ou seja, "www.contoso.com", "test.api.contoso.com") e, independentemente da SKU do certificado, você precisa adicionar um registro TXT no nível do domínio raiz usando '@' para o nome e o token de verificação de domínio para o valor em seu registro DNS.

Importante

Com o certificado Standard , você obtém um certificado para o domínio de nível superior solicitado e o www subdomínio, por exemplo, contoso.com e www.contoso.com. No entanto, a Verificação do Serviço de Aplicativo e a Verificação Manual usam a verificação de página HTML, que não oferece suporte ao www subdomínio ao emitir, redigitar ou renovar um certificado. Para o certificado Padrão , use Verificação de Domínio e Verificação de Email para incluir o www subdomínio com o domínio de nível superior solicitado no certificado.

Depois que o certificado for verificado por domínio, você estará pronto para importá-lo para um aplicativo do Serviço de Aplicativo.

Renovar um certificado do Serviço de Aplicativo

Por padrão, os certificados do Serviço de Aplicativo têm um período de validade de um ano. Antes e mais perto da data de expiração, você pode renovar automaticamente ou manualmente os certificados do Serviço de Aplicativo em incrementos de um ano. O processo de renovação efetivamente fornece um novo certificado do Serviço de Aplicativo com a data de expiração estendida para um ano a partir da data de expiração do certificado existente.

Nota

A partir de 23 de setembro de 2021, se você não tiver verificado o domínio nos últimos 395 dias, os certificados do Serviço de Aplicativo exigirão verificação de domínio durante um processo de renovação ou rechave. A nova ordem de certificado permanece no modo "emissão pendente" durante o processo de renovação ou rechave até que você conclua a verificação de domínio.

Ao contrário do certificado gerenciado gratuito do Serviço de Aplicativo, a reverificação de domínio para certificados do Serviço de Aplicativo não é automatizada. A falha na verificação da propriedade do domínio resulta em renovações com falha. Para obter mais informações sobre como verificar seu certificado do Serviço de Aplicativo, consulte Confirmar propriedade do domínio.

O processo de renovação requer que a entidade de serviço conhecida do Serviço de Aplicativo tenha as permissões necessárias no cofre de chaves. Essas permissões são configuradas para você quando você importa um certificado do Serviço de Aplicativo por meio do portal do Azure. Certifique-se de que não remove estas permissões do cofre de chaves.

1. Para alterar a configuração de renovação automática do certificado do Serviço de Aplicativo a qualquer momento, na página Certificados do Serviço de Aplicativo, selecione o certificado.

2. No menu à esquerda, selecione Configurações de renovação automática.

3. Selecione Ativado ou Desativado e selecione Salvar.

   Se você ativar a renovação automática, os certificados poderão começar a ser renovados automaticamente 32 dias antes da expiração.

   

4. Para renovar manualmente o certificado, selecione Renovação manual. Você pode solicitar a renovação manual do certificado 60 dias antes do vencimento, mas a data máxima de expiração será de 397 dias.

5. Após a conclusão da operação de renovação, selecione Sincronizar.

   A operação de sincronização atualiza automaticamente as associações de nome de host para o certificado no Serviço de Aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.

   Nota

   Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente seu certificado em 24 horas.

Rechave e certificado do Serviço de Aplicativo

Se você acha que a chave privada do seu certificado está comprometida, você pode rechaveá-lo. Esta ação rola o certificado com um novo certificado emitido pela autoridade de certificação.

1. Na página Certificados do Serviço de Aplicativo, selecione o certificado. No menu à esquerda, selecione Rekey e Sync.

2. Para iniciar o processo, selecione Rekey. Este processo pode levar de 1 a 10 minutos para ser concluído.

   

3. Também pode ser necessário reconfirmar a propriedade do domínio.

4. Após a conclusão da operação de rechave, selecione Sincronizar.

   A operação de sincronização atualiza automaticamente as associações de nome de host para o certificado no Serviço de Aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.

   Nota

   Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente seu certificado em 24 horas.

Exportar um certificado do Serviço de Aplicativo

Como um certificado do Serviço de Aplicativo é um segredo do Cofre da Chave, você pode exportar uma cópia como um arquivo PFX, que pode ser usado para outros serviços do Azure ou fora do Azure.

Importante

O certificado exportado é um artefato não gerenciado. O Serviço de Aplicativo não sincroniza esses artefatos quando o Certificado do Serviço de Aplicativo é renovado. Você deve exportar e instalar o certificado renovado quando necessário.

Portal do Azure

1. Na página Certificados do Serviço de Aplicativo, selecione o certificado.

2. No menu à esquerda, selecione Exportar certificado.

3. Selecione Abrir segredo do cofre da chave.

4. Selecione a versão atual do certificado.

5. Selecione Baixar como um certificado.

CLI do Azure

Execute os seguintes comandos no Azure Cloud Shell ou execute-os localmente se tiver instalado a CLI do Azure. Substitua os espaços reservados pelos nomes que você usou quando comprou o certificado do Serviço de Aplicativo.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

Azure PowerShell

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

O arquivo PFX baixado é um arquivo PKCS12 bruto que contém os certificados públicos e privados e tem uma senha de importação que é uma cadeia de caracteres vazia. Você pode instalar o arquivo localmente deixando o campo de senha vazio. Não é possível carregar o arquivo como está no Serviço de Aplicativo porque o arquivo não está protegido por senha.

Excluir um certificado do Serviço de Aplicativo

Se você excluir um certificado do Serviço de Aplicativo, a operação de exclusão será irreversível e final. O resultado é um certificado revogado e qualquer associação no Serviço de Aplicativo que use esse certificado se torna inválida.

1. Na página Certificados do Serviço de Aplicativo, selecione o certificado.

2. No menu à esquerda, selecione Visão geral>Excluir.

3. Quando a caixa de confirmação abrir, digite o nome do certificado e selecione OK.

Perguntas mais frequentes

Meu certificado do Serviço de Aplicativo não tem nenhum valor no Cofre da Chave

Seu certificado do Serviço de Aplicativo provavelmente ainda não foi verificado no domínio. Até que a propriedade do domínio seja confirmada, seu certificado do Serviço de Aplicativo não estará pronto para uso. Como um segredo do cofre de chaves, ele mantém uma Initialize tag e seu valor e tipo de conteúdo permanecem vazios. Quando a propriedade do domínio é confirmada, o segredo do cofre de chaves mostra um valor e um tipo de conteúdo, e a tag muda para Ready.

Não consigo exportar meu certificado do Serviço de Aplicativo com o PowerShell

Seu certificado do Serviço de Aplicativo provavelmente ainda não foi verificado no domínio. Até que a propriedade do domínio seja confirmada, seu certificado do Serviço de Aplicativo não estará pronto para uso.

Que alterações o processo de criação de certificados do Serviço de Aplicativo faz no meu Cofre de Chaves existente?

O processo de criação faz as seguintes alterações:

• Adiciona duas políticas de acesso no cofre:
  • Microsoft.Azure.WebSites (ou Microsoft Azure App Service)
  • Revendedor de certificados Microsoft CSM Resource Provider (ou Microsoft.Azure.CertificateRegistration)
• Cria um bloqueio de exclusão no cofre chamado: AppServiceCertificateLock para evitar a exclusão acidental do cofre de chaves.

Mais recursos

• Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure
• Impor HTTPS
• Impor TLS 1.1/1.2
• Utilizar um certificado TLS/SSL no código no Serviço de Aplicações do Azure
• Perguntas frequentes : Certificados do Serviço de Aplicativo