Criar e gerenciar um certificado de Serviço de Aplicativo para seu aplicativo Web

Este artigo mostra como criar um certificado de Serviço de Aplicativo e gerencia-lo (como renovar, sincronizar e excluir). Depois de ter um certificado de Serviço de Aplicativo, você poderá importa-lo para um aplicativo de Serviço de Aplicativo. Um certificado de Serviço de Aplicativo é um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificado e a flexibilidade das opções de renovação e exportação.

Se você comprar um certificado do Serviço de Aplicativo no Azure, o Azure vai gerenciar as seguintes tarefas:

• Cuidar do processo de compra no GoDaddy.
• Executar a verificação de domínio do certificado.
• Manter o certificado no Azure Key Vault.
• Gerenciar a renovação de certificado.
• Sincronizar automaticamente o certificado com as cópias importadas nos aplicativos do Serviço de Aplicativo.

Observação

Após um certificado ser carregado em um aplicativo, esse certificado é armazenado em uma unidade de implantação que está vinculada à combinação de grupo de recursos, região e sistema operacional do plano do Serviço de Aplicativo, chamada internamente de webspace. Isso torna o certificado acessível a outros aplicativos na mesma combinação de grupo de recursos e região. Os certificados carregados ou importados para Serviço de Aplicativo são compartilhados com os Serviços de Aplicativos na mesma unidade de implantação.

Pré-requisitos

• Crie um aplicativo do Serviço de Aplicativo. O plano de Serviço de Aplicativo do aplicativo deve estar na camada Básica, Standard, Premium ou Isolada. Confira Escalar um aplicativo para atualizar a camada.

Observação

Não há suporte para os certificados do Serviço de Aplicativo nas Nuvens Nacionais do Azure no momento.

Comprar e configurar um certificado de Serviço de Aplicativo

Iniciar a aquisição do certificado

1. Vá para a página de criação do certificado Serviço de Aplicativo e inicie sua aquisição de um Certificado do Serviço de Aplicativo.

   Observação

   Os Certificados do Serviço de Aplicativo adquiridos do Azure são emitidos pelo GoDaddy. Para alguns domínios, é necessário permitir explicitamente o GoDaddy como um emissor do certificado criando um registro de domínio CAA com o valor: 0 issue godaddy.com

   

2. Use a tabela a seguir para ajudar você a configurar o certificado. Quando terminar, selecione Revisar + Criar e, em seguida, selecione Criar.

   Configuração	Descrição
   Assinatura	A assinatura do Azure a ser associada ao certificado.
   Grupo de recursos	O grupo de recursos que conterá o certificado. Você pode criar um grupo de recursos ou selecionar o mesmo grupo de recursos que seu aplicativo de Serviço de Aplicativo.
   SKU	Determina o tipo de certificado para criar, ou um certificado padrão ou uma certificado curinga.
   Nome do Host do Domínio Raiz	Especifique o domínio raiz. O certificado emitido protege ambos, o domínio raiz e o subdomínio www. No certificado emitido, o campo Nome Comum contém o domínio raiz e o campo Nome Alternativo da Entidade especifica o domínio www. Para proteger apenas um subdomínio qualquer, especifique o nome de domínio totalmente qualificado do subdomínio, por exemplo, mysubdomain.contoso.com.
   Nome de certificado	Um nome amigável para o seu certificado do Serviço de Aplicativo.
   Habilitar a renovação automática	Selecione se deseja renovar automaticamente o certificado antes da expiração. Cada renovação estende a expiração do certificado em um ano e o custo é cobrado em sua assinatura.

3. Após a conclusão da implantação, selecione Ir para o recurso.

Armazenar o certificado no Azure Key Vault

O Cofre da Chave do Azure ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços em nuvem. Para certificados do Serviço de Aplicativo, o armazenamento escolhido é o Key Vault. Depois de concluir o processo de compra de certificado, você deve concluir mais algumas etapas antes de começar a usar esse certificado.

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado. No menu de certificado, selecione Configuração de Certificado>Etapa 1: Armazenar.

   

2. Na página Status do Key Vault, clique em Selecionar do Key Vault.

3. Se você criar um cofre, configure o cofre com base na tabela a seguir e use a mesma assinatura e grupo de recursos que seu aplicativo Serviço de Aplicativo.

   Configuração	Descrição
   Grupo de recursos	Recomendamos o mesmo grupo de recursos do seu certificado do Serviço de Aplicativo.
   Nome do cofre de chaves	Um nome exclusivo que usa apenas caracteres alfanuméricos e traços.
   Região	O mesmo local que o aplicativo de Serviço de Aplicativo.
   Tipo de preços	Para obter mais informações, confira Detalhes de preços do Azure Key Vault.
   Dias de retenção dos cofres excluídos	O número de dias após a exclusão, no qual os objetos permanecem recuperáveis (consulte Visão geral da exclusão temporária do Azure Key Vault). Defina um valor entre 7 e 90.
   Proteção contra limpeza	Impede que objetos excluídos temporariamente sejam limpos manualmente. Habilitar essa opção força todos os objetos excluídos a permanecerem no estado de exclusão temporária durante todo o período de retenção.

4. Selecione Avançar e depois Política de acesso do cofre. Atualmente, o certificado de Serviço de Aplicativo só dá suporte a políticas de acesso do Key Vault, mas não ao modelo RBAC.

5. Selecione Examinar + criare Criar.

6. Depois que o cofre de chaves for criado, não selecione Ir para o recurso, mas aguarde a página Selecionar cofre de chaves do Azure Key Vault recarregar.

7. Selecione Selecionar.

8. Depois de selecionar o cofre, feche a página Repositório do Key Vault. A opção Etapa 1: Armazenar deverá mostrar uma marca de seleção verde para indicar êxito. Mantenha a página aberta para a próxima etapa.

Confirmar a propriedade do domínio

1. Na mesma página Configuração do Certificado na seção anterior, selecione Etapa 2: Verificar.

   

2. Selecione Verificação do Serviço de Aplicativo. No entanto, como você mapeou anteriormente o domínio para seu aplicativo Web de acordo com os Pré-requisitos, o domínio já foi verificado. Para concluir esta etapa, basta selecionar Verificar e, em seguida, selecionar Atualizar até que a mensagem Certificado é verificado pelo domínio apareça.

Há suporte para os seguintes métodos de verificação de domínio:

Método	Descrição
Verificação do Serviço de Aplicativo	A opção mais conveniente quando o domínio já está mapeado para um aplicativo Serviço de Aplicativo na mesma assinatura porque o aplicativo Serviço de Aplicativo já verificou a propriedade do domínio. Revise a última etapa em Confirmar a propriedade do domínio.
Verificação de domínio	Confirme um Domínio do Serviço de Aplicativo que você adquiriu do Azure. O Azure adiciona automaticamente a verificação do registro TXT para você e conclui o processo.
Verificação por email	Confirme o domínio enviando um email para o administrador de domínio. As instruções são fornecidas quando você seleciona a opção.
Verificação manual	Confirme o domínio usando um registro DNS TXT ou uma página HTML, que se aplica somente aos certificados Standard de acordo com a observação a seguir. As etapas são fornecidas depois que você seleciona a opção. A opção da página HTML não funciona para aplicativos Web com "Somente HTTPS" habilitado. Para verificação de domínio por meio do registro DNS TXT para domínio raiz (ou seja, "contoso.com") ou subdomínio (ou seja, "www.contoso.com", "test.api.contoso.com") e, independentemente do SKU do certificado, você precisa adicionar um registro TXT no nível de domínio raiz usando '@' para o nome e o token de verificação de domínio para o valor no seu registro DNS.

Importante

Com o certificado Standard, você tem um certificado para o domínio de nível superior solicitado e o respectivo subdomínio www, por exemplo, contoso.com e www.contoso.com). No entanto, o Serviço de Aplicativo Verificação e a Verificação Manual usam a verificação de página HTML, que não dá suporte ao subdomínio www ao emitir, rechavear ou renovar um certificado. Para o certificado Standard, use a Verificação de Domínio e a Verificação de email incluindo o subdomínio www com o domínio de nível superior solicitado no certificado.

Depois que o certificado for verificado pelo domínio, você estará pronto para importa-lo para um aplicativo de Serviço de Aplicativo.

Renovar um certificado do Serviço de Aplicativo

Por padrão, os certificados do Serviço de Aplicativo têm um período de validade de um ano. Antes e mais próximo da data de validade, você pode renovar automaticamente ou manualmente os certificados de Serviço de Aplicativo em incrementos de um ano. Efetivamente, o processo de renovação apresenta um novo certificado do Serviço de Aplicativo com a data de validade estendida para um ano a partir da data de validade do certificado existente.

Observação

A partir de 23 de setembro de 2021, se você não tiver verificado o domínio nos últimos 395 dias, os certificados do Serviço de Aplicativo exigirão a verificação de domínio durante o processo de renovação ou rechaveamento. O pedido de novo certificado permanece no modo “emissão pendente” durante o processo de renovação ou rechaveamento até que você conclua a verificação de domínio.

Ao contrário do certificado gerenciado do Serviço de Aplicativo gratuito, a nova verificação de domínio dos certificados do Serviço de Aplicativo não é automatizada. A não verificação da propriedade do domínio resulta em falhas de renovações. Para obter mais informações sobre como verificar o certificado do seu Serviço de Aplicativo, revise Confirmar a propriedade do domínio.

O processo de renovação requer que a entidade de serviço conhecida do Serviço de Aplicativo tenha as permissões necessárias no cofre de chaves. Essas permissões são configuradas quando você importa um certificado do Serviço de Aplicativo por meio do portal do Azure. Não remova essas permissões do cofre de chaves.

1. Para alterar a configuração de renovação automática do certificado do Serviço de Aplicativo a qualquer momento, na página Certificados do Serviço de Aplicativo, selecione o certificado.

2. No menu à esquerda, selecione Configurações de Renovação Automática.

3. Selecione Ativado ou Desativado e depois Salvar.

   Se você ativar a renovação automática, os certificados começarão a ser renovados automaticamente 32 dias antes da expiração.

   

4. Para renovar manualmente o certificado, clique em Renovação Manual. Você pode solicitar a renovação manual do certificado 60 dias antes do término, mas a data de validade máxima será de 397 dias.

5. Após a conclusão da operação de renovação, selecione Sincronizar.

   A operação de sincronização atualiza automaticamente as associações de nome de host do certificado no Serviço de Aplicativo sem causar tempo de inatividade em seus aplicativos.

   Observação

   Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente o certificado em até 24 horas.

Rechavear um certificado de Serviço de Aplicativo

Se você acha que a chave privada do seu certificado está comprometida, pode rechaveá-lo. Essa ação causará a emissão de um novo certificado pela autoridade de certificado.

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado. No menu à esquerda, selecione Rechavear e Sincronizar.

2. Para iniciar o processo, selecione Rechavear. Esse processo pode demorar de um a 10 minutos para ser concluído.

   

3. Você também pode precisar reconfirmar a propriedade do domínio.

4. Após a conclusão da operação de rechaveamento, selecione Sincronizar.

   A operação de sincronização atualiza automaticamente as associações de nome de host do certificado no Serviço de Aplicativo sem causar tempo de inatividade em seus aplicativos.

   Observação

   Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente o certificado em até 24 horas.

Exportar um certificado do Serviço de Aplicativo

Como um certificado do Serviço de Aplicativo é um segredo do Key Vault, você pode exportar uma cópia dele como um arquivo PFX e usá-la para outros serviços do Azure ou fora do Azure.

Importante

O certificado exportado é um artefato não gerenciado. O Serviço de Aplicativo não sincroniza esses artefatos quando o Certificado do Serviço de Aplicativo é renovado. Você precisa exportar e instalar o certificado renovado onde for necessário.

Azure portal

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado.

2. No menu à esquerda, selecione Exportar Certificado.

3. Selecione Abrir Segredo do Key Vault.

4. Selecione a versão atual do certificado.

5. Selecione Baixar como um certificado.

CLI do Azure

Execute os comandos a seguir no Azure Cloud Shell ou execute-os localmente se você instalou a CLI do Azure. Substitua os espaços reservados pelos nomes que você usou ao comprar o certificado do Serviço de Aplicativo.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

PowerShell do Azure

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

O arquivo PFX baixado é um arquivo PKCS12 bruto que contém certificados públicos e privados e cuja senha de importação é uma cadeia de caracteres vazia. Você pode instalar localmente o arquivo deixando o campo de senha vazio. Não é possível carregar o arquivo no Serviço de Aplicativo no estado em que ele se encontra porque o arquivo não está protegido por senha.

Excluir um certificado do Serviço de Aplicativo

Se você excluir um certificado Serviço de Aplicativo, a operação de exclusão será irreversível e final. O resultado é um certificado revogado e qualquer associação no Serviço de Aplicativo que usa esse certificado torna-se inválida.

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado.

2. Na menu esquerdo, selecione Visão Geral>Excluir.

3. Quando a caixa de confirmação for aberta, insira o nome do certificado e selecione OK.

Perguntas frequentes

Meu certificado de Serviço de Aplicativo não tem nenhum valor no Key Vault

Seu certificado de Serviço de Aplicativo provavelmente ainda não foi verificado pelo domínio. Até que a propriedade do domínio seja confirmada, seu certificado de Serviço de Aplicativo não estará pronto para uso. Como um segredo do cofre de chaves, ele mantém uma marca Initialize, e seu valor e tipo de conteúdo permanecem vazios. Quando a propriedade do domínio é confirmada, o segredo do cofre de chaves mostra um valor e um tipo de conteúdo, e a marca é alterada para Ready.

Não consigo exportar meu certificado de Serviço de Aplicativo com o PowerShell

Seu certificado de Serviço de Aplicativo provavelmente ainda não foi verificado pelo domínio. Até que a propriedade do domínio seja confirmada, seu certificado de Serviço de Aplicativo não estará pronto para uso.

Quais alterações o processo de criação de certificado de Serviço de Aplicativo faz no meu Key Vault existente?

O processo de criação faz as seguintes alterações:

• Adiciona duas políticas de acesso no cofre:
  • Microsoft.Azure.WebSites (ou Microsoft Azure App Service)
  • Provedor de Recursos CSM do revendedor de certificados da Microsoft (ou Microsoft.Azure.CertificateRegistration)
• Cria um bloqueio de exclusão no cofre chamado: AppServiceCertificateLock para evitar a exclusão acidental do cofre de chaves.

Mais recursos

• Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure
• Impor HTTPS
• Impor o TLS 1.1/1.2
• Usar um certificado TLS/SSL no seu código no Serviço de Aplicativo do Azure
• Perguntas frequentes: Certificados do Serviço de Aplicativo