Tutorial: Configurar HTTPS em um domínio personalizado da CDN do Azure

Este tutorial mostra como habilitar o protocolo HTTPS para um domínio personalizado que está associado um ponto de extremidade da CDN do Azure.

O protocolo HTTPS em seu domínio personalizado (por exemplo, https://www.contoso.com) garante que seus dados confidenciais sejam entregues com segurança via TLS/SSL. Quando o navegador da Web estiver conectado via HTTPS, o navegador validará o certificado do site. O navegador verifica se ele foi emitido por uma autoridade de certificação legítima. Esse processo oferece segurança e protege seus aplicativos Web contra ataques.

A CDN do Azure dá suporte a HTTPS em um nome do host do ponto de extremidade da CDN por padrão. Por exemplo, se você criar um ponto de extremidade CDN (como https://contoso.azureedge.net), o HTTPS será habilitado automaticamente.

Alguns dos principais atributos do recurso HTTPS são:

• Sem custo adicional: Não há nenhum custo para a aquisição ou renovação do certificado e nenhum custo para tráfego HTTPS. Você paga apenas pelo GB de saída da CDN.

• Habilitação simples: o provisionamento com um clique está disponível no portal do Azure. Você também pode usar a API REST ou outras ferramentas de desenvolvedor para habilitar o recurso.

• Gerenciamento de certificado completo disponível:

  • todos os certificados de aquisição e gerenciamento são manipulados para você.
  • Certificados são automaticamente provisionados e renovados antes da expiração.

Neste tutorial, você aprenderá como:

• Habilite o protocolo HTTPS em seu domínio personalizado.
• Usar um certificado gerenciado por CDN
• Usar o seu próprio certificado
• Validar o domínio
• Desabilite o protocolo HTTPS em seu domínio personalizado.

Pré-requisitos

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Para concluir as etapas deste tutorial, crie um perfil CDN e no mínimo um ponto de extremidade CDN. Para saber mais, confira Início Rápido: Criar um ponto de extremidade e um perfil de CDN do Azure.

Associe um domínio personalizado da CDN do Azure no ponto de extremidade da CDN. Para saber mais, confira Tutorial: Adicionar um domínio personalizado ao ponto de extremidade da CDN do Azure.

Importante

Os certificados gerenciados pela CDN não estão disponíveis para os domínios raiz ou apex. Se seu domínio personalizado da CDN do Azure for um domínio raiz ou apex, você deverá usar o recurso Traga seu próprio certificado.

---

Certificados TLS/SSL

Para habilitar o HTTPS em um domínio personalizado da CDN do Azure, use um certificado TLS/SSL. Você pode optar por usar um certificado que é gerenciado pela CDN do Azure ou usar um certificado próprio.

Opção 1 (padrão): habilitar HTTPS com um certificado gerenciado por CDN

A CDN do Azure lida com tarefas de gerenciamento de certificado, como aquisição e renovação. Depois que você habilitar o recurso, o processo será iniciado imediatamente.

Se o domínio personalizado já estiver mapeado para o ponto de extremidade de CDN, nenhuma ação adicional será necessária. A CDN do Azure processa as etapas e conclui a solicitação automaticamente.

Se o domínio personalizado for mapeado em outro lugar, use o email para validar sua propriedade de domínio.

Para habilitar HTTPS em um domínio personalizado, siga estas etapas:

1. Vá para o portal do Azure para localizar um certificado gerenciado pela CDN do Azure. Pesquise e selecione perfis de CDN.

2. Escolha o seu perfil:

   • CDN Standard do Azure da Microsoft
   • CDN Standard do Azure do Edgio
   • CDN Premium do Azure do Edgio

3. Na lista de pontos de extremidade da CDN, selecione o ponto de extremidade que contém seu domínio personalizado.

   

   A página Ponto de extremidade é exibida.

4. Na lista de domínios personalizados, selecione o domínio personalizado para o qual você deseja habilitar o HTTPS.

   

   A página de Domínio personalizado é exibida.

5. Em Tipo de gerenciamento de certificado, selecione CDN gerenciado.

6. Selecione Ativado para habilitar HTTPS.

   

7. Prossiga para Validar o domínio.

Opção 2: habilitar HTTPS com seu próprio certificado

Importante

Esse recurso está disponível apenas com os perfis do CDN do Azure da Microsoft e do CDN do Azure do Edgio.

Você pode usar seu próprio certificado para habilitar o recurs HTTPS. Esse processo é feito por meio de uma integração com o Azure Key Vault, que permite que você armazene os certificados com segurança. A CDN do Azure usa esse mecanismo seguro para obter o certificado e requer algumas etapas adicionais. Ao criar seu certificado TLS/SSL, você precisa criar uma cadeia de certificados completa com uma AC (autoridade de certificação) permitida que faz parte da Lista de ACs Confiáveis da Microsoft. Se você usar uma CA não permitida, sua solicitação será rejeitada. Se um certificado sem cadeia completa é apresentado, não há garantia de que as solicitações que envolvem esse certificado funcionem conforme o esperado. Quanto ao CDN do Azure do Edgio, qualquer AC válida é aceita.

Preparar a conta e o certificado do Azure Key Vault

1. Azure Key Vault: é necessário ter uma conta do Azure Key Vault em execução sob a mesma assinatura que o perfil da CDN do Azure e os pontos de extremidade da CDN desejados para habilitar o HTTPS personalizado. Crie uma conta do Azure Key Vault caso não tenha uma.

2. Certificados do Azure Key Vault: Se você tiver um certificado, carregue-o diretamente em sua conta de Azure Key Vault. Se você não tiver um certificado, crie um diretamente por meio do Azure Key Vault.

Observação

• A Rede de Distribuição de Conteúdo do Microsoft Azure só dá suporte a certificados PFX.
• O certificado precisa ter uma cadeia de certificados completa com certificados de folha e intermediários, e a AC raiz precisa fazer parte da Lista de ACs Confiáveis da Microsoft.

Registrar a CDN do Azure

Registre a CDN do Azure como um aplicativo no seu Active Directory do Microsoft Entra ID.

Observação

• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 é a entidade de serviço do Microsoft.AzureFrontDoor-Cdn.
• Você precisa ter a função Administrador Global para executar esse comando.
• O nome da entidade de serviço foi alterado de Microsoft.Azure.Cdn para Microsoft.AzureFrontDoor-Cdn.

Azure PowerShell

1. Se for necessário, instale o Azure PowerShell em seu computador local.

2. No PowerShell, execute o seguinte comando:

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
   
   Secret                :
   ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8,
    			https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
   ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   ObjectType            : ServicePrincipal DisplayName           : Microsoft.AzureFrontDoor-Cdn Id                    : abcdef12-3456-7890-abcd-ef1234567890
   Type                  :
   

A CLI do Azure

1. Se necessário, instale a CLI do Azure no computador local.

2. Use a CLI do Azure para executar o seguinte comando:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

Conceder à CDN do Azure acesso ao seu cofre de chaves

Conceda à CDN do Azure permissão para acessar os certificados (segredos) em sua conta do Azure Key Vault.

1. No cofre de chaves na seção Configurações, selecione Políticas de acesso. No painel direito, selecione + Adicionar Política de Acesso:

   

2. Na página Adicionar política de acesso, selecione Nenhum selecionado ao lado de Selecionar entidade de segurança. Na página Entidade de segurança, insira 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Selecione Microsoft.AzureFrontdoor-Cdn. Escolha Selecionar:

3. Em Selecionar entidade de segurança, pesquise por 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e escolha Microsoft.AzureFrontDoor-Cdn. Escolha Selecionar.

   

4. Selecione Permissões de certificado. Marque a caixa de seleção Obter para conceder à CDN as permissões para obter os certificados.

5. Selecione Permissões secretas. Marque a caixa de seleção Obter para conceder à CDN as permissões para obter os segredos:

   

6. Selecione Adicionar.

Observação

A CDN do Azure pode acessar este cofre de chaves e os certificados (segredos) que estão armazenados nesse cofre. Qualquer instância CDN criada nessa assinatura terá acesso aos certificados nesse cofre de chaves.

Selecionar o certificado para a CDN do Azure implantar

1. Retorne ao portal da CDN do Azure e selecione o perfil e o ponto de extremidade de CDN desejados para habilitar o HTTPS personalizado.

2. Na lista de domínios personalizados, selecione o domínio personalizado para o qual você deseja habilitar o HTTPS.

   A página de Domínio personalizado é exibida.

3. Em Tipo de gerenciamento de certificado, selecione Usar meu próprio certificado.

   

4. Selecione um cofre de chaves, um certificado/um segredo e a versão do certificado/do segredo.

   A CDN do Azure lista as seguintes informações:

   • As contas do Key Vault para sua ID da assinatura.
   • Os certificados/os segredos no cofre de chaves selecionado.
   • As versões disponíveis do certificado/do segredo.

   Observação

   • A Rede de Distribuição de Conteúdo do Microsoft Azure só dá suporte a certificados PFX.
   • Para que o certificado seja alternado automaticamente para a última versão quando uma versão mais recente dele estiver disponível no Key Vault, defina a versão do certificado/segredo como "Última". Se uma versão específica for selecionada, você precisará selecionar novamente a nova versão manualmente para a rotação do certificado. Leva até 72 horas para que a nova versão do certificado/segredo seja implantada. Somente o SKU padrão da Microsoft dá suporte à rotação automática do certificado.

5. Selecione Ativado para habilitar HTTPS.

6. Quando você usa seu certificado, a validação de domínio não é necessária. Prossiga para Aguardar a propagação.

Validar o domínio

Se você já tiver um domínio personalizado em uso mapeado para o ponto de extremidade personalizado com um registro CNAME ou se estiver usando um certificado próprio, prossiga para Domínio personalizado mapeado para o ponto de extremidade da Rede de Distribuição de Conteúdo.

Caso contrário, se a entrada de registro CNAME para o ponto de extremidade não existe ou contém o subdomínio cdnverify, prossiga para Domínio personalizado não mapeado para o ponto de extremidade da CDN.

O domínio personalizado é mapeado para o ponto de extremidade da CDN por meio de um registro CNAME

Quando tiver adicionado um domínio personalizado ao seu ponto de extremidade, você criou um registro CNAME no registrador de domínios DNS mapeado para o nome de host do ponto de extremidade da CDN.

Se esse registro CNAME ainda existir e não contiver o subdomínio cdnverify, a AC (autoridade de certificação) DigiCert o usará para validar automaticamente a propriedade do seu domínio personalizado.

Se você estiver usando um certificado próprio, a validação de domínio não será necessária.

O registro CNAME deve estar no seguinte formato:

• Nome é o nome de domínio personalizado.
• O valor é o nome do host do ponto de extremidade da rede de distribuição de conteúdo.

Nome	Tipo	Valor
<www.contoso.com>	CNAME	contoso.azureedge.net

Para obter mais informações sobre os registros CNAME, consulte criar o registro de DNS CNAME.

Se o registro CNAME estiver no formato correto, o DigiCert verificará automaticamente seu nome de domínio personalizado e criará um certificado para o seu domínio. O DigitCert não envia um email de verificação, e você não precisa aprovar sua solicitação. O certificado é válido por um ano e será renovado automaticamente antes de expirar. Prossiga para Aguardar a propagação.

A validação automática geralmente demora algumas horas. Se o domínio não for validado em 24 horas, abra um tíquete de suporte.

Observação

Caso você tenha um registro de CAA (Autorização de Autoridade de Certificação) com o provedor do DNS, ele precisará incluir as ACs apropriadas para autorização. O DigiCert é a AC dos perfis da Microsoft e do Edgio. Para obter informações sobre como gerenciar registros CAA, consulte Gerenciar registros CAA. Para uma ferramenta de registro CAA, consulte Ajuda do registro CAA.

O domínio personalizado não é mapeado para o ponto de extremidade da CDN

Se a entrada do registro CNAME do ponto de extremidade não existir mais ou contiver o subdomínio cdnverify, siga o restante das instruções nesta etapa.

O DigiCert envia um email de verificação para os seguintes endereços de email. Verifique se é possível aprovar diretamente por meio de um dos seguintes endereços:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Você deverá receber um email em poucos minutos solicitando que você aprove a solicitação. Caso você esteja usando um filtro de spam, adicione verification@digicert.com à lista de permitidos. Se você não receber um email em até 24 horas, contate o suporte da Microsoft.

Quando você selecionar o link de aprovação, será direcionado para o seguinte formulário de aprovação online:

Siga as instruções do formulário; você tem duas opções de verificação:

• Você pode aprovar todos os pedidos futuros feitos por meio da mesma conta para o mesmo domínio raiz; por exemplo, contoso.com. Essa abordagem é recomendada se você pretende adicionar domínios personalizados adicionais para o mesmo domínio raiz.

• Você pode aprovar apenas o nome do host específico usado nesta solicitação. Será necessário obter outra aprovação para solicitações posteriores.

Após a aprovação, o DigiCert conclui a criação do certificado para seu nome de domínio personalizado. O certificado é válido por um ano e será renovado automaticamente antes de expirar.

Aguardar a propagação

Depois da validação do nome de domínio, é necessário de 6 a 8 horas para a ativação do recurso HTTPS de domínio personalizado. Depois da conclusão do processo, o status HTTPS personalizado no portal do Azure é definido para Habilitado. As quatro etapas de operação na caixa de diálogo de domínio personalizado são marcadas como concluídas. Seu domínio personalizado agora está pronto para usar o HTTPS.

Andamento da operação

A tabela a seguir mostra o andamento da operação que ocorre quando você habilita o HTTPS. Depois de habilitar o HTTPS, quatro etapas de operação são exibidas na caixa de diálogo do domínio personalizado. À medida que cada etapa fica ativa, outros detalhes da subetapa são exibidos na etapa conforme ela avança. Nem todas essas subetapas ocorrem. Depois que uma etapa for concluída com êxito, uma marca de seleção verde é exibida ao lado dela.

Etapa da operação	Detalhes da subetapa da operação
1 Enviando a solicitação	Enviando a solicitação
	Sua solicitação HTTPS está sendo enviada.
	Sua solicitação HTTPS foi enviada com êxito.
2 Validação de domínio	O domínio será validado automaticamente se CNAME for mapeado para o ponto de extremidade da CDN. Caso contrário, uma solicitação de verificação é enviada ao email listado no registro do seu domínio (WHOIS inscrito).
	Sua propriedade do domínio foi validada com êxito.
	A solicitação de validação da propriedade do domínio expirou (provavelmente, o cliente não respondeu dentro de 6 dias). O HTTPS não será habilitado no domínio. *
	A solicitação de validação da propriedade do domínio foi rejeitada pelo cliente. O HTTPS não será habilitado no domínio. *
3 Provisionamento de certificado	No momento, a autoridade de certificação está emitindo o certificado necessário para habilitar o HTTPS em seu domínio.
	O certificado foi emitido e está sendo implantado na rede CDN. Isso pode levar até 6 horas.
	O certificado foi implantado com êxito na rede CDN.
4 Concluído	O HTTPS foi habilitado com êxito em seu domínio.

* Essa mensagem não é exibida a menos que tenha ocorrido um erro.

Se ocorrer um erro antes que a solicitação seja enviada, a seguinte mensagem de erro será exibida:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Limpar recursos - desabilitar HTTPS

Nesta seção, você aprenderá a desabilitar o HTTPS para o domínio personalizado.

Desabilitar o recurso HTTPS

1. No portal do Azure, pesquise e selecione Perfis de CDN.

2. Escolha o seu perfil do CDN Standard do Azure da Microsoft, CDN Standard do Azure do Edgio ou CDN Premium do Azure do Edgio.

3. Na lista de pontos de extremidade, escolha o ponto de extremidade que contém seu domínio personalizado.

4. Escolha o domínio personalizado no qual você deseja desabilitar o HTTPS.

   

5. Escolha Desativado para desabilitar o HTTPS e, em seguida, selecione Aplicar.

   

Aguardar a propagação

Depois que o recurso HTTPS do domínio personalizado for desabilitado, poderá levar até 6-8 horas para que ele entre em vigor. Depois da conclusão do processo, o status HTTPS personalizado no portal do Azure é definido para Desabilitado. As três etapas de operação na caixa de diálogo de domínio personalizado são marcadas como concluídas. Seu domínio personalizado não pode mais usar o HTTPS.

Andamento da operação

A tabela a seguir mostra o andamento da operação que ocorre quando você desabilita o HTTPS. Depois de desabilitar o HTTPS, três etapas de operação são exibidas na caixa de diálogo de domínio personalizado. Quando uma etapa fica ativa, detalhes são exibidos sob a etapa. Depois que uma etapa for concluída com êxito, uma marca de seleção verde é exibida ao lado dela.

Andamento da operação	Detalhes da operação
1 Enviando a solicitação	Enviando a solicitação
2 Desprovisionamento de certificado	Excluindo o certificado
3 Concluído	Certificado excluído

Rotação automática de certificado com a CDN do Azure do Edgio

Os certificados gerenciados do Azure Key Vault podem utilizar o recurso de rotação automática de certificado, permitindo que a CDN do Azure do Edgio recupere automaticamente os certificados atualizados e os propague para a plataforma CDN do Edgio. Para habilitar este recurso:

1. Registre a CDN do Azure como um aplicativo em seu Microsoft Entra ID.

2. Autorize o serviço CDN do Azure a acessar os segredos em seu Key Vault. Navegue até "Políticas de acesso" em seu Key Vault para adicionar uma nova política e conceda à entidade de serviço Microsoft.AzureFrontDoor-Cdn uma permissão Obter segredos.

3. Defina a versão do certificado como Mais Recente no Tipo de gerenciamento de certificado dentro do menu Domínio personalizado. Se uma versão específica do certificado for selecionada, serão necessárias atualizações manuais.

Observação

• Lembre-se de que pode levar até 24 horas para o certificado girar automaticamente para concluir totalmente a propagação do novo certificado.
• Se um certificado for utilizado para cobrir vários domínios personalizados, é imperativo habilitar a rotação automática de certificado em todos os domínios personalizados que compartilham esse certificado para garantir a operação correta. Omissões nesse processo podem resultar na plataforma Edgio servindo uma versão incorreta do certificado para o domínio personalizado que não possui esse recurso ativado.”

Perguntas frequentes

1. Quem é o provedor de certificado e que tipo de certificado é usado?

   Um certificado dedicado, fornecido pela DigiCert, é usado para seu domínio personalizado:

   • Rede de Distribuição de Conteúdo do Microsoft Azure do Edgio
   • Rede de Distribuição de Conteúdo do Microsoft Azure da Microsoft

2. Você usa TLS/SSL SNI (Indicação de Nome de Servidor) ou baseada em IP?

   O CDN do Azure do Edgio e o CDN Standard do Azure da Microsoft usam TLS/SSL de SNI.

3. E se eu não receber o email de verificação de domínio do DigiCert?

   Se você não estiver usando o subdomínio cdnverify e a entrada CNAME for para o nome do host do ponto de extremidade, você não receberá nenhum email de verificação de domínio.

   A validação ocorre automaticamente. Caso contrário, se você não tem uma entrada CNAME e você ainda não recebeu um email em até 24 horas, entre em contato com o suporte da Microsoft.

4. Usar um certificado SAN é menos seguro do que um certificado dedicado?

   Um certificado SAN segue os mesmos padrões de criptografia e segurança de um certificado dedicado. Todos os certificados TLS/SSL emitidos usam SHA-256 para uma maior segurança do servidor.

5. É necessário ter um registro de Autorização de Autoridade de Certificação em meu provedor DNS?

   Nenhum registro de Autorização de Autoridade de Certificação é necessário no momento. No entanto, caso você tenha um, ele deverá incluir o DigiCert como uma AC válida.

6. Em 20 de junho de 2018, a CDN do Azure do Edgio passou a usar um certificado dedicado com o SNI TLS/SSL por padrão. O que acontece com meus domínios personalizados existentes usando o certificado SAN (Nomes alternativos de entidade) e TLS/SSL baseado em IP?

   Se a Microsoft analisar que apenas solicitações de cliente SNI são feitas para seu aplicativo, seus domínios existentes serão gradualmente migrados para um único certificado nos próximos meses.

   Se os clientes não SNI forem detectados, seus domínios permanecerão no certificado SAN com TLS/SSL baseado em IP. As solicitações para seu serviço ou clientes não SNI não são afetadas.

7. Como funcionam as renovações de certificado com o modelo Traga Seu Próprio Certificado?

   Para garantir que um certificado mais recente seja implantado na infraestrutura POP, carregue seu novo certificado no Azure Key Vault. Nas configurações do TLS na Rede de Distribuição de Conteúdo do Microsoft Azure, escolha a versão mais recente do certificado e selecione "salvar". Em seguida, a Rede de Distribuição de Conteúdo do Microsoft Azure propagará seu novo certificado atualizado.

   Quanto aos perfis da CDN do Azure do Edgio, se você usar o mesmo certificado do Azure Key Vault em vários domínios personalizados (por exemplo, um certificado curinga), atualize todos os domínios personalizados que usam esse mesmo certificado para a versão mais recente do certificado.

Próximas etapas

Neste tutorial, você aprendeu a:

• Habilite o protocolo HTTPS em seu domínio personalizado.
• Usar um certificado gerenciado por CDN
• Usar o seu próprio certificado
• Valide o domínio.
• Desabilite o protocolo HTTPS em seu domínio personalizado.

Avance para o próximo tutorial para aprender como configurar a colocação de cache em um domínio personalizado da CDN.

Tutorial: definir regras de cache da CDN do Azure