Como adicionar um certificado de autoridade de certificação personalizado no Gerenciamento de API do Azure

  • Artigo

APLICA-SE A: Developer | Básico | Básico v2 | Padrão | Padrão v2 | Prémio

O Gerenciamento de API do Azure permite instalar certificados de CA na máquina dentro dos armazenamentos de certificados raiz e intermediários confiáveis. Esta funcionalidade deverá ser utilizada se os serviços precisarem de um certificado de AC personalizado.

O artigo mostra como gerenciar certificados de CA de uma instância de serviço de Gerenciamento de API do Azure no portal do Azure. Por exemplo, se você usar certificados de cliente autoassinados, poderá carregar certificados raiz confiáveis personalizados para o Gerenciamento de API.

Os certificados de CA carregados no Gerenciamento de API só podem ser usados para validação de certificados pelo gateway de Gerenciamento de API gerenciado. Se você usar o gateway auto-hospedado, saiba como criar uma CA personalizada para gateway auto-hospedado, mais adiante neste artigo.

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Carregar um certificado de AC

Certificados de CA no portal do Azure

Siga as etapas abaixo para carregar um novo certificado de autoridade de certificação. Se você ainda não criou uma instância de serviço de Gerenciamento de API, consulte o tutorial Criar uma instância de serviço de Gerenciamento de API.

  1. Navegue até sua instância de serviço de Gerenciamento de API do Azure no portal do Azure.

  2. No menu, em Segurança, selecione Certificados de CA > + Adicionar>.

  3. Procure o arquivo de .cer de certificado e decida sobre o armazenamento de certificados. Apenas a chave pública é necessária, por isso a senha é opcional.

    Adicionar certificado de autoridade de certificação no portal do Azure

  4. Selecione Guardar. Esta operação poderá demorar alguns minutos.

Nota

  • O processo de atribuição do certificado pode demorar 15 minutos ou mais, dependendo do tamanho da implementação. O SKU do Programador tem um período de inatividade durante o processo. Os SKUs do escalão Básico e superior não têm tempo de inatividade durante o processo.
  • Você também pode carregar um certificado de autoridade de certificação usando o New-AzApiManagementSystemCertificate comando PowerShell.

Excluir um certificado de autoridade de certificação

Selecione o certificado e selecione Excluir no menu de contexto (...).

Criar CA personalizada para gateway auto-hospedado

Se você usar um gateway auto-hospedado, a validação de certificados de servidor e cliente usando certificados raiz de CA carregados no serviço de Gerenciamento de API não será suportada. Para estabelecer confiança, configure um certificado de cliente específico para que ele seja confiável pelo gateway como uma autoridade de certificação personalizada.

Use as APIs REST da Autoridade de Certificação de Gateway para criar e gerenciar CAs personalizadas para um gateway auto-hospedado. Para criar uma autoridade de certificação personalizada:

  1. Adicione um arquivo .pfx de certificado à sua instância de Gerenciamento de API.
  2. Use a Autoridade de Certificação do Gateway - Criar ou atualizar a API REST para associar o certificado ao gateway autogerenciado.