Adicionar um certificado SSL no serviço Azure AppAdd an SSL certificate in Azure App Service

O Serviço de Aplicações do Azure oferece um serviço de alojamento na Web altamente dimensionável e com correção automática.Azure App Service provides a highly scalable, self-patching web hosting service. Este artigo mostra como criar, carregar ou importar um certificado privado ou um certificado público para o serviço de aplicativo.This article shows you how create, upload, or import a private certificate or a public certificate into App Service.

Depois que o certificado for adicionado ao aplicativo do serviço de aplicativo ou ao aplicativo de funções, você poderá proteger um nome DNS personalizado com ele ou usá-lo no código do aplicativo.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

A tabela a seguir lista as opções que você tem para adicionar certificados no serviço de aplicativo:The following table lists the options you have for adding certificates in App Service:

OpçãoOption DescriçãoDescription
Criar um certificado gerenciado do serviço de aplicativo gratuito (versão prévia)Create a free App Service Managed Certificate (Preview) Um certificado privado que é fácil de usar se você só precisa proteger seu www domínio personalizado ou qualquer domínio não descoberto no serviço de aplicativo.A private certificate that's easy to use if you just need to secure your www custom domain or any non-naked domain in App Service.
Comprar um certificado do serviço de aplicativoPurchase an App Service certificate Um certificado privado que é gerenciado pelo Azure.A private certificate that's managed by Azure. Ele combina a simplicidade do gerenciamento automatizado de certificados e a flexibilidade das opções de renovação e exportação.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importar um certificado de Key VaultImport a certificate from Key Vault Útil se você usar Azure Key Vault para gerenciar seus certificados PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Consulte requisitos de certificado privado.See Private certificate requirements.
Carregar um certificado privadoUpload a private certificate Se você já tiver um certificado privado de um provedor de terceiros, você poderá carregá-lo.If you already have a private certificate from a third-party provider, you can upload it. Consulte requisitos de certificado privado.See Private certificate requirements.
Carregar um certificado públicoUpload a public certificate Os certificados públicos não são usados para proteger domínios personalizados, mas você pode carregá-los em seu código se precisar que eles acessem recursos remotos.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

Pré-requisitosPrerequisites

Para seguir este guia de instruções:To follow this how-to guide:

Requisitos de certificado privadoPrivate certificate requirements

O certificado gerenciado do serviço de aplicativo gratuito ou o certificado do serviço de aplicativo já atende aos requisitos do serviço de aplicativo.The free App Service Managed Certificate or the App Service certificate already satisfy the requirements of App Service. Se você optar por carregar ou importar um certificado privado para o serviço de aplicativo, o certificado deverá atender aos seguintes requisitos:If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Exportado como um arquivo PFX protegido por senhaExported as a password-protected PFX file
  • Conter uma chave privada com, pelo menos, 2048 bits de comprimentoContains private key at least 2048 bits long
  • Conter todos os certificados intermédios na cadeia de certificadosContains all intermediate certificates in the certificate chain

Para proteger um domínio personalizado em uma associação SSL, o certificado tem requisitos adicionais:To secure a custom domain in an SSL binding, the certificate has additional requirements:

  • Contém um uso estendido de chave para autenticação do servidor (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Ser assinado por uma autoridade de certificação fidedignaSigned by a trusted certificate authority

Nota

Os certificados de criptografia de curva elíptica (ECC) podem funcionar com o Serviço de Aplicações, mas não são abordados neste artigo.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Trabalhe com a sua autoridade de certificados para saber quais são os passos exatos para criar certificados ECC.Work with your certificate authority on the exact steps to create ECC certificates.

Preparar a sua aplicação WebPrepare your web app

Para vincular um certificado SSL personalizado (um certificado de terceiros ou certificado do Serviço de Aplicações) à sua aplicação Web, o plano do Serviço de Aplicações tem de estar no escalão Básico, Standard,Premium ou Isolado.To bind a custom SSL certificate (a third-party certificate or App Service certificate) to your web app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. Neste passo, vai confirmar que a aplicação Web está no escalão de preço suportado.In this step, you make sure that your web app is in the supported pricing tier.

Iniciar sessão no AzureSign in to Azure

Abra o Portal do Azure.Open the Azure portal.

Pesquise e selecione serviços de aplicativos.Search for and select App Services.

Selecionar serviços de aplicativos

Na página serviços de aplicativos , selecione o nome do seu aplicativo do Azure.On the App Services page, select the name of your Azure app.

Navegação do portal para a aplicação do Azure

Chegou à página de gestão da sua aplicação Web.You have landed in the management page of your web app.

Verificar o escalão de preçoCheck the pricing tier

No painel de navegação esquerdo da página da aplicação Web, desloque-se para a secção Definições e selecione Aumentar verticalmente (plano do Serviço de Aplicações) .In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menu de aumento vertical

Confirme que a aplicação Web não está no escalão F1 ou D1.Check to make sure that your web app is not in the F1 or D1 tier. O escalão atual da aplicação é realçado com uma caixa azul-escura.Your web app's current tier is highlighted by a dark blue box.

Verificar o escalão de preço

O SSL personalizado não é suportado nos escalões F1 ou D1.Custom SSL is not supported in the F1 or D1 tier. Se precisar de aumentar verticalmente, siga os passos na secção seguinte.If you need to scale up, follow the steps in the next section. Caso contrário, feche a página escalar verticalmente e ignore a seção escalar verticalmente o plano do serviço de aplicativo .Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Aumentar verticalmente o seu plano do Serviço de AplicaçõesScale up your App Service plan

Selecione qualquer uma das camadas não gratuitas (B1, B2, B3 ou qualquer camada na categoria Produção).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Para obter opções adicionais, clique em Ver opções adicionais.For additional options, click See additional options.

Clique em Aplicar.Click Apply.

Escolher um escalão de preço

Quando vir a notificação seguinte, significa que a operação de dimensionamento está completa.When you see the following notification, the scale operation is complete.

Notificação para “aumentar verticalmente”

Criar um certificado gratuito (versão prévia)Create a free certificate (Preview)

O certificado gerenciado do serviço de aplicativo gratuito é uma solução de chave ativa para proteger seu nome DNS personalizado no serviço de aplicativo.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. É um certificado SSL totalmente funcional que é gerenciado pelo serviço de aplicativo e renovado automaticamente.It's a fully functional SSL certificate that's managed by App Service and renewed automatically. O certificado gratuito vem com as seguintes limitações:The free certificate comes with the following limitations:

  • Não oferece suporte a certificados curinga.Does not support wildcard certificates.
  • Não dá suporte a domínios Naked.Does not support naked domains.
  • Não é exportável.Is not exportable.

Nota

O certificado gratuito é emitido por DigiCert.The free certificate is issued by DigiCert. Para alguns domínios de nível superior, você deve permitir explicitamente o DigiCert como um emissor de certificado criando um registro de domínio CAA com o valor: 0 issue digicert.com.For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

Para criar um certificado gerenciado do serviço de aplicativo gratuito:To create a free App Service Managed Certificate:

No portal do Azure, no menu à esquerda, selecione serviços de aplicativos > <nome-do-aplicativo > .In the Azure portal, from the left menu, select App Services > <app-name>.

No painel de navegação à esquerda do seu aplicativo, selecione configurações de TLS/SSL > certificados de chave privada (. pfx) > criar certificado gerenciado do serviço de aplicativo.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Criar certificado gratuito no serviço de aplicativo

Qualquer domínio não-descoberto que esteja adequadamente mapeado para seu aplicativo com um registro CNAME será listado na caixa de diálogo.Any non-naked domain that's properly mapped to your app with a CNAME record is listed in the dialog. Selecione o domínio personalizado para criar um certificado gratuito e selecione criar.Select the custom domain to create a free certificate for and select Create. Você pode criar apenas um certificado para cada domínio personalizado com suporte.You can create only one certificate for each supported custom domain.

Quando a operação for concluída, você verá o certificado na lista certificados de chave privada .When the operation completes, you see the certificate in the Private Key Certificates list.

Criação de certificado gratuito concluída

Importante

Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga as etapas em criar Associação.Follow the steps in Create binding.

Importar um Certificado do Serviço de AplicativoImport an App Service Certificate

Se você comprar uma Certificado do Serviço de Aplicativo do Azure, o Azure gerenciará as seguintes tarefas:If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Cuida do processo de compra do GoDaddy.Takes care of the purchase process from GoDaddy.
  • Executa a verificação de domínio do certificado.Performs domain verification of the certificate.
  • Mantém o certificado no Azure Key Vault.Maintains the certificate in Azure Key Vault.
  • Gerencia a renovação de certificado (consulte renovar certificado).Manages certificate renewal (see Renew certificate).
  • Sincronize o certificado automaticamente com as cópias importadas nos aplicativos do serviço de aplicativo.Synchronize the certificate automatically with the imported copies in App Service apps.

Para comprar um certificado do serviço de aplicativo, acesse iniciar a ordem do certificado.To purchase an App Service certificate, go to Start certificate order.

Se você já tiver um certificado de serviço de aplicativo em funcionamento, poderá:If you already have a working App Service certificate, you can:

Iniciar a ordem do certificadoStart certificate order

Inicie uma ordem de certificado do serviço de aplicativo na página certificado do serviço de aplicativo criar.Start an App Service certificate order in the App Service Certificate create page.

Iniciar compra de certificado do serviço de aplicativo

Use a tabela a seguir para ajudá-lo a configurar o certificado.Use the following table to help you configure the certificate. Quando terminar, clique em Criar.When finished, click Create.

DefiniçãoSetting DescriçãoDescription
NomeName Um nome amigável para seu certificado de serviço de aplicativo.A friendly name for your App Service certificate.
Nome do host do domínio descobertoNaked Domain Host Name Especifique o domínio raiz aqui.Specify the root domain here. O certificado emitido protege o domínio raiz e o subdomínio www.The issued certificate secures both the root domain and the www subdomain. No certificado emitido, o campo nome comum contém o domínio raiz e o campo nome alternativo da entidade contém o domínio www.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Para proteger somente qualquer subdomínio, especifique o nome de domínio totalmente qualificado do subdomínio aqui (por exemplo, mysubdomain.contoso.com).To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
SubscriçãoSubscription O centro de dados onde o a aplicação Web está alojada.The datacenter where the web app is hosted.
Grupo de recursosResource group O grupo de recursos que contém o certificado.The resource group that contains the certificate. Você pode usar um novo grupo de recursos ou selecionar o mesmo grupo de recursos que o aplicativo do serviço de aplicativo, por exemplo.You can use a new resource group or select the same resource group as your App Service app, for example.
SKU do certificadoCertificate SKU Determina o tipo de certificado a ser criado, se um certificado padrão ou um certificado curinga.Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Termos legaisLegal Terms Clique para confirmar que você concorda com os termos legais.Click to confirm that you agree with the legal terms. Os certificados são obtidos de GoDaddy.The certificates are obtained from GoDaddy.

Armazenar no Azure Key VaultStore in Azure Key Vault

Após a conclusão do processo de compra do certificado, há mais algumas etapas que você precisa concluir para poder começar a usar esse certificado.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Selecione o certificado na página certificados do serviço de aplicativo e clique em configuração do certificado > etapa 1: armazenar.Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Configurar o armazenamento de Key Vault do certificado do serviço de aplicativo

Key Vault é um serviço do Azure que ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços em nuvem.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. É o armazenamento de sua escolha para certificados do serviço de aplicativo.It's the storage of choice for App Service certificates.

Na página status da Key Vault , clique em repositório Key Vault para criar um novo cofre ou escolha um cofre existente.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Se você optar por criar um novo cofre, use a tabela a seguir para ajudá-lo a configurar o cofre e clique em criar.If you choose to create a new vault, use the following table to help you configure the vault and click Create. consulte para criar novos Key Vault dentro da mesma assinatura e grupo de recursos.see to create new Key Vault inside same subscription and resource group.

DefiniçãoSetting DescriçãoDescription
NomeName Um nome exclusivo que consiste em caracteres alfanuméricos e traços.A unique name that consists for alphanumeric characters and dashes.
Grupo de recursosResource group Como recomendação, selecione o mesmo grupo de recursos que o seu certificado de serviço de aplicativo.As a recommendation, select the same resource group as your App Service certificate.
LocalizaçãoLocation Selecione o mesmo local que o aplicativo do serviço de aplicativo.Select the same location as your App Service app.
Escalão de preçoPricing tier Para obter informações, consulte Azure Key Vault detalhes de preços.For information, see Azure Key Vault pricing details.
Políticas de acessoAccess policies Define os aplicativos e o acesso permitido aos recursos do cofre.Defines the applications and the allowed access to the vault resources. Você pode configurá-lo mais tarde, seguindo as etapas em conceder a vários aplicativos acesso a um cofre de chaves.You can configure it later, following the steps at Grant several applications access to a key vault.
Acesso à rede virtualVirtual Network Access Restringir o acesso ao cofre para determinadas redes virtuais do Azure.Restrict vault access to certain Azure virtual networks. Você pode configurá-lo mais tarde, seguindo as etapas em configurar Azure Key Vault firewalls e redes virtuaisYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Depois de selecionar o cofre, feche a página do repositório Key Vault .Once you've selected the vault, close the Key Vault Repository page. A opção de repositório deve mostrar uma marca de seleção verde para êxito.The Store option should show a green check mark for success. Mantenha a página aberta para a próxima etapa.Keep the page open for the next step.

Verificar a propriedade do domínioVerify domain ownership

Na mesma página de configuração de certificado usada na última etapa, clique em etapa 2: verificar.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Verificar o domínio do certificado do serviço de aplicativo

Selecione verificação do serviço de aplicativo.Select App Service Verification. Como você já mapeou o domínio para seu aplicativo Web (consulte pré-requisitos), ele já está verificado.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Basta clicar em verificar para concluir esta etapa.Just click Verify to finish this step. Clique no botão Atualizar até que o certificado de mensagem seja verificado pelo domínio .Click the Refresh button until the message Certificate is Domain Verified appears.

Nota

Há suporte para quatro tipos de métodos de verificação de domínio:Four types of domain verification methods are supported:

  • Serviço de aplicativo -a opção mais conveniente quando o domínio já está mapeado para um aplicativo do serviço de aplicativo na mesma assinatura.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. Ele aproveita o fato de que o aplicativo do serviço de aplicativo já verificou a propriedade do domínio.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Domínio -verifique um domínio do serviço de aplicativo que você comprou do Azure.Domain - Verify an App Service domain that you purchased from Azure. O Azure adiciona automaticamente o registro TXT de verificação para você e conclui o processo.Azure automatically adds the verification TXT record for you and completes the process.
  • Email -Verifique o domínio enviando um email para o administrador de domínio.Mail - Verify the domain by sending an email to the domain administrator. As instruções são fornecidas quando você seleciona a opção.Instructions are provided when you select the option.
  • Manual -Verifique o domínio usando uma página HTML (somente certificadopadrão ) ou um registro txt do DNS.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. As instruções são fornecidas quando você seleciona a opção.Instructions are provided when you select the option.

Importar certificado para o serviço de aplicativoImport certificate into App Service

No portal do Azure, no menu à esquerda, selecione serviços de aplicativos > <nome-do-aplicativo > .In the Azure portal, from the left menu, select App Services > <app-name>.

No painel de navegação à esquerda do seu aplicativo, selecione configurações de TLS/SSL > certificados de chave privada (. pfx) > importar certificado do serviço de aplicativo.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Importar certificado do serviço de aplicativo no serviço de aplicativo

Selecione o certificado que você acabou de comprar e selecione OK.Select the certificate that you just purchased and select OK.

Quando a operação for concluída, você verá o certificado na lista certificados de chave privada .When the operation completes, you see the certificate in the Private Key Certificates list.

Importação de certificado do serviço de aplicativo concluída

Importante

Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga as etapas em criar Associação.Follow the steps in Create binding.

Importar um certificado de Key VaultImport a certificate from Key Vault

Se você usar Azure Key Vault para gerenciar seus certificados, poderá importar um certificado do PKCS12 do Key Vault para o serviço de aplicativo, desde que ele atenda aos requisitos.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

No portal do Azure, no menu à esquerda, selecione serviços de aplicativos > <nome-do-aplicativo > .In the Azure portal, from the left menu, select App Services > <app-name>.

No painel de navegação à esquerda do seu aplicativo, selecione configurações de TLS/SSL > certificados de chave privada (. pfx) > importar Key Vault certificado.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Importar Key Vault certificado no serviço de aplicativo))

Use a tabela a seguir para ajudá-lo a selecionar o certificado.Use the following table to help you select the certificate.

DefiniçãoSetting DescriçãoDescription
SubscriçãoSubscription A assinatura à qual o Key Vault pertence.The subscription that the Key Vault belongs to.
Key VaultKey Vault O cofre com o certificado que você deseja importar.The vault with the certificate you want to import.
CertificadoCertificate Selecione na lista de certificados do PKCS12 no cofre.Select from the list of PKCS12 certificates in the vault. Todos os certificados de PKCS12 no cofre são listados com suas impressões digitais, mas nem todos têm suporte no serviço de aplicativo.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Quando a operação for concluída, você verá o certificado na lista certificados de chave privada .When the operation completes, you see the certificate in the Private Key Certificates list. Se a importação falhar com um erro, o certificado não atenderá aos requisitos do serviço de aplicativo.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Importação de Key Vault certificado concluída

Importante

Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga as etapas em criar Associação.Follow the steps in Create binding.

Carregar um certificado privadoUpload a private certificate

Depois de obter um certificado do seu provedor de certificado, siga as etapas nesta seção para deixá-lo pronto para o serviço de aplicativo.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Intercalar certificados intermédiosMerge intermediate certificates

Se a sua autoridade de certificação lhe der vários certificados na cadeia de certificados, terá de intercalá-los por ordem.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

Para tal, abra cada certificado recebido num editor de texto.To do this, open each certificate you received in a text editor.

Crie um ficheiro para o certificado intercalado, denominado mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. Num editor de texto, copie o conteúdo de cada certificado para este ficheiro.In a text editor, copy the content of each certificate into this file. A ordem dos seus certificados deve seguir a ordem na cadeia de certificados, a começar no seu certificado e a terminar no certificado de raiz.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. O aspeto é igual ao do exemplo abaixo:It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportar o certificado para PFXExport certificate to PFX

Exporte o certificado SSL intercalado com a chave privada com que o pedido de certificado foi gerado.Export your merged SSL certificate with the private key that your certificate request was generated with.

Se tiver gerado o pedido de certificado com OpenSSL, significa que criou um ficheiro de chave privada.If you generated your certificate request using OpenSSL, then you have created a private key file. Para exportar o certificado para PFX, execute o seguinte comando.To export your certificate to PFX, run the following command. Substitua os marcadores de posição <private-key-file> e <merged-certificate-file> pelos caminhos para a chave privada e o ficheiro de certificado intercalado.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Quando lhe for pedido, defina uma palavra-passe de exportação.When prompted, define an export password. Vai utilizar esta palavra-passe ao carregar o certificado SSL para o Serviço de Aplicações mais tarde.You'll use this password when uploading your SSL certificate to App Service later.

Se tiver utilizado o IIS ou Certreq.exe para gerar o pedido de certificado, instale o certificado no seu computador local e exporte-o para PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Carregar certificado no serviço de aplicativoUpload certificate to App Service

Agora você está pronto para carregar o certificado no serviço de aplicativo.You're now ready upload the certificate to App Service.

No portal do Azure, no menu à esquerda, selecione serviços de aplicativos > <nome-do-aplicativo > .In the Azure portal, from the left menu, select App Services > <app-name>.

No painel de navegação à esquerda do seu aplicativo, selecione configurações de TLS/SSL > certificados de chave privada (. pfx) > carregar o certificado.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Carregar certificado privado no serviço de aplicativo

Em Ficheiro de Certificado PFX, selecione o ficheiro PFX.In PFX Certificate File, select your PFX file. Em Palavra-passe do certificado, escreva a palavra-passe que criou quando exportou o ficheiro PFX.In Certificate password, type the password that you created when you exported the PFX file. Quando terminar, clique em carregar.When finished, click Upload.

Quando a operação for concluída, você verá o certificado na lista certificados de chave privada .When the operation completes, you see the certificate in the Private Key Certificates list.

Carregamento do certificado concluído

Importante

Para proteger um domínio personalizado com esse certificado, você ainda precisa criar uma associação de certificado.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga as etapas em criar Associação.Follow the steps in Create binding.

Carregar um certificado públicoUpload a public certificate

Há suporte para certificados públicos no formato . cer .Public certificates are supported in the .cer format.

No portal do Azure, no menu à esquerda, selecione serviços de aplicativos > <nome-do-aplicativo > .In the Azure portal, from the left menu, select App Services > <app-name>.

No painel de navegação à esquerda do seu aplicativo, clique em configurações de TLS/SSL > certificados públicos (. cer) > carregar o certificado de chave pública.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

Em nome, digite um nome para o certificado.In Name, type a name for the certificate. No arquivo de certificado cer, selecione o arquivo cer.In CER Certificate file, select your CER file.

Clique em Carregar.Click Upload.

Carregar certificado público no serviço de aplicativo

Depois que o certificado for carregado, copie a impressão digital do certificado e veja tornar o certificado acessível.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Gerenciar certificados do serviço de aplicativoManage App Service certificates

Esta seção mostra como gerenciar um certificado do serviço de aplicativo adquirido em importar um certificado do serviço de aplicativo.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Certificado de rechaveamentoRekey certificate

Se você considerar que a chave privada do certificado está comprometida, poderá refazer o seu certificado.If you think your certificate's private key is compromised, you can rekey your certificate. Selecione o certificado na página certificados do serviço de aplicativo e, em seguida, selecione rechaveamento e sincronização no painel de navegação esquerdo.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Clique em rechaveamento para iniciar o processo.Click Rekey to start the process. Esse processo pode levar de 1-10 a minutos para ser concluído.This process can take 1-10 minutes to complete.

Rechaveamento de um certificado do serviço de aplicativo

A recriação de chaves do certificado reverte o certificado com um novo certificado emitido pela autoridade de certificação.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Quando a operação de rechaveamento for concluída, clique em sincronizar. A operação de sincronização atualiza automaticamente as associações de nome de host para o certificado no serviço de aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Se você não clicar em sincronizar, o serviço de aplicativo sincronizará automaticamente seu certificado dentro de 48 horas.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Renovar certificadoRenew certificate

Para ativar a renovação automática de seu certificado a qualquer momento, selecione o certificado na página certificados do serviço de aplicativo e clique em configurações de renovação automática no painel de navegação esquerdo.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. Por padrão, os certificados do serviço de aplicativo têm um período de validade de um ano.By default, App Service Certificates have a one-year validity period.

Selecione ativado e clique em salvar.Select On and click Save. Os certificados podem começar a renovar automaticamente 60 dias antes da expiração se você tiver a renovação automática ativada.Certificates can start automatically renewing 60 days before expiration if you have automatic renewal turned on.

Renovar certificado do serviço de aplicativo automaticamente

Para renovar manualmente o certificado, clique em renovação manual.To manually renew the certificate instead, click Manual Renew. Você pode solicitar para renovar manualmente o certificado 60 dias antes da expiração.You can request to manually renew your certificate 60 days before expiration.

Quando a operação de renovação for concluída, clique em sincronizar. A operação de sincronização atualiza automaticamente as associações de nome de host para o certificado no serviço de aplicativo sem causar nenhum tempo de inatividade para seus aplicativos.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Se você não clicar em sincronizar, o serviço de aplicativo sincronizará automaticamente seu certificado dentro de 48 horas.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Exportar o certificadoExport certificate

Como um Certificado do Serviço de Aplicativo é um segredo de Key Vault, você pode exportar uma cópia pfx dele e usá-lo para outros serviços do Azure ou fora do Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Para exportar o Certificado do Serviço de Aplicativo como um arquivo PFX, execute os comandos a seguir na Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. Você também pode executá-lo localmente se tiver instalado CLI do Azure.You can also run it locally if you installed Azure CLI. Substitua os espaços reservados pelos nomes usados quando você criou o certificado do serviço de aplicativo.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

O arquivo appservicecertificate. pfx baixado é um arquivo PKCS12 bruto que contém os certificados públicos e privados.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. Em cada prompt, use uma cadeia de caracteres vazia para a senha de importação e a frase secreta PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Excluir certificadoDelete certificate

A exclusão de um certificado do serviço de aplicativo é final e irreversível.Deletion of an App Service certificate is final and irreversible. Qualquer associação no serviço de aplicativo com esse certificado torna-se inválida.Any binding in App Service with this certificate becomes invalid. Para evitar a exclusão acidental, o Azure coloca um bloqueio no certificado.To prevent accidental deletion, Azure puts a lock on the certificate. Para excluir um certificado do serviço de aplicativo, primeiro você deve remover o bloqueio de exclusão no certificado.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Selecione o certificado na página certificados do serviço de aplicativo e selecione bloqueios no painel de navegação esquerdo.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Localize o bloqueio em seu certificado com a exclusãodo tipo de bloqueio.Find the lock on your certificate with the lock type Delete. À direita dele, selecione excluir.To the right of it, select Delete.

Excluir bloqueio para o certificado do serviço de aplicativo

Agora você pode excluir o certificado do serviço de aplicativo.Now you can delete the App Service certificate. No painel de navegação esquerdo, selecione visão geral > excluir.From the left navigation, select Overview > Delete. Na caixa de diálogo de confirmação, digite o nome do certificado e selecione OK.In the confirmation dialog, type the certificate name and select OK.

Automatizar com scriptsAutomate with scripts

CLI do AzureAzure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Mais recursosMore resources