Adicionar um certificado TLS/SSL no Serviço de Aplicações do AzureAdd a TLS/SSL certificate in Azure App Service

O Serviço de Aplicações do Azure oferece um serviço de alojamento na Web altamente dimensionável e com correção automática.Azure App Service provides a highly scalable, self-patching web hosting service. Este artigo mostra-lhe como criar, carregar ou importar um certificado privado ou um certificado público no Serviço de Aplicações.This article shows you how to create, upload, or import a private certificate or a public certificate into App Service.

Uma vez que o certificado seja adicionado à sua app de Serviço de Aplicações ou aplicação de função,pode garantir um nome DNS personalizado com ele ou usá-lo no seu código de aplicação.Once the certificate is added to your App Service app or function app, you can secure a custom DNS name with it or use it in your application code.

Nota

Um certificado enviado para uma aplicação é armazenado numa unidade de implantação que está ligada à combinação de recursos e região da aplicação (internamente chamada de webspace).A certificate uploaded into an app is stored in a deployment unit that is bound to the app's resource group and region combination (internally called a webspace). Isto torna o certificado acessível a outras aplicações no mesmo grupo de recursos e combinação de região.This makes the certificate accessible to other apps in the same resource group and region combination.

A tabela que se segue lista as opções que tem para adicionar certificados no Serviço de Aplicações:The following table lists the options you have for adding certificates in App Service:

OpçãoOption DescriçãoDescription
Criar um Certificado Gerido de Serviço de Aplicações gratuita (Pré-visualização)Create a free App Service Managed Certificate (Preview) Um certificado privado que é gratuito e fácil de usar se precisar apenas de proteger o seu domínio personalizado no Serviço de Aplicações.A private certificate that's free of charge and easy to use if you just need to secure your custom domain in App Service.
Comprar um certificado de Serviço de AplicaçõesPurchase an App Service certificate Um certificado privado que é gerido pelo Azure.A private certificate that's managed by Azure. Combina a simplicidade da gestão automatizada de certificados e a flexibilidade das opções de renovação e exportação.It combines the simplicity of automated certificate management and the flexibility of renewal and export options.
Importar um certificado do Cofre-ChaveImport a certificate from Key Vault Útil se utilizar o Cofre da Chave Azure para gerir os seus certificados PKCS12.Useful if you use Azure Key Vault to manage your PKCS12 certificates. Consulte os requisitos de certificado privado.See Private certificate requirements.
Faça upload de um certificado privadoUpload a private certificate Se já tem um certificado privado de um fornecedor de terceiros, pode carregá-lo.If you already have a private certificate from a third-party provider, you can upload it. Consulte os requisitos de certificado privado.See Private certificate requirements.
Faça upload de um certificado públicoUpload a public certificate Os certificados públicos não são usados para garantir domínios personalizados, mas pode carregá-los no seu código se precisar deles para aceder a recursos remotos.Public certificates are not used to secure custom domains, but you can load them into your code if you need them to access remote resources.

Pré-requisitosPrerequisites

Requisitos de certificados privadosPrivate certificate requirements

O Certificado Gerido do Serviço de Aplicações gratuito e o certificado de Serviço de Aplicações já satisfazem os requisitos do Serviço de Aplicações.The free App Service Managed Certificate and the App Service certificate already satisfy the requirements of App Service. Se optar por fazer o upload ou importação de um certificado privado para o Serviço de Aplicações, o seu certificado deve satisfazer os seguintes requisitos:If you choose to upload or import a private certificate to App Service, your certificate must meet the following requirements:

  • Exportado como um ficheiro PFX protegido por palavra-passe,encriptado utilizando o triplo DES.Exported as a password-protected PFX file, encrypted using triple DES.
  • Conter uma chave privada com, pelo menos, 2048 bits de comprimentoContains private key at least 2048 bits long
  • Conter todos os certificados intermédios na cadeia de certificadosContains all intermediate certificates in the certificate chain

Para garantir um domínio personalizado numa ligação TLS, o certificado tem requisitos adicionais:To secure a custom domain in a TLS binding, the certificate has additional requirements:

  • Contém uma utilização da chave estendida para a autenticação do servidor (OID = 1.3.6.1.5.5.7.3.1)Contains an Extended Key Usage for server authentication (OID = 1.3.6.1.5.5.7.3.1)
  • Ser assinado por uma autoridade de certificação fidedignaSigned by a trusted certificate authority

Nota

Os certificados de criptografia de curva elíptica (ECC) podem funcionar com o Serviço de Aplicações, mas não são abordados neste artigo.Elliptic Curve Cryptography (ECC) certificates can work with App Service but are not covered by this article. Trabalhe com a sua autoridade de certificados para saber quais são os passos exatos para criar certificados ECC.Work with your certificate authority on the exact steps to create ECC certificates.

Preparar a sua aplicação WebPrepare your web app

Para criar encadernações personalizadas de TLS/SSL ou ativar certificados de cliente para a sua aplicação De Serviço de Aplicações, o seu plano de Serviço de Aplicações deve estar no nível Básico, Standard, Premium ou Isolado.To create custom TLS/SSL bindings or enable client certificates for your App Service app, your App Service plan must be in the Basic, Standard, Premium, or Isolated tier. Neste passo, vai confirmar que a aplicação Web está no escalão de preço suportado.In this step, you make sure that your web app is in the supported pricing tier.

Iniciar sessão no AzureSign in to Azure

Abra o portal do Azure.Open the Azure portal.

Procure e selecione Serviços de Aplicações.Search for and select App Services.

Selecione Serviços de Aplicações

Na página serviços de aplicações, selecione o nome da sua aplicação web.On the App Services page, select the name of your web app.

Screenshot da página de Serviços de Aplicações no portal Azure mostrando uma lista de todas as aplicações web em execução, com a primeira aplicação na lista em destaque.

Aterrou na página de gestão da sua aplicação web.You have landed on the management page of your web app.

Verificar o escalão de preçoCheck the pricing tier

No painel de navegação esquerdo da página da aplicação Web, desloque-se para a secção Definições e selecione Aumentar verticalmente (plano do Serviço de Aplicações).In the left-hand navigation of your web app page, scroll to the Settings section and select Scale up (App Service plan).

Menu de aumento vertical

Confirme que a aplicação Web não está no escalão F1 ou D1.Check to make sure that your web app is not in the F1 or D1 tier. O escalão atual da aplicação é realçado com uma caixa azul-escura.Your web app's current tier is highlighted by a dark blue box.

Verificar o escalão de preço

O SSL personalizado não é suportado nos escalões F1 ou D1.Custom SSL is not supported in the F1 or D1 tier. Se precisar de aumentar verticalmente, siga os passos na secção seguinte.If you need to scale up, follow the steps in the next section. Caso contrário, feche a página 'Escala', e ignore a escala da secção do plano do Serviço de Aplicações.Otherwise, close the Scale up page and skip the Scale up your App Service plan section.

Aumentar verticalmente o seu plano do Serviço de AplicaçõesScale up your App Service plan

Selecione qualquer uma das camadas não gratuitas (B1, B2, B3 ou qualquer camada na categoria Produção).Select any of the non-free tiers (B1, B2, B3, or any tier in the Production category). Para obter opções adicionais, clique em Ver opções adicionais.For additional options, click See additional options.

Clique em Aplicar.Click Apply.

Escolher um escalão de preço

Quando vir a notificação seguinte, significa que a operação de dimensionamento está completa.When you see the following notification, the scale operation is complete.

Notificação para “aumentar verticalmente”

Criar um certificado gerido gratuitamente (Pré-visualização)Create a free managed certificate (Preview)

Nota

Antes de criar um certificado gerido gratuitamente, certifique-se de ter cumprido os pré-requisitos para a sua aplicação.Before creating a free managed certificate, make sure you have fulfilled the prerequisites for your app.

O Certificado Gerido por Serviço de Aplicações gratuito é uma solução chave-na-mão para garantir o nome DNS personalizado no Serviço de Aplicações.The free App Service Managed Certificate is a turn-key solution for securing your custom DNS name in App Service. É um certificado TLS/SSL totalmente funcional que é gerido pelo App Service e renovado automaticamente.It's a fully functional TLS/SSL certificate that's managed by App Service and renewed automatically. O certificado gratuito vem com as seguintes limitações:The free certificate comes with the following limitations:

  • Não suporta certificados wildcard.Does not support wildcard certificates.
  • Não é exportável.Is not exportable.
  • Não é suportado no Ambiente de Serviço de Aplicações (ASE).Is not supported on App Service Environment (ASE).
  • Não é suportado com domínios de raiz que são integrados com Gestor de Tráfego.Is not supported with root domains that are integrated with Traffic Manager.

Nota

O certificado gratuito é emitido pela DigiCert.The free certificate is issued by DigiCert. Para alguns domínios de alto nível, deve explicitamente permitir o DigiCert como emitente de certificado, criando um registo de domínio CAA com o valor: 0 issue digicert.com .For some top-level domains, you must explicitly allow DigiCert as a certificate issuer by creating a CAA domain record with the value: 0 issue digicert.com.

No portal Azure,a partir do menu esquerdo, selecione Serviços de Aplicações > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

A partir da navegação à esquerda da sua aplicação, selecione TLS/SSL > configurações Certificados chave privados (.pfx) > Criar Certificado Gerido de Serviço de Aplicação.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Create App Service Managed Certificate.

Criar certificado gratuito no Serviço de Aplicações

Selecione o domínio personalizado para criar um certificado gratuito e selecione Criar.Select the custom domain to create a free certificate for and select Create. Pode criar apenas um certificado para cada domínio personalizado suportado.You can create only one certificate for each supported custom domain.

Quando a operação estiver concluída, consulte o certificado na lista de Certificados-Chave Privados.When the operation completes, you see the certificate in the Private Key Certificates list.

Criar certificado gratuito terminado

Importante

Para garantir um domínio personalizado com este certificado, ainda precisa de criar um certificado vinculativo.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga os passos em Criar ligação.Follow the steps in Create binding.

Importar um Certificado de Serviço de AplicaçõesImport an App Service Certificate

Se comprar um Certificado de Serviço de Aplicações da Azure, a Azure gere as seguintes tarefas:If you purchase an App Service Certificate from Azure, Azure manages the following tasks:

  • Cuida do processo de compra do GoDaddy.Takes care of the purchase process from GoDaddy.
  • Realiza a verificação de domínio do certificado.Performs domain verification of the certificate.
  • Mantém o certificado no Cofre da Chave Azure.Maintains the certificate in Azure Key Vault.
  • Gere a renovação do certificado (ver Certificado de Renovação).Manages certificate renewal (see Renew certificate).
  • Sincronizar o certificado automaticamente com as cópias importadas em aplicações do Serviço de Aplicações.Synchronize the certificate automatically with the imported copies in App Service apps.

Para adquirir um certificado de Serviço de Aplicações, vá à ordem de certificado Iniciar.To purchase an App Service certificate, go to Start certificate order.

Se já tem um certificado de Serviço de Aplicações em funcionamento, pode:If you already have a working App Service certificate, you can:

Nota

Os Certificados de Serviço de Aplicações não são suportados em Nuvens Nacionais Azure neste momento.App Service Certificates are not supported in Azure National Clouds at this time.

Iniciar pedido de certificadoStart certificate order

Inicie uma ordem de certificado de Serviço de Aplicação na página de criação do Certificado de Serviço de Aplicações.Start an App Service certificate order in the App Service Certificate create page.

Iniciar a compra de certificado de Serviço de Aplicação

Utilize a seguinte tabela para ajudá-lo a configurar o certificado.Use the following table to help you configure the certificate. Quando terminar, clique em Criar.When finished, click Create.

DefiniçõesSetting DescriçãoDescription
NomeName Um nome amigável para o seu certificado de Serviço de Aplicações.A friendly name for your App Service certificate.
Nome do anfitrião do domínio nuNaked Domain Host Name Especifique o domínio raiz aqui.Specify the root domain here. O certificado emitido assegura tanto o domínio raiz como o www subdomínio.The issued certificate secures both the root domain and the www subdomain. No certificado emitido, o campo Nome Comum contém o domínio raiz, e o campo nome alternativo sujeito contém o www domínio.In the issued certificate, the Common Name field contains the root domain, and the Subject Alternative Name field contains the www domain. Para garantir apenas qualquer subdomínio, especifique o nome de domínio totalmente qualificado do subdomínio aqui (por exemplo, mysubdomain.contoso.com ).To secure any subdomain only, specify the fully qualified domain name of the subdomain here (for example, mysubdomain.contoso.com).
SubscriçãoSubscription A assinatura que conterá o certificado.The subscription that will contain the certificate.
Grupo de recursosResource group O grupo de recursos que conterá o certificado.The resource group that will contain the certificate. Pode utilizar um novo grupo de recursos ou selecionar o mesmo grupo de recursos que a sua aplicação App Service, por exemplo.You can use a new resource group or select the same resource group as your App Service app, for example.
Certificado SKUCertificate SKU Determina o tipo de certificado para criar, seja um certificado padrão ou um certificado wildcard.Determines the type of certificate to create, whether a standard certificate or a wildcard certificate.
Termos LegaisLegal Terms Clique para confirmar que concorda com os termos legais.Click to confirm that you agree with the legal terms. Os certificados são obtidos do GoDaddy.The certificates are obtained from GoDaddy.

Nota

Os Certificados de Serviço de Aplicações adquiridos à Azure são emitidos pela GoDaddy.App Service Certificates purchased from Azure are issued by GoDaddy. Para alguns domínios de alto nível, deve explicitamente permitir o GoDaddy como emitente de certificado, criando um registo de domínio CAA com o valor: 0 issue godaddy.comFor some top-level domains, you must explicitly allow GoDaddy as a certificate issuer by creating a CAA domain record with the value: 0 issue godaddy.com

Loja em Azure Key VaultStore in Azure Key Vault

Uma vez concluído o processo de compra do certificado, há mais alguns passos que precisa de completar antes de poder começar a usar este certificado.Once the certificate purchase process is complete, there are few more steps you need to complete before you can start using this certificate.

Selecione o certificado na página de Certificados de Serviço de Aplicação e, em seguida, clique em Certificate Configuration > Step 1: Store.Select the certificate in the App Service Certificates page, then click Certificate Configuration > Step 1: Store.

Configure o armazenamento do cofre chave do certificado de Serviço de Aplicações

Key Vault é um serviço Azure que ajuda a salvaguardar chaves criptográficas e segredos usados por aplicações e serviços em nuvem.Key Vault is an Azure service that helps safeguard cryptographic keys and secrets used by cloud applications and services. É o armazenamento de eleição para certificados de Serviço de Aplicações.It's the storage of choice for App Service certificates.

Na página Key Vault Status, clique no Repositório do Cofre de Chaves para criar um novo cofre ou escolha um cofre existente.In the Key Vault Status page, click Key Vault Repository to create a new vault or choose an existing vault. Se optar por criar um novo cofre, utilize a seguinte tabela para o ajudar a configurar o cofre e clique em Criar.If you choose to create a new vault, use the following table to help you configure the vault and click Create. Crie o novo Key Vault dentro do mesmo grupo de subscrição e recursos que a sua aplicação App Service.Create the new Key Vault inside the same subscription and resource group as your App Service app.

DefiniçõesSetting DescriçãoDescription
NomeName Um nome único que consiste em caracteres alfanuméricos e traços.A unique name that consists for alphanumeric characters and dashes.
Grupo de recursosResource group Como recomendação, selecione o mesmo grupo de recursos que o certificado de Serviço de Aplicações.As a recommendation, select the same resource group as your App Service certificate.
LocalizaçãoLocation Selecione o mesmo local que a sua aplicação App Service.Select the same location as your App Service app.
Escalão de preçoPricing tier Para obter informações, consulte os detalhes dos preços do Azure Key Vault.For information, see Azure Key Vault pricing details.
Políticas de acessoAccess policies Define as aplicações e o acesso permitido aos recursos do cofre.Defines the applications and the allowed access to the vault resources. Pode configurgê-lo mais tarde, seguindo os passos na política de acesso a Um Cofre de Chaves.You can configure it later, following the steps at Assign a Key Vault access policy.
Acesso virtual à redeVirtual Network Access Restringir o acesso ao cofre a certas redes virtuais Azure.Restrict vault access to certain Azure virtual networks. Pode configugá-lo mais tarde, seguindo os passos em Configure Azure Key Vault Firewalls e Redes VirtuaisYou can configure it later, following the steps at Configure Azure Key Vault Firewalls and Virtual Networks

Assim que tiver selecionado o cofre, feche a página do Repositório do Cofre de Chaves.Once you've selected the vault, close the Key Vault Repository page. A opção Passo 1: A opção de loja deve mostrar uma marca de verificação verde para o sucesso.The Step 1: Store option should show a green check mark for success. Mantenha a página aberta para o próximo passo.Keep the page open for the next step.

Verificar a propriedade do domínioVerify domain ownership

A partir da mesma página de Configuração de Certificado que usou no último passo, clique no Passo 2: Verifique.From the same Certificate Configuration page you used in the last step, click Step 2: Verify.

Verifique o domínio do certificado de Serviço de Aplicações

Selecione a verificação do serviço de aplicações.Select App Service Verification. Uma vez que já mapeou o domínio para a sua aplicação web (ver Pré-requisitos),já está verificado.Since you already mapped the domain to your web app (see Prerequisites), it's already verified. Basta clicar Verifique para terminar este passo.Just click Verify to finish this step. Clique no botão 'Atualizar' até aparecer o certificado de mensagem "Controlo de Domínio".Click the Refresh button until the message Certificate is Domain Verified appears.

Nota

São suportados quatro tipos de métodos de verificação de domínio:Four types of domain verification methods are supported:

  • Serviço de Aplicações - A opção mais conveniente quando o domínio já está mapeado para uma aplicação do Serviço de Aplicações na mesma subscrição.App Service - The most convenient option when the domain is already mapped to an App Service app in the same subscription. Aproveita o facto de a app App Service já ter verificado a propriedade do domínio.It takes advantage of the fact that the App Service app has already verified the domain ownership.
  • Domínio - Verifique um domínio de Serviço de Aplicações que adquiriu ao Azure.Domain - Verify an App Service domain that you purchased from Azure. O Azure adiciona automaticamente o registo TXT de verificação para si e completa o processo.Azure automatically adds the verification TXT record for you and completes the process.
  • Correio - Verifique o domínio enviando um e-mail ao administrador de domínio.Mail - Verify the domain by sending an email to the domain administrator. As instruções são fornecidas quando seleciona a opção.Instructions are provided when you select the option.
  • Manual - Verifique o domínio utilizando uma página HTML (certificado padrão apenas) ou um registo DNS TXT.Manual - Verify the domain using either an HTML page (Standard certificate only) or a DNS TXT record. As instruções são fornecidas quando seleciona a opção.Instructions are provided when you select the option.

Certificado de importação para o Serviço de AplicaçõesImport certificate into App Service

No portal Azure,a partir do menu esquerdo, selecione Serviços de Aplicações > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

A partir da navegação à esquerda da sua aplicação, selecione TLS/SSL configura > certificados de chave privada (.pfx) > Certificado de Serviço de Aplicações de Importação.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import App Service Certificate.

Certificado de Serviço de Aplicações de Importação no Serviço de Aplicações

Selecione o certificado que acabou de adquirir e selecione OK.Select the certificate that you just purchased and select OK.

Quando a operação estiver concluída, consulte o certificado na lista de Certificados-Chave Privados.When the operation completes, you see the certificate in the Private Key Certificates list.

Certificado de Serviço de Aplicações de Importação concluído

Importante

Para garantir um domínio personalizado com este certificado, ainda precisa de criar um certificado vinculativo.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga os passos em Criar ligação.Follow the steps in Create binding.

Importar um certificado do Cofre-ChaveImport a certificate from Key Vault

Se utilizar o Azure Key Vault para gerir os seus certificados, pode importar um certificado PKCS12 da Key Vault para o Serviço de Aplicações, desde que satisfaça os requisitos.If you use Azure Key Vault to manage your certificates, you can import a PKCS12 certificate from Key Vault into App Service as long as it satisfies the requirements.

Autorizar o Serviço de Aplicações a ler a partir do cofreAuthorize App Service to read from the vault

Por padrão, o fornecedor de recursos do Serviço de Aplicações não tem acesso ao Cofre de Chaves.By default, the App Service resource provider doesn’t have access to the Key Vault. Para utilizar um Cofre-Chave para uma colocação de certificado, é necessário autorizar o fornecedor de recursos a ler o acesso ao KeyVault.In order to use a Key Vault for a certificate deployment, you need to authorize the resource provider read access to the KeyVault.

abfa0a7c-a6b6-4736-8310-5855508787cd é o nome principal do serviço de fornecedor de recursos para o Serviço de Aplicações, e é o mesmo para todas as subscrições do Azure.abfa0a7c-a6b6-4736-8310-5855508787cd is the resource provider service principal name for App Service, and it's the same for all Azure subscriptions. Para o ambiente em nuvem do Governo Azure, use 6a02c803-dafd-4136-b4c3-5a6f318b4714 como nome principal do serviço de prestador de recursos.For Azure Government cloud environment, use 6a02c803-dafd-4136-b4c3-5a6f318b4714 instead as the resource provider service principal name.

Importe um certificado do seu cofre para a sua appImport a certificate from your vault to your app

No portal Azure,a partir do menu esquerdo, selecione Serviços de Aplicações > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

A partir da navegação à esquerda da sua aplicação, selecione TLS/SSL > configurações Certificados chave privados (.pfx) > Certificado de Cofre chave de importação.From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Import Key Vault Certificate.

Certificado de cofre chave de importação no Serviço de Aplicações

Utilize a seguinte tabela para ajudá-lo a selecionar o certificado.Use the following table to help you select the certificate.

DefiniçõesSetting DescriçãoDescription
SubscriçãoSubscription A assinatura a que pertence o Cofre-Chave.The subscription that the Key Vault belongs to.
Key VaultKey Vault O cofre com o certificado que quer importar.The vault with the certificate you want to import.
CertificadoCertificate Selecione a partir da lista de certificados PKCS12 no cofre.Select from the list of PKCS12 certificates in the vault. Todos os certificados PKCS12 do cofre estão listados com as suas impressões digitais, mas nem todos são suportados no Serviço de Aplicações.All PKCS12 certificates in the vault are listed with their thumbprints, but not all are supported in App Service.

Quando a operação estiver concluída, consulte o certificado na lista de Certificados-Chave Privados.When the operation completes, you see the certificate in the Private Key Certificates list. Se a importação falhar com um erro, o certificado não satisfaz os requisitos do Serviço de Aplicações.If the import fails with an error, the certificate doesn't meet the requirements for App Service.

Certificado de Abóbada de Chave de Importação concluído

Nota

Se atualizar o seu certificado no Key Vault com um novo certificado, o Serviço de Aplicações sincroniza automaticamente o seu certificado dentro de 48 horas.If you update your certificate in Key Vault with a new certificate, App Service automatically syncs your certificate within 48 hours.

Importante

Para garantir um domínio personalizado com este certificado, ainda precisa de criar um certificado vinculativo.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga os passos em Criar ligação.Follow the steps in Create binding.

Faça upload de um certificado privadoUpload a private certificate

Assim que obtiver um certificado do seu fornecedor de certificados, siga os passos desta secção para o preparar para o Serviço de Aplicações.Once you obtain a certificate from your certificate provider, follow the steps in this section to make it ready for App Service.

Intercalar certificados intermédiosMerge intermediate certificates

Se a sua autoridade de certificação lhe der vários certificados na cadeia de certificados, terá de intercalá-los por ordem.If your certificate authority gives you multiple certificates in the certificate chain, you need to merge the certificates in order.

Para tal, abra cada certificado recebido num editor de texto.To do this, open each certificate you received in a text editor.

Crie um ficheiro para o certificado intercalado, denominado mergedcertificate.crt.Create a file for the merged certificate, called mergedcertificate.crt. Num editor de texto, copie o conteúdo de cada certificado para este ficheiro.In a text editor, copy the content of each certificate into this file. A ordem dos seus certificados deve seguir a ordem na cadeia de certificados, a começar no seu certificado e a terminar no certificado de raiz.The order of your certificates should follow the order in the certificate chain, beginning with your certificate and ending with the root certificate. O aspeto é igual ao do exemplo abaixo:It looks like the following example:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportar o certificado para PFXExport certificate to PFX

Exporte o seu certificado TLS/SSL fundido com a chave privada com a qual o seu pedido de certificado foi gerado.Export your merged TLS/SSL certificate with the private key that your certificate request was generated with.

Se tiver gerado o pedido de certificado com OpenSSL, significa que criou um ficheiro de chave privada.If you generated your certificate request using OpenSSL, then you have created a private key file. Para exportar o certificado para PFX, execute o seguinte comando.To export your certificate to PFX, run the following command. Substitua os espaços reservados>de < ficheiros de chave privada e>de ficheiro de certificado < fundido pelos caminhos da sua chave privada e do seu ficheiro de certificado fundido.Replace the placeholders <private-key-file> and <merged-certificate-file> with the paths to your private key and your merged certificate file.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>  

Quando lhe for pedido, defina uma palavra-passe de exportação.When prompted, define an export password. Utilizará esta palavra-passe ao enviar o seu certificado TLS/SSL para o Serviço de Aplicações mais tarde.You'll use this password when uploading your TLS/SSL certificate to App Service later.

Se tiver utilizado o IIS ou Certreq.exe para gerar o pedido de certificado, instale o certificado no seu computador local e exporte-o para PFX.If you used IIS or Certreq.exe to generate your certificate request, install the certificate to your local machine, and then export the certificate to PFX.

Certificado de upload para o Serviço de AplicaçõesUpload certificate to App Service

Está agora pronto para enviar o certificado para o Serviço de Aplicações.You're now ready upload the certificate to App Service.

No portal Azure,a partir do menu esquerdo, selecione Serviços de Aplicações > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

A partir da navegação à esquerda da sua aplicação, selecione certificados > de porta-chaves privados (.pfx) De > configuração (.pfx).From the left navigation of your app, select TLS/SSL settings > Private Key Certificates (.pfx) > Upload Certificate.

Faça upload de certificado privado no Serviço de Aplicações

Em Ficheiro de Certificado PFX, selecione o ficheiro PFX.In PFX Certificate File, select your PFX file. Em Palavra-passe do certificado, escreva a palavra-passe que criou quando exportou o ficheiro PFX.In Certificate password, type the password that you created when you exported the PFX file. Quando terminar, clique em Upload.When finished, click Upload.

Quando a operação estiver concluída, consulte o certificado na lista de Certificados-Chave Privados.When the operation completes, you see the certificate in the Private Key Certificates list.

Certificado de upload terminado

Importante

Para garantir um domínio personalizado com este certificado, ainda precisa de criar um certificado vinculativo.To secure a custom domain with this certificate, you still need to create a certificate binding. Siga os passos em Criar ligação.Follow the steps in Create binding.

Faça upload de um certificado públicoUpload a public certificate

Os certificados públicos são suportados no formato .cer.Public certificates are supported in the .cer format.

No portal Azure,a partir do menu esquerdo, selecione Serviços de Aplicações > <app-name> .In the Azure portal, from the left menu, select App Services > <app-name>.

A partir da navegação à esquerda da sua aplicação, clique em Certificados Públicos de Definições TLS/SSL > (.cer) > Upload Public Key Certificate.From the left navigation of your app, click TLS/SSL settings > Public Certificates (.cer) > Upload Public Key Certificate.

Em Nome, escreva um nome para o certificado.In Name, type a name for the certificate. No ficheiro Certificado CER, selecione o seu ficheiro CER.In CER Certificate file, select your CER file.

Clique em Carregar.Click Upload.

Upload de certificado público no Serviço de Aplicações

Uma vez que o certificado é carregado, copie a impressão digital do certificado e veja tornar o certificado acessível.Once the certificate is uploaded, copy the certificate thumbprint and see Make the certificate accessible.

Gerir certificados de Serviço de AplicaçõesManage App Service certificates

Esta secção mostra-lhe como gerir um certificado de Serviço de Aplicações que adquiriu no Certificado de Serviço de Aplicações.This section shows you how to manage an App Service certificate you purchased in Import an App Service certificate.

Certificado rekeyRekey certificate

Se acha que a chave privada do certificado está comprometida, pode re-conseguir o seu certificado.If you think your certificate's private key is compromised, you can rekey your certificate. Selecione o certificado na página 'Certificados de Serviço de Aplicação' e, em seguida, selecione Rekey e Sync a partir da navegação à esquerda.Select the certificate in the App Service Certificates page, then select Rekey and Sync from the left navigation.

Clique em Rekey para iniciar o processo.Click Rekey to start the process. Este processo pode demorar 1 a 10 minutos a ser concluído.This process can take 1-10 minutes to complete.

Rekey um certificado de Serviço de Aplicações

A rekeying do seu certificado revira o certificado com um novo certificado emitido pela autoridade de certificados.Rekeying your certificate rolls the certificate with a new certificate issued from the certificate authority.

Assim que a operação de rekey estiver concluída, clique em Sync. A operação de sincronização atualiza automaticamente as ligações do nome anfitrião para o certificado no Serviço de Aplicações sem causar qualquer tempo de inatividade nas suas apps.Once the rekey operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Se não clicar em Sync, o Serviço de Aplicações sincroniza automaticamente o seu certificado dentro de 48 horas.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Renovar certificadoRenew certificate

Para ligar a renovação automática do seu certificado a qualquer momento, selecione o certificado na página 'Certificados de Serviço de Aplicação' e, em seguida, clique em Definições de Renovação Automática na navegação à esquerda.To turn on automatic renewal of your certificate at any time, select the certificate in the App Service Certificates page, then click Auto Renew Settings in the left navigation. Por predefinição, os Certificados de Serviço de Aplicações têm um período de validade de um ano.By default, App Service Certificates have a one-year validity period.

Selecione On e clique Em Guardar.Select On and click Save. Os certificados podem começar a renovar automaticamente 60 dias antes do termo se tiver a renovação automática ligada.Certificates can start automatically renewing 60 days before expiration if you have automatic renewal turned on.

Renovar automaticamente o certificado do Serviço de Aplicações

Para renovar manualmente o certificado, clique em Renovar Manualmente.To manually renew the certificate instead, click Manual Renew. Pode solicitar a renovação manual do seu certificado 60 dias antes do termo.You can request to manually renew your certificate 60 days before expiration.

Assim que a operação de renovação estiver concluída, clique em Sync. A operação de sincronização atualiza automaticamente as ligações do nome anfitrião para o certificado no Serviço de Aplicações sem causar qualquer tempo de inatividade nas suas apps.Once the renew operation is complete, click Sync. The sync operation automatically updates the hostname bindings for the certificate in App Service without causing any downtime to your apps.

Nota

Se não clicar em Sync, o Serviço de Aplicações sincroniza automaticamente o seu certificado dentro de 48 horas.If you don't click Sync, App Service automatically syncs your certificate within 48 hours.

Exportar o certificadoExport certificate

Como um Certificado de Serviço de Aplicações é um segredo key vault,você pode exportar uma cópia PFX do mesmo e usá-lo para outros serviços Azure ou fora de Azure.Because an App Service Certificate is a Key Vault secret, you can export a PFX copy of it and use it for other Azure services or outside of Azure.

Para exportar o Certificado de Serviço de Aplicações como um ficheiro PFX, execute os seguintes comandos na Cloud Shell.To export the App Service Certificate as a PFX file, run the following commands in the Cloud Shell. Também pode executá-lo localmente se instalar o Azure CLI.You can also run it locally if you installed Azure CLI. Substitua os espaços reservados pelos nomes utilizados quando criou o certificado de Serviço de Aplicações.Replace the placeholders with the names you used when you created the App Service certificate.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

O ficheiro appservicecertificate.pfx descarregado é um ficheiro PKCS12 cru que contém certificados públicos e privados.The downloaded appservicecertificate.pfx file is a raw PKCS12 file that contains both the public and private certificates. Em cada pedido, utilize uma corda vazia para a senha de importação e a frase de passe PEM.In each prompt, use an empty string for the import password and the PEM pass phrase.

Apagar certificadoDelete certificate

A eliminação de um certificado de Serviço de Aplicações é definitiva e irreversível.Deletion of an App Service certificate is final and irreversible. A supressão de um recurso de Certificado de Serviço de Aplicações resulta na revogação do certificado.Deletion of a App Service Certificate resource results in the certificate being revoked. Qualquer encadernação no Serviço de Aplicações com este certificado torna-se inválida.Any binding in App Service with this certificate becomes invalid. Para evitar a eliminação acidental, a Azure coloca um cadeado no certificado.To prevent accidental deletion, Azure puts a lock on the certificate. Para eliminar um certificado de Serviço de Aplicações, deve primeiro remover o bloqueio de eliminação no certificado.To delete an App Service certificate, you must first remove the delete lock on the certificate.

Selecione o certificado na página 'Certificados de Serviço de Aplicação' e, em seguida, selecione Fechaduras na navegação à esquerda.Select the certificate in the App Service Certificates page, then select Locks in the left navigation.

Encontre o bloqueio no seu certificado com o tipo de bloqueio Delete.Find the lock on your certificate with the lock type Delete. À sua direita, selecione Delete.To the right of it, select Delete.

Excluir bloqueio para certificado de Serviço de Aplicações

Agora pode apagar o certificado de Serviço de Aplicações.Now you can delete the App Service certificate. A partir da navegação à esquerda, selecione Overview > Delete.From the left navigation, select Overview > Delete. No diálogo de confirmação, digite o nome do certificado e selecione OK.In the confirmation dialog, type the certificate name and select OK.

Automatizar com scriptsAutomate with scripts

CLI do AzureAzure CLI

#!/bin/bash

fqdn=<replace-with-www.{yourdomain}>
pfxPath=<replace-with-path-to-your-.PFX-file>
pfxPassword=<replace-with-your=.PFX-password>
resourceGroup=myResourceGroup
webappname=mywebapp$RANDOM

# Create a resource group.
az group create --location westeurope --name $resourceGroup

# Create an App Service plan in Basic tier (minimum required by custom domains).
az appservice plan create --name $webappname --resource-group $resourceGroup --sku B1

# Create a web app.
az webapp create --name $webappname --resource-group $resourceGroup \
--plan $webappname

echo "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
read -p "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Map your prepared custom domain name to the web app.
az webapp config hostname add --webapp-name $webappname --resource-group $resourceGroup \
--hostname $fqdn

# Upload the SSL certificate and get the thumbprint.
thumbprint=$(az webapp config ssl upload --certificate-file $pfxPath \
--certificate-password $pfxPassword --name $webappname --resource-group $resourceGroup \
--query thumbprint --output tsv)

# Binds the uploaded SSL certificate to the web app.
az webapp config ssl bind --certificate-thumbprint $thumbprint --ssl-type SNI \
--name $webappname --resource-group $resourceGroup

echo "You can now browse to https://$fqdn"

PowerShellPowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Configure a CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled

Mais recursosMore resources