Criar e gerenciar um certificado de Serviço de Aplicativo para seu aplicativo Web

Este artigo explica como criar um certificado do Serviço de Aplicativo e realizar tarefas de gerenciamento, como renovação, sincronização e exclusão de certificados. Depois de ter um certificado de Serviço de Aplicativo, você poderá importa-lo para um aplicativo de Serviço de Aplicativo. Um certificado de Serviço de Aplicativo é um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificado e a flexibilidade das opções de renovação e exportação.

Se você comprar um certificado do Serviço de Aplicativo no Azure, o Azure vai gerenciar as seguintes tarefas:

  • Cuidar do processo de compra no GoDaddy.
  • Executar a verificação de domínio do certificado.
  • Manter o certificado no Azure Key Vault.
  • Gerenciar a renovação de certificado.
  • Sincronizar automaticamente o certificado com as cópias importadas nos aplicativos do Serviço de Aplicativo.

Observação

Após um certificado ser carregado em um aplicativo, esse certificado é armazenado em uma unidade de implantação que está vinculada à combinação de grupo de recursos, região e sistema operacional do plano do Serviço de Aplicativo, chamada internamente de webspace. Isso torna o certificado acessível a outros aplicativos na mesma combinação de grupo de recursos e região. Os certificados carregados ou importados para Serviço de Aplicativo são compartilhados com os Serviços de Aplicativos na mesma unidade de implantação.

Pré-requisitos

Observação

No momento, não há suporte para os certificados do Serviço de Aplicativo nas nuvens nacionais do Azure.

Comprar e configurar um certificado de Serviço de Aplicativo

Comprar o certificado

  1. Acesse a página Criar certificado do Serviço de Aplicativo para iniciar a compra.

    Observação

    Os Certificados do Serviço de Aplicativo adquiridos do Azure são emitidos pelo GoDaddy. Para alguns domínios, é necessário permitir explicitamente o GoDaddy como um emissor do certificado criando um registro de domínio CAA com o valor 0 issue godaddy.com.

    Captura de tela do painel

  2. Use a tabela a seguir para ajudar você a configurar o certificado. Quando terminar, selecione Revisar + Criar e, em seguida, selecione Criar.

    Configuração Descrição
    Assinatura A assinatura do Azure a ser associada ao certificado.
    Grupo de Recursos O grupo de recursos que conterá o certificado. Você pode criar um grupo de recursos ou selecionar o mesmo grupo de recursos que seu aplicativo de Serviço de Aplicativo.
    SKU Determina o tipo de certificado para criar, ou um certificado padrão ou uma certificado curinga.
    Nome do host de domínio raiz Especifique o domínio raiz. O certificado emitido garante a segurança para o domínio raiz e o subdomínio www. No certificado emitido, o campo Nome Comum contém o domínio raiz e o campo Nome Alternativo da Entidade especifica o domínio www. Para garantir a segurança apenas para um subdomínio, especifique o nome de domínio totalmente qualificado do subdomínio, por exemplo, mysubdomain.contoso.com.
    Nome de certificado Um nome amigável para o seu certificado do Serviço de Aplicativo.
    Habilitar a renovação automática Selecione se deseja renovar automaticamente o certificado antes da expiração. Cada renovação estende a expiração do certificado em um ano. O custo será cobrado na sua assinatura.
  3. Após a conclusão da implantação, selecione Ir para o recurso.

Armazenar o certificado no Azure Key Vault

O Cofre da Chave do Azure ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços em nuvem. Para certificados do Serviço de Aplicativo, recomendamos o uso do Key Vault. Depois de realizar a compra do certificado, você deve concluir mais algumas etapas antes de começar a usar o certificado.

  1. Na página Certificados de Serviço de Aplicativo, selecione o certificado. No menu de certificado, selecione Configuração de Certificado>Etapa 1: Armazenar.

    Captura de tela do painel

  2. Na página Status do Key Vault, clique em Selecionar do Key Vault.

  3. Se você criar um cofre, configure o cofre com base na tabela a seguir e use a mesma assinatura e grupo de recursos que seu aplicativo Serviço de Aplicativo.

    Configuração Descrição
    Grupo de recursos Recomendamos o mesmo grupo de recursos do seu certificado do Serviço de Aplicativo.
    Nome do cofre de chaves Um nome exclusivo que usa apenas caracteres alfanuméricos e traços.
    Região O mesmo local que o aplicativo de Serviço de Aplicativo.
    Tipo de preços Para obter mais informações, confira Detalhes de preços do Azure Key Vault.
    Dias de retenção dos cofres excluídos O número de dias após a exclusão em que os objetos permanecerão recuperáveis. (Confira o artigo Visão geral da exclusão temporária do Azure Key Vault). Defina um valor entre 7 e 90.
    Proteção contra limpeza Habilitar essa opção força todos os objetos excluídos a permanecerem no estado de exclusão temporária durante todo o período de retenção.
  4. Selecione Avançar e, em seguida, selecionePolítica de acesso do cofre. Atualmente, o certificado de Serviço de Aplicativo só dá suporte a políticas de acesso do Key Vault, mas não ao modelo RBAC.

  5. Selecione Examinar + Criar e, em seguida, selecione Criar.

  6. Após a criação do cofre de chaves, não clique em Ir para o recurso. Aguarde a página Selecionar cofre de chaves do Azure Key Vault ser recarregada.

  7. Escolha Selecionar.

  8. Depois de selecionar o cofre, feche a página Repositório do Key Vault. A opção Etapa 1: Armazenar deverá mostrar uma marca de seleção verde para indicar êxito. Mantenha a página aberta para a próxima etapa.

Confirmar a propriedade do domínio

  1. Na mesma página Configuração do Certificado da seção anterior, selecione Etapa 2: Verificar.

    Captura de tela do painel

  2. Selecione Verificação do Serviço de Aplicativo. Como você já fez o mapeamento do domínio no seu aplicativo da web antes nesta seção, o domínio já está verificado. Para concluir esta etapa, basta selecionar Verificar e, em seguida, selecionar Atualizar até que a mensagem Certificado é verificado pelo domínio apareça.

Há suporte para os seguintes métodos de verificação de domínio:

Método Descrição
Verificação do Serviço de Aplicativo A opção mais conveniente quando o domínio já está mapeado para um aplicativo Serviço de Aplicativo na mesma assinatura porque o aplicativo Serviço de Aplicativo já verificou a propriedade do domínio. Revise a última etapa em Confirmar a propriedade do domínio.
Verificação de domínio Confirme um Domínio do Serviço de Aplicativo que você adquiriu do Azure. O Azure adiciona automaticamente a verificação do registro TXT para você e conclui o processo.
Verificação por email Confirme o domínio enviando um email para o administrador de domínio. As instruções são fornecidas quando você seleciona a opção.
Verificação manual Confirme o domínio usando um registro TXT do DNS ou uma página HTML. (Este último se aplica somente a certificados Standard. Veja a observação a seguir). As etapas são fornecidas depois que você seleciona a opção. A opção de página HTML não funciona para aplicativos Web com Somente HTTPS habilitado. Para verificação de domínio por meio do registro TXT do DNS, tanto para domínio raiz (por exemplo contoso.com) quanto para o subdomínio (por exemplo, www.contoso.com ou test.api.contoso.com) e, independentemente do SKU do certificado, você precisa adicionar um registro TXT no nível de domínio raiz, usando @ como nome e o token de verificação de domínio como valor no seu registro DNS.

Importante

Com o certificado Standard, você recebe um certificado para o domínio de nível superior solicitado e o subdomínio www, por exemplo, contoso.com e www.contoso.com. No entanto, tanto a Verificação do Serviço de Aplicativo quanto a Verificação Manual usam a verificação de página HTML, que não dá suporte ao subdomínio www ao emitir, rechavear ou renovar um certificado. Para o certificado Standard, use a Verificação de Domínio e a Verificação por Email para incluir o subdomínio www junto com o domínio de nível superior solicitado no certificado.

Depois que o certificado for verificado pelo domínio, você estará pronto para importa-lo para um aplicativo de Serviço de Aplicativo.

Renovar um certificado do Serviço de Aplicativo

Por padrão, os certificados do Serviço de Aplicativo têm um período de validade de um ano. Antes da data de validade, você pode renovar automaticamente ou manualmente os certificados do Serviço de Aplicativo em incrementos de um ano. Efetivamente, o processo de renovação apresenta um novo certificado do Serviço de Aplicativo com a data de validade estendida para um ano a partir da data de validade do certificado existente.

Observação

A partir de 23 de setembro de 2021, se você não tiver verificado o domínio nos últimos 395 dias, os certificados do Serviço de Aplicativo exigirão a verificação de domínio durante o processo de renovação, renovação automática ou rechaveamento. O pedido de novo certificado permanece no modo “emissão pendente” durante o processo de renovação, renovação automática ou rechaveamento até que você conclua a verificação de domínio.

Diferente dos certificados gerenciados do Serviço de Aplicativo gratuito, os certificados comprados não passam por reverificação automática do domínio. A não verificação da propriedade do domínio resulta em falhas de renovações. Para obter mais informações sobre como verificar o certificado do seu Serviço de Aplicativo, revise Confirmar a propriedade do domínio.

O processo de renovação exige que a entidade de serviço do Serviço de Aplicativo tenha as permissões necessárias no seu cofre de chaves. Essas permissões são configuradas quando você importa um certificado do Serviço de Aplicativo por meio do portal do Azure. Não remova essas permissões do cofre de chaves.

  1. Para alterar a configuração de renovação automática do certificado do Serviço de Aplicativo a qualquer momento, na página Certificados do Serviço de Aplicativo, selecione o certificado.

  2. No menu à esquerda, selecione Configurações de Renovação Automática.

  3. Selecione Ativado ou Desativado e depois Salvar.

    Se você ativar a renovação automática, os certificados começarão a ser renovados automaticamente 32 dias antes da expiração.

    Captura de tela das configurações de renovação automática do certificado especificado.

  4. Para renovar manualmente o certificado, clique em Renovação Manual. Você pode solicitar a renovação manual do certificado até 60 dias antes do término, mas lembre-se que os certificados não podem emitidos com uma validade superior a 397 dias.

  5. Após a conclusão da operação de renovação, selecione Sincronizar.

    A operação de sincronização atualiza automaticamente as associações de nome de host do certificado no Serviço de Aplicativo sem causar tempo de inatividade em seus aplicativos.

    Observação

    Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente o certificado em até 24 horas.

Rechavear um certificado do Serviço de Aplicativo

Se você acha que a chave privada do seu certificado está comprometida, pode rechaveá-lo. Essa ação causará a emissão de um novo certificado pela autoridade de certificado.

  1. Na página Certificados de Serviço de Aplicativo, selecione o certificado. No menu à esquerda, selecione Rechavear e Sincronizar.

  2. Para iniciar o processo, selecione Rechavear. Esse processo pode demorar de um a 10 minutos para ser concluído.

    Captura de tela do rechaveamento de um certificado do Serviço de Aplicativo.

  3. Você também pode precisar reconfirmar a propriedade do domínio.

  4. Após a conclusão da operação de rechaveamento, selecione Sincronizar.

    A operação de sincronização atualiza automaticamente as associações de nome de host do certificado no Serviço de Aplicativo sem causar tempo de inatividade em seus aplicativos.

    Observação

    Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente o certificado em até 24 horas.

Exportar um certificado do Serviço de Aplicativo

Como um certificado do Serviço de Aplicativo é um segredo do Key Vault, você pode exportar uma cópia dele como um arquivo PFX e usá-la para outros serviços do Azure ou fora do Azure.

Importante

O certificado exportado é um artefato não gerenciado. O Serviço de Aplicativo não sincroniza esses artefatos quando o Certificado do Serviço de Aplicativo é renovado. Você precisa exportar e instalar o certificado renovado onde for necessário.

  1. Na página Certificados de Serviço de Aplicativo, selecione o certificado.

  2. No menu à esquerda, selecione Exportar Certificado.

  3. Selecione Abrir Segredo do Key Vault.

  4. Selecione a versão atual do certificado.

  5. Selecione Baixar como um certificado.

O arquivo PFX baixado é um arquivo PKCS12 bruto que contém certificados públicos e privados e cuja senha de importação é uma cadeia de caracteres vazia. Você pode instalar localmente o arquivo deixando o campo de senha vazio. Não é possível carregar o arquivo no Serviço de Aplicativo no estado em que ele se encontra porque o arquivo não está protegido por senha.

Usar o Assistente do Azure para o certificado do Serviço de Aplicativo

O certificado do Serviço de Aplicativo é integrado ao Assistente do Azure para fornecer recomendações de confiabilidade para quando o certificado exigir verificação de domínio. Você deve verificar a propriedade do domínio do certificado durante o processo de renovação, renovação automática ou rechaveamento se não verificou o domínio nos últimos 395 dias. Para garantir que você não perca nenhum certificado que exija verificação ou arrisque a expiração de qualquer certificado, você pode utilizar o Assistente do Azure para exibir e configurar alertas para o certificado do Serviço de Aplicativo.

Exibir recomendação do Assistente

Para exibir a recomendação do Assistente para o certificado do Serviço de Aplicativo:

  1. Navegue até a página do Assistente do Azure.

  2. No menu à esquerda, selecione Recomendações>Confiabilidade

  3. Selecione a opção de filtro Tipo igual a e pesquise Certificados do Serviço de Aplicativo na lista suspensa. Se o valor não existir no menu suspenso, isso significa que nenhuma recomendação foi gerada para os recursos de Certificado do Serviço de Aplicativo porque nenhum deles requer verificação de propriedade de domínio.

Criar Alertas do Assistente

Você [cria alertas do Assistente do Azure em novas recomendações] usando configurações diferentes. Para configurar alertas do Assistente especificamente para o certificado do Serviço de Aplicativo para que você possa receber notificações quando o certificado exigir validação de propriedade de domínio:

  1. Navegue até a página do Assistente do Azure.

  2. No menu à esquerda, selecione Monitoramento>Alertas(Versão Prévia)

  3. Clique em + Novo Alerta do Assistente na barra de ações na parte superior. Isso abrirá uma nova folha chamada "Criar Alertas do Assistente".

  4. Em Condição, selecione o seguinte:

    Configurado por Tipo de Recomendação
    Tipo de Recomendação Verificação de domínio necessária para emitir o Certificado do Serviço de Aplicativo
  5. Preencha o restante dos campos necessários e selecione o botão Criar alerta na parte inferior.

Excluir um certificado do Serviço de Aplicativo

Se você excluir um certificado Serviço de Aplicativo, a operação de exclusão será irreversível e final. O resultado é que o certificado é revogado e qualquer associação no Serviço de Aplicativo que usa esse certificado se torna inválida.

  1. Na página Certificados de Serviço de Aplicativo, selecione o certificado.

  2. Na menu esquerdo, selecione Visão Geral>Excluir.

  3. Quando a caixa de confirmação for aberta, insira o nome do certificado e, em seguida, selecione OK.

Perguntas frequentes

Meu certificado de Serviço de Aplicativo não tem nenhum valor no Key Vault

Seu certificado do Serviço de Aplicativo provavelmente ainda não foi verificado pelo domínio. Até que a propriedade do domínio seja confirmada, seu certificado de Serviço de Aplicativo não estará pronto para uso. Por ser um segredo do Key Vault, ele mantém uma marca Initialize, e seu valor e tipo de conteúdo permanecem vazios. Quando a propriedade do domínio é confirmada, o segredo do cofre de chaves mostra um valor e um tipo de conteúdo, e a marca é alterada para Ready.

Não consigo exportar meu certificado de Serviço de Aplicativo com o PowerShell

Seu certificado do Serviço de Aplicativo provavelmente ainda não foi verificado pelo domínio. Até que a propriedade do domínio seja confirmada, seu certificado de Serviço de Aplicativo não estará pronto para uso.

Quais alterações o processo de criação de certificado do Serviço de Aplicativo faz no meu cofre de chaves existente?

O processo de criação faz as seguintes alterações:

  • Adiciona duas políticas de acesso no cofre:
    • Microsoft.Azure.WebSites (ou Microsoft Azure App Service)
    • Provedor de Recursos CSM do revendedor de certificados da Microsoft (ou Microsoft.Azure.CertificateRegistration)
  • Cria um bloqueio de exclusão chamado AppServiceCertificateLock no cofre para evitar a exclusão acidental do cofre de chaves.