Criar e gerenciar um certificado de Serviço de Aplicativo para seu aplicativo Web

Este artigo explica como criar um certificado do Serviço de Aplicativo e realizar tarefas de gerenciamento, como renovação, sincronização e exclusão de certificados. Depois de ter um certificado de Serviço de Aplicativo, você poderá importa-lo para um aplicativo de Serviço de Aplicativo. Um certificado de Serviço de Aplicativo é um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificado e a flexibilidade das opções de renovação e exportação.

Se você comprar um certificado do Serviço de Aplicativo no Azure, o Azure vai gerenciar as seguintes tarefas:

• Cuidar do processo de compra no GoDaddy.
• Executar a verificação de domínio do certificado.
• Manter o certificado no Azure Key Vault.
• Gerenciar a renovação de certificado.
• Sincronizar automaticamente o certificado com as cópias importadas nos aplicativos do Serviço de Aplicativo.

Pré-requisitos

• Crie um aplicativo do Serviço de Aplicativo. O plano do Serviço de Aplicativo deve estar na camada de serviço Básico, Standard, Premium ou Isolado. Confira Escalar um aplicativo para atualizar a camada.

Comprar e configurar um certificado de Serviço de Aplicativo

Comprar o certificado

1. Acesse a página Criar certificado do Serviço de Aplicativo para iniciar a compra.

   Observação

   Os Certificados do Serviço de Aplicativo adquiridos do Azure são emitidos pelo GoDaddy. Para alguns domínios, é necessário permitir explicitamente o GoDaddy como um emissor do certificado criando um registro de domínio CAA com o valor 0 issue godaddy.com.

   

2. Use a tabela a seguir para ajudar você a configurar o certificado. Quando terminar, selecione Revisar + Criar e, em seguida, selecione Criar.

   Configuração	Descrição
   Assinatura	A assinatura do Azure a ser associada ao certificado.
   Grupo de Recursos	O grupo de recursos que conterá o certificado. Você pode criar um grupo de recursos ou selecionar o mesmo grupo de recursos que seu aplicativo de Serviço de Aplicativo.
   SKU	Determina o tipo de certificado para criar, ou um certificado padrão ou uma certificado curinga.
   Nome do host de domínio raiz	Especifique o domínio raiz. O certificado emitido garante a segurança para o domínio raiz e o subdomínio www. No certificado emitido, o campo Nome Comum contém o domínio raiz e o campo Nome Alternativo da Entidade especifica o domínio www. Para garantir a segurança apenas para um subdomínio, especifique o nome de domínio totalmente qualificado do subdomínio, por exemplo, mysubdomain.contoso.com.
   Nome de certificado	Um nome amigável para o seu certificado do Serviço de Aplicativo.
   Habilitar a renovação automática	Selecione se deseja renovar automaticamente o certificado antes da expiração. Cada renovação estende a expiração do certificado em um ano. O custo será cobrado na sua assinatura.

3. Após a conclusão da implantação, selecione Ir para o recurso.

Armazenar o certificado no Azure Key Vault

O Cofre da Chave do Azure ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços em nuvem. Para certificados do Serviço de Aplicativo, recomendamos o uso do Key Vault. Depois de realizar a compra do certificado, você deve concluir mais algumas etapas antes de começar a usar o certificado.

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado. No menu de certificado, selecione Configuração de Certificado>Etapa 1: Armazenar.

   

2. Na página Status do Key Vault, clique em Selecionar do Key Vault.

3. Se você criar um cofre, configure o cofre com base na tabela a seguir e use a mesma assinatura e grupo de recursos que seu aplicativo Serviço de Aplicativo.

   Configuração	Descrição
   Grupo de recursos	Recomendamos o mesmo grupo de recursos do seu certificado do Serviço de Aplicativo.
   Nome do cofre de chaves	Um nome exclusivo que usa apenas caracteres alfanuméricos e traços.
   Região	O mesmo local que o aplicativo de Serviço de Aplicativo.
   Tipo de preços	Para obter mais informações, confira Detalhes de preços do Azure Key Vault.
   Dias de retenção dos cofres excluídos	O número de dias após a exclusão em que os objetos permanecerão recuperáveis. (Confira o artigo Visão geral da exclusão temporária do Azure Key Vault). Defina um valor entre 7 e 90.
   Proteção contra limpeza	Habilitar essa opção força todos os objetos excluídos a permanecerem no estado de exclusão temporária durante todo o período de retenção.

4. Selecione Avançar e, em seguida, selecionePolítica de acesso do cofre. Atualmente, o certificado de Serviço de Aplicativo só dá suporte a políticas de acesso do Key Vault, mas não ao modelo RBAC.

5. Selecione Examinar + Criar e, em seguida, selecione Criar.

6. Após a criação do cofre de chaves, não clique em Ir para o recurso. Aguarde a página Selecionar cofre de chaves do Azure Key Vault ser recarregada.

7. Escolha Selecionar.

8. Depois de selecionar o cofre, feche a página Repositório do Key Vault. A opção Etapa 1: Armazenar deverá mostrar uma marca de seleção verde para indicar êxito. Mantenha a página aberta para a próxima etapa.

Confirmar a propriedade do domínio

1. Na mesma página Configuração do Certificado da seção anterior, selecione Etapa 2: Verificar.

   

2. Selecione Verificação do Serviço de Aplicativo. Como você já fez o mapeamento do domínio no seu aplicativo da web antes nesta seção, o domínio já está verificado. Para concluir esta etapa, basta selecionar Verificar e, em seguida, selecionar Atualizar até que a mensagem Certificado é verificado pelo domínio apareça.

Há suporte para os seguintes métodos de verificação de domínio:

Depois que o certificado for verificado pelo domínio, você estará pronto para importa-lo para um aplicativo de Serviço de Aplicativo.

Renovar um certificado do Serviço de Aplicativo

Por padrão, os certificados do Serviço de Aplicativo têm um período de validade de um ano. Antes da data de validade, você pode renovar automaticamente ou manualmente os certificados do Serviço de Aplicativo em incrementos de um ano. Efetivamente, o processo de renovação apresenta um novo certificado do Serviço de Aplicativo com a data de validade estendida para um ano a partir da data de validade do certificado existente.

1. Para alterar a configuração de renovação automática do certificado do Serviço de Aplicativo a qualquer momento, na página Certificados do Serviço de Aplicativo, selecione o certificado.

2. No menu à esquerda, selecione Configurações de Renovação Automática.

3. Selecione Ativado ou Desativado e depois Salvar.

   Se você ativar a renovação automática, os certificados começarão a ser renovados automaticamente 32 dias antes da expiração.

   

4. Para renovar manualmente o certificado, clique em Renovação Manual. Você pode solicitar a renovação manual do certificado até 60 dias antes do término, mas lembre-se que os certificados não podem emitidos com uma validade superior a 397 dias.

5. Após a conclusão da operação de renovação, selecione Sincronizar.

   A operação de sincronização atualiza automaticamente as associações de nome de host do certificado no Serviço de Aplicativo sem causar tempo de inatividade em seus aplicativos.

   Observação

   Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente o certificado em até 24 horas.

Rechavear um certificado do Serviço de Aplicativo

Se você acha que a chave privada do seu certificado está comprometida, pode rechaveá-lo. Essa ação causará a emissão de um novo certificado pela autoridade de certificado.

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado. No menu à esquerda, selecione Rechavear e Sincronizar.

2. Para iniciar o processo, selecione Rechavear. Esse processo pode demorar de um a 10 minutos para ser concluído.

   

3. Você também pode precisar reconfirmar a propriedade do domínio.

4. Após a conclusão da operação de rechaveamento, selecione Sincronizar.

   A operação de sincronização atualiza automaticamente as associações de nome de host do certificado no Serviço de Aplicativo sem causar tempo de inatividade em seus aplicativos.

   Observação

   Se você não selecionar Sincronizar, o Serviço de Aplicativo sincronizará automaticamente o certificado em até 24 horas.

Exportar um certificado do Serviço de Aplicativo

Como um certificado do Serviço de Aplicativo é um segredo do Key Vault, você pode exportar uma cópia dele como um arquivo PFX e usá-la para outros serviços do Azure ou fora do Azure.

secretname=$(az resource show \
    --resource-group <group-name> \
    --resource-type "Microsoft.CertificateRegistration/certificateOrders" \
    --name <app-service-cert-name> \
    --query "properties.certificates.<app-service-cert-name>.keyVaultSecretName" \
    --output tsv)

az keyvault secret download \
    --file appservicecertificate.pfx \
    --vault-name <key-vault-name> \
    --name $secretname \
    --encoding base64

$ascName = <app-service-cert-name>
$ascResource = Get-AzResource -ResourceType "Microsoft.CertificateRegistration/certificateOrders" -Name $ascName -ResourceGroupName <group-name> -ExpandProperties
$keyVaultSecretName = $ascResource.Properties.certificates[0].$ascName.KeyVaultSecretName
$CertBase64 = Get-AzKeyVaultSecret -VaultName <key-vault-name> -Name $keyVaultSecretName -AsPlainText
$CertBytes = [Convert]::FromBase64String($CertBase64)
Set-Content -Path appservicecertificate.pfx -Value $CertBytes -AsByteStream

O arquivo PFX baixado é um arquivo PKCS12 bruto que contém certificados públicos e privados e cuja senha de importação é uma cadeia de caracteres vazia. Você pode instalar localmente o arquivo deixando o campo de senha vazio. Não é possível carregar o arquivo no Serviço de Aplicativo no estado em que ele se encontra porque o arquivo não está protegido por senha.

Excluir um certificado do Serviço de Aplicativo

Se você excluir um certificado Serviço de Aplicativo, a operação de exclusão será irreversível e final. O resultado é que o certificado é revogado e qualquer associação no Serviço de Aplicativo que usa esse certificado se torna inválida.

1. Na página Certificados de Serviço de Aplicativo, selecione o certificado.

2. Na menu esquerdo, selecione Visão Geral>Excluir.

3. Quando a caixa de confirmação for aberta, insira o nome do certificado e, em seguida, selecione OK.

Perguntas frequentes

Meu certificado de Serviço de Aplicativo não tem nenhum valor no Key Vault

Seu certificado do Serviço de Aplicativo provavelmente ainda não foi verificado pelo domínio. Até que a propriedade do domínio seja confirmada, seu certificado de Serviço de Aplicativo não estará pronto para uso. Por ser um segredo do Key Vault, ele mantém uma marca Initialize, e seu valor e tipo de conteúdo permanecem vazios. Quando a propriedade do domínio é confirmada, o segredo do cofre de chaves mostra um valor e um tipo de conteúdo, e a marca é alterada para Ready.

Não consigo exportar meu certificado de Serviço de Aplicativo com o PowerShell

Seu certificado do Serviço de Aplicativo provavelmente ainda não foi verificado pelo domínio. Até que a propriedade do domínio seja confirmada, seu certificado de Serviço de Aplicativo não estará pronto para uso.

Quais alterações o processo de criação de certificado do Serviço de Aplicativo faz no meu cofre de chaves existente?

O processo de criação faz as seguintes alterações:

• Adiciona duas políticas de acesso no cofre:
  • Microsoft.Azure.WebSites (ou Microsoft Azure App Service)
  • Provedor de Recursos CSM do revendedor de certificados da Microsoft (ou Microsoft.Azure.CertificateRegistration)
• Cria um bloqueio de exclusão chamado AppServiceCertificateLock no cofre para evitar a exclusão acidental do cofre de chaves.

Conteúdo relacionado

• Proteger um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo do Azure
• Impor HTTPS
• Impor o TLS 1.1/1.2
• Usar um certificado TLS/SSL no seu código no Serviço de Aplicativo do Azure
• Perguntas frequentes sobre como criar ou excluir recursos no Serviço de Aplicativo do Azure