Fornecer segurança para um nome DNS personalizado com uma associação TLS/SSL no Serviço de Aplicativo

Este artigo mostra como fornecer segurança ao domínio personalizado em seu Aplicativo do Serviço de Aplicativo ou aplicativo de funções criando uma associação de certificado. Quando tiver terminado, você poderá acessar seu aplicativo do Serviço de Aplicativo no ponto de extremidade https:// para seu nome DNS personalizado (por exemplo, https://www.contoso.com).

Aplicativo Web com certificado TLS/SSL personalizado.

Pré-requisitos

Adicionar a associação

No portal do Azure:

  1. No menu à esquerda, selecione Serviços de Aplicativos><app-name>.

  2. No layout de navegação à esquerda do seu aplicativo, selecione Domínios personalizados.

  3. Ao lado do domínio personalizado, selecione Adicionar associação.

    Uma captura de tela mostrando como iniciar a caixa de diálogo Adicionar associação TLS/SSL.

  4. Se o aplicativo já tiver um certificado para o domínio personalizado selecionado, você poderá selecioná-lo em Certificado. Caso contrário, você deve adicionar um certificado usando uma das seleções em Origem.

    • Criar um Certificado Gerenciado de Serviço de Aplicativo: permita que o Serviço de Aplicativo crie um certificado gerenciado para o domínio selecionado. Essa é a opção mais fácil. Para obter mais informações, confira Criar um certificado gerenciado gratuito .
    • Importar Certificado do Serviço de Aplicativo: em Certificado do Serviço de Aplicativo, selecione um Certificado do Serviço de Aplicativo que você comprou para o domínio selecionado.
    • Carregar o certificado (.pfx): siga o fluxo de trabalho em Carregar um certificado privado para carregar um certificado PFX do seu computador local e especificar a senha do certificado.
    • Importar do Cofre de Chaves: selecione Selecionar certificado do cofre de chaves e selecione o certificado na caixa de diálogo.
  5. No tipo TLS/SSL, selecione SSL SNI ou SSL baseado em IP.

    • SSL SNI: é possível adicionar várias associações SSL SNI. Esta opção permite que vários certificados TLS/SSL ajudem a proteger vários domínios no mesmo endereço IP. A maioria dos navegadores modernos (incluindo Microsoft Edge, Chrome, Firefox e Opera) dá suporte ao SNI. (Para obter mais informações, consulte Indicação de nome do servidor.)
    • SSL baseado em IP: é possível adicionar apenas uma associação do IP SSL. Esta opção permite apenas um certificado TLS/SSL para ajudar a proteger um endereço IP público dedicado. Depois de configurar a associação, siga as etapas em Remapear registros para o SSL baseado em IP.
      Há suporte para o SSL baseado em IP apenas na camada Standard ou superior.
  6. Ao adicionar um novo certificado, valide o novo certificado selecionando Validar.

  7. Selecione Adicionar.

    Quando a operação for concluída, o estado TLS/SSL do domínio personalizado será alterado para Protegido.

    Uma captura de tela mostrando o domínio personalizado protegido por uma associação de certificado.

Observação

Um estado Protegido nos Domínios personalizados significa que um certificado está fornecendo segurança, mas o Serviço de Aplicativo não verifica se o certificado é autoassinado ou expirou, por exemplo, o que também pode fazer com que os navegadores mostrem um erro ou um aviso.

Remapear os registros para o SSL baseado em IP

Esta etapa é necessária apenas para o SSL baseado em IP. Para uma associação SSL SNI, pule para Testar HTTPS.

Potencialmente, você precisa fazer duas alterações:

  • Por padrão, o aplicativo usa um endereço IP público compartilhado. Quando você associa um certificado com IP SSL, o Serviço de Aplicativo cria um novo endereço IP dedicado para o aplicativo. Se você mapeou um registro A para o aplicativo, atualize o registro do domínio com esse novo endereço IP dedicado.

    A página Domínio personalizado de seu aplicativo é atualizada com o novo endereço IP dedicado. Copie esse endereço IP e remapeie o registro A para esse novo endereço IP.

  • Se você tiver uma associação SSL SNI para <app-name>.azurewebsites.net, remapeie qualquer mapeamento de CNAME para apontar para sni.<app-name>.azurewebsites.net. (Adicione o prefixo sni.)

Testar HTTPS

Procure por https://<your.custom.domain> em vários navegadores para verificar se seu aplicativo aparece.

Captura de tela mostrando um exemplo de navegação até seu domínio personalizado. A URL contoso.com está em destaque.

O código do aplicativo pode inspecionar o protocolo por meio do cabeçalho x-appservice-proto. O cabeçalho apresenta o valor http ou https.

Observação

Caso seu aplicativo retorne erros de validação de certificado, você provavelmente está usando um certificado autoassinado.

Se esse não for o caso, você pode ter deixado de fora certificados intermediários quando exportou o certificado para o arquivo PFX.

Perguntas frequentes

Como fazer para garantir que o endereço IP do aplicativo não seja alterado quando eu fizer alterações na associação do certificado?

Seu endereço IP de entrada pode ser alterado ao excluir uma associação, mesmo se essa associação for IP SSL. Isso é especialmente importante quando você renova um certificado que já está em uma associação IP SSL. Para evitar uma alteração no endereço IP do seu aplicativo, siga estas etapas pela ordem:

  1. Carregar o novo certificado.
  2. Associe o novo certificado para o domínio personalizado que você deseja sem excluir o antigo. Essa ação substitui a associação em vez de remover a antiga.
  3. Exclua o certificado antigo.

Posso desabilitar o redirecionamento forçado de HTTP para HTTPS?

Por padrão, o Serviço de Aplicativo força um redirecionamento de solicitações HTTP para HTTPS. Para desabilitar esse comportamento, confira Definir configurações gerais .

Como posso alterar as versões mínimas do TLS para o aplicativo?

Seu aplicativo permite o TLS 1.2 por padrão, que é o nível TLS recomendado segundo os padrões do setor, como PCI DSS. Para impor diferentes versões do TLS, confira Definir configurações gerais .

Como fazer para lidar com a terminação TLS no Serviço de Aplicativo?

No Serviço de Aplicativo, a Terminação TLS ocorre nos balanceadores de carga de rede de modo que todas as solicitações HTTPS cheguem ao seu aplicativo como solicitações HTTP não criptografadas. Se a lógica do seu aplicativo precisar verificar se as solicitações do usuário estão criptografadas, inspecione o cabeçalho X-Forwarded-Proto.

Os guias de configuração específicos da linguagem, como o guia de configuração do Linux Node.js, mostram como detectar uma sessão HTTPS no código do aplicativo.

Automatizar com scripts

CLI do Azure

Associar um certificado TLS/SSL personalizado a um aplicativo Web

PowerShell

$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"

# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location

# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free

# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname

Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."

# Before continuing, go to your DNS configuration UI for your custom domain and follow the 
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the 
# hostname "www" and point it your web app's default domain name.

# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic

# Add a custom domain name to the web app. 
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")

# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled