Certificados e o Ambiente do Serviço de Aplicativo

Observação

Este artigo aborda o Ambiente do Serviço de Aplicativo v3, que é usado com Planos do Serviço de Aplicativo Isolado v2

O Ambiente do Serviço de Aplicativo é uma implantação do Serviço de Aplicativo do Azure que é executada na sua rede virtual do Azure. Ele pode ser implantado com um ponto de extremidade do aplicativo acessível pela internet ou um ponto de extremidade do aplicativo que esteja em sua rede virtual. Se você implantar o Ambiente do Serviço de Aplicativo com um ponto de extremidade acessível pela internet, essa implantação será chamada de Ambiente do Serviço de Aplicativo externo. Se você implantar o Ambiente do Serviço de Aplicativo com um ponto de extremidade na rede virtual, essa implantação será chamada de Ambiente do Serviço de Aplicativo ILB. Você pode saber mais sobre o Ambiente do Serviço de Aplicativo ILB no documento Criar e usar o Ambiente do Serviço de Aplicativo ILB.

Certificados de aplicativo

Os aplicativos hospedados em um Ambiente do Serviço de Aplicativo são compatíveis com os seguintes recursos de certificado centrados em aplicativos, que também estão disponíveis no serviço de aplicativo multilocatário. Para requisitos e instruções para carregar e gerenciar esses certificados, consulte Adicionar um certificado TLS/SSL no Serviço de Aplicativo do Azure.

Depois de adicionar o certificado ao aplicativo Serviço de Aplicativo ou aplicativo de funções, você poderá proteger um nome de domínio personalizado com ele ou usá-lo em seu código do aplicativo.

Limitações

Os certificados gerenciados do Serviço de Aplicativo não são compatíveis com aplicativos hospedados em um Ambiente do Serviço de Aplicativo.

Configurações de protocolo TLS

Você pode definir a configuração de TLS em um nível de aplicativo.

Certificado de cliente privado

Um caso de uso comum é configurar o aplicativo como um cliente em um modelo cliente-servidor. Se você proteger seu servidor com um certificado de AC privado, será necessário carregar o certificado de cliente (arquivo .cer) em seu aplicativo. As instruções a seguir carregarão certificados no repositório confiável das funções de trabalho em que seu aplicativo está sendo executado. Você só precisa carregar o certificado uma vez para usá-lo com aplicativos que estão no mesmo plano do Serviço de Aplicativo.

Observação

Os certificados de cliente privado só têm suporte do código personalizado em aplicativos de código do Windows. Não há suporte para certificados de cliente privados fora do aplicativo. Isso limita o uso em cenários como efetuar pull da imagem de contêiner do aplicativo de um registro usando um certificado privado e validação de TLS por meio dos servidores front-end usando um certificado privado.

Siga estas etapas para carregar o certificado (arquivo .cer) em seu aplicativo no Ambiente do Serviço de Aplicativo. O arquivo .cer pode ser exportado do seu certificado. Para fins de teste, há um exemplo do PowerShell no final para gerar um certificado autoassinado temporário:

  1. Acesse o aplicativo que precisa do certificado no portal do Azure

  2. Acesse Certificados no aplicativo. Selecione Certificado de chave pública (.cer). Selecione Adicionar certificado. Forneça um nome. Procure e selecione seu arquivo .cer. Selecionar carregar.

  3. Copie a impressão digital.

  4. Acesse as Configurações do >aplicativo de configuração. Crie uma configuração de aplicativo WEBSITE_LOAD_ROOT_CERTIFICATES com a impressão digital como o valor. Se você tiver vários certificados, poderá colocá-los na mesma configuração separada por vírgulas e sem nenhum espaço em branco, como

    84EC242A4EC7957817B8E48913E50953552DAFA6,6A5C65DC9247F762FE17BF8D4906E04FE6B31819

O certificado estará disponível por todos os aplicativos no mesmo plano do serviço de aplicativo que o aplicativo, que definiu essa configuração, mas todos os aplicativos que dependem do certificado de AC privado devem ter a Configuração do Aplicativo configurada para evitar problemas de tempo.

Se você precisar que ele fique disponível para aplicativos de outro Plano do Serviço de Aplicativo, será necessário repetir a operação de configuração de aplicativo para os aplicativos nesse Plano do Serviço de Aplicativo. Para verificar se o certificado está configurado, acesse o console do Kudu e emita o comando no console de depuração do PowerShell:

dir Cert:\LocalMachine\Root

Para executar testes, você pode criar um certificado autoassinado e gerar um arquivo .cer com o PowerShell a seguir:

$certificate = New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -DnsName "*.internal.contoso.com","*.scm.internal.contoso.com"

$certThumbprint = "Cert:\LocalMachine\My\" + $certificate.Thumbprint
$fileName = "exportedcert.cer"
Export-Certificate -Cert $certThumbprint -FilePath $fileName -Type CERT

Certificado de servidor privado

Se seu aplicativo atuar como um servidor em um modelo cliente-servidor, por trás de um proxy reverso ou diretamente com um cliente privado e você estiver usando um certificado de AC privado, será necessário carregar o certificado do servidor (arquivo .pfx) com a cadeia de certificados completa para seu aplicativo e associar o certificado ao domínio personalizado. Como a infraestrutura é dedicada ao Ambiente do Serviço de Aplicativo, a cadeia de certificados completa é adicionada ao repositório de confiança dos servidores. Você só precisa carregar o certificado uma vez para usá-lo com aplicativos que estão no mesmo Plano do Serviço de Aplicativo.

Observação

Se você carregou seu certificado antes de 1 de outubro de 2023, você precisará recarregar e reassociar o certificado para que a cadeia de certificados completa seja adicionada aos servidores.

Siga o tutorial proteger o domínio personalizado com TLS/SSL para carregar/associar seu certificado com raiz de AC privada ao aplicativo em seu Ambiente do Serviço de Aplicativo.

Próximas etapas