Descrição geral dos certificados para os Serviços Cloud do Azure

Importante

Os Serviços na Nuvem (clássicos) foram preteridos para todos os clientes a partir de 1º de setembro de 2024. Todas as implantações em execução existentes serão interrompidas e encerradas pela Microsoft e os dados serão perdidos permanentemente a partir de outubro de 2024. Novas implantações devem usar o novo modelo de implantação baseado no Azure Resource Manager Serviços de Nuvem do Azure (suporte estendido).

Os certificados são usados no Azure para serviços de nuvem (certificados de serviço) e para autenticação com a API de gerenciamento (certificados de gerenciamento). Este artigo fornece uma visão geral de ambos os tipos de certificado, como criá-los e implantá-los no Azure.

Os certificados usados no Azure são certificados x.509 v3. Eles podem assinar sozinhos ou outro certificado confiável pode assiná-los. Um certificado é autoassinado quando o criador o assina. Os certificados autoassinados não são confiáveis por padrão, mas a maioria dos navegadores pode ignorar esse problema. Você só deve usar certificados autoassinados ao desenvolver e testar seus serviços de nuvem.

Os certificados usados pelo Azure podem conter uma chave pública. Os certificados têm uma impressão digital que fornece um meio de identificá-los de forma inequívoca. Essa impressão digital é usada no arquivo de configuração do Azure para identificar qual certificado um serviço de nuvem deve usar.

Nota

Os Serviços de Nuvem do Azure não aceitam o certificado criptografado AES256-SHA256.

O que são os certificados de serviço?

Os certificados de serviço são associados aos serviços cloud e permitem uma comunicação segura com os mesmos. Por exemplo, se você implantou uma função Web, convém fornecer um certificado que possa autenticar um ponto de extremidade HTTPS exposto. Os certificados de serviço, definidos em sua definição de serviço, são implantados automaticamente na máquina virtual que está executando uma instância de sua função.

Pode carregar certificados de serviço no Azure através do portal do Azure ou do modelo de implementação clássico. Os certificados de serviço são associados a um serviço cloud específico. O arquivo de definição de serviço os atribui a uma implantação.

Os certificados de serviço podem ser gerenciados separadamente de seus serviços, e diferentes indivíduos podem gerenciá-los. Por exemplo, um desenvolvedor pode carregar um pacote de serviço que se refere a um certificado que um gerente de TI carregou anteriormente no Azure. Um gestor de TI pode gerir e renovar esse certificado (ao alterar a configuração do serviço) sem precisar de carregar um novo pacote de serviço. A atualização sem um novo pacote de serviço é possível porque o nome lógico, o nome do repositório e o local do certificado estão no arquivo de definição de serviço e enquanto a impressão digital do certificado é especificada no arquivo de configuração do serviço. Para atualizar o certificado, basta carregar um novo certificado e alterar o valor do thumbprint no ficheiro de configuração do serviço.

Nota

O artigo Perguntas frequentes sobre serviços de nuvem - Configuração e gerenciamento tem algumas informações úteis sobre certificados.

O que são os certificados de gestão?

Os certificados de gestão permitem-lhe efetuar autenticações com o modelo de implementação clássico. Muitos programas e ferramentas (por exemplo, o Visual Studio ou o SDK do Azure) utilizam estes certificados para automatizar a configuração e a implementação de vários serviços do Azure. Esses certificados não estão relacionados a serviços de nuvem.

Aviso

Cuidado! Esses tipos de certificados permitem que qualquer pessoa que se autentique com eles gerencie a assinatura à qual estão associados.

Limitações

Há um limite de 100 certificados de gerenciamento por assinatura. Há também um limite de 100 certificados de gerenciamento para todas as assinaturas sob um ID de usuário de administrador de serviço específico. Se o ID de usuário do administrador da conta já tiver sido usado para adicionar 100 certificados de gerenciamento e houver necessidade de mais certificados, você poderá adicionar um coadministrador para adicionar mais certificados.

Além disso, os certificados de gestão não podem ser utilizados com subscrições do Fornecedor de Soluções na Nuvem (CSP), uma vez que as subscrições CSP apenas suportam o modelo de implementação do Azure Resource Manager e os certificados de gestão utilizam o modelo de implementação clássico. Consulte o Azure Resource Manager vs modelo de implantação clássico e Noções básicas sobre autenticação com o SDK do Azure para .NET para obter mais informações sobre suas opções para assinaturas CSP.

Criar um novo certificado autoassinado

Você pode usar qualquer ferramenta disponível para criar um certificado autoassinado, desde que eles sigam estas configurações:

  • Um certificado X.509.

  • Contém uma chave pública.

  • Criado para troca de chaves (arquivo .pfx).

  • O nome do assunto deve corresponder ao domínio usado para acessar o serviço de nuvem.

    Não é possível adquirir um certificado TLS/SSL para o domínio cloudapp.net (ou para qualquer domínio relacionado ao Azure); O nome do assunto do certificado deve corresponder ao nome de domínio personalizado usado para acessar seu aplicativo. Por exemplo, contoso.net, não contoso.cloudapp.net.

  • Mínimo de criptografia de 2048 bits.

  • Somente certificado de serviço: o certificado do lado do cliente deve residir no armazenamento de certificados pessoal .

Há duas maneiras fáceis de criar um certificado no Windows, com o makecert.exe utilitário ou no IIS.

Makecert.exe

Este utilitário foi desativado e não está mais documentado aqui. Para obter mais informações, consulte este artigo do Microsoft Developer Network (MSDN).

PowerShell

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Nota

Se você quiser usar o certificado com um endereço IP em vez de um domínio, use o endereço IP no parâmetro -DnsName.

Se você quiser usar esse certificado com o portal de gerenciamento, exporte-o para um arquivo .cer :

Export-Certificate -Type CERT -Cert $cert -FilePath .\my-cert-file.cer

Serviços de Informação Internet (IIS)

Há muitas páginas na Internet que abordam como criar certificados com o IIS, como Quando usar um certificado autoassinado do IIS.

Linux

Etapas rápidas: Criar e usar um par de chaves público-privado SSH para VMs Linux no Azure descreve como criar certificados com SSH.

Próximos passos

Carregue seu certificado de serviço no portal do Azure.

Carregue um certificado de API de gerenciamento no portal do Azure.