Configurar HTTPS em um domínio personalizado do Azure Front Door usando o portal do Azure

O Azure Front Door permite a entrega segura de TLS (Transport Layer Security) para seus aplicativos por padrão quando você usa seus próprios domínios personalizados. Para saber mais sobre domínios personalizados, incluindo como os domínios personalizados funcionam com HTTPS, consulte Domínios na Porta da Frente do Azure.

O Azure Front Door dá suporte a certificados gerenciados pelo Azure e certificados gerenciados pelo cliente. Neste artigo, você aprenderá a configurar os dois tipos de certificados para seus domínios personalizados do Azure Front Door.

Pré-requisitos

  • Antes de configurar HTTPS para seu domínio personalizado, você deve primeiro criar um perfil do Azure Front Door. Para obter mais informações, consulte Criar um perfil do Azure Front Door.
  • Se você ainda não tiver um domínio personalizado, primeiro deverá comprar um com um provedor de domínio. Por exemplo, veja Buy a custom domain name (Comprar um nome de domínio personalizado).
  • Se estiver a utilizar o Azure para alojar os seus domínios DNS, tem de delegar o sistema de nomes de domínio (DNS) do fornecedor de domínio a um DNS do Azure. Para obter mais informações, veja Delegar um domínio ao DNS do Azure. Caso contrário, se estiver a utilizar um fornecedor de domínios para processar o seu domínio DNS, tem de validar manualmente o domínio ao introduzir os registos TXT DNS solicitados.

Certificados gerenciados pela Porta da Frente do Azure para domínios pré-validados não Azure

Se você tiver seu próprio domínio e o domínio ainda não estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:

  1. Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.

    Captura de tela que mostra o painel de aterrissagem de configuração de domínio.

  2. No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.

    Captura de ecrã que mostra o painel Adicionar um domínio com o DNS gerido do Azure selecionado.

    Definição Value
    Tipo de domínio Selecione Domínio pré-validado não Azure.
    Gestão de DNS Selecione DNS gerenciado do Azure (Recomendado).
    Zona DNS Selecione a zona DNS do Azure que hospeda o domínio personalizado.
    Domínio personalizado Selecione um domínio existente ou adicione um novo domínio.
    HTTPS Selecione AFD gerenciado (Recomendado).
  3. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar um domínio personalizado.

  4. Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, o Azure Front Door gera um certificado e o implanta. Esse processo pode levar de vários minutos a uma hora para ser concluído.

Certificados gerenciados pelo Azure para domínios pré-validados do Azure

Se você tiver seu próprio domínio e o domínio estiver associado a outro serviço do Azure que pré-valida domínios para o Azure Front Door, siga estas etapas:

  1. Em Configurações, selecione Domínios para seu perfil da Porta da Frente do Azure. Em seguida, selecione + Adicionar para adicionar um novo domínio.

    Captura de tela que mostra o painel de aterrissagem Domínios.

  2. No painel Adicionar um domínio, insira ou selecione as seguintes informações. Em seguida, selecione Adicionar ao domínio personalizado.

    Captura de ecrã que mostra o painel Adicionar um domínio com um domínio pré-validado.

    Definição Value
    Tipo de domínio Selecione Domínio pré-validado do Azure.
    Domínios personalizados pré-validados Selecione um nome de domínio personalizado na lista suspensa de serviços do Azure.
    HTTPS Selecione Azure gerenciado.
  3. Valide e associe o domínio personalizado a um ponto de extremidade seguindo as etapas para habilitar um domínio personalizado.

  4. Depois que o domínio personalizado é associado com êxito a um ponto de extremidade, um certificado gerenciado pelo Azure Front Door é implantado no Azure Front Door. Esse processo pode levar de vários minutos a uma hora para ser concluído.

Utilize o seu próprio certificado

Também pode optar por utilizar o seu próprio certificado TLS. Seu certificado TLS deve atender a determinados requisitos. Para obter mais informações, consulte Requisitos de certificado.

Prepare o seu cofre de chaves e o certificado

Crie uma instância separada do Azure Key Vault na qual você armazena seus certificados TLS do Azure Front Door. Para obter mais informações, consulte Criar uma instância do Cofre da Chave. Se já tiver um certificado, pode carregá-lo para a sua nova instância do Cofre da Chave. Caso contrário, você pode criar um novo certificado por meio do Cofre da Chave de um dos parceiros da autoridade de certificação (CA).

Atualmente, há duas maneiras de autenticar o Azure Front Door para acessar seu Cofre de Chaves:

Aviso

*Atualmente, o Azure Front Door suporta apenas o Key Vault na mesma subscrição. Selecionar o Cofre da Chave em uma assinatura diferente resulta em uma falha.

  • O Azure Front Door não suporta certificados com algoritmos de criptografia de curva elíptica. Além disso, seu certificado deve ter uma cadeia de certificados completa com certificados folha e intermediários. A autoridade de certificação raiz também deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft.

Registar o Azure Front Door

Registre a entidade de serviço do Azure Front Door como um aplicativo em sua ID do Microsoft Entra usando o Microsoft Graph PowerShell ou a CLI do Azure.

Nota

  • Esta ação requer que você tenha permissões de Administrador de Acesso de Usuário no Microsoft Entra ID. O registro só precisa ser realizado uma vez por locatário do Microsoft Entra.
  • As IDs de aplicativo de 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e d4631ece-daab-479b-be77-ccb713491fc0 são predefinidas pelo Azure para Azure Front Door Standard e Premium em todos os locatários e assinaturas do Azure. O Azure Front Door (clássico) tem uma ID de aplicativo diferente.
  1. Se necessário, instale o Microsoft Graph PowerShell no PowerShell em sua máquina local.

  2. Use o PowerShell para executar o seguinte comando:

    Nuvem pública do Azure:

    New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
    

    Azure government cloud:

     New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
    

Conceder ao Azure Front Door Service acesso ao Key Vault

Conceda permissão ao Azure Front Door para acessar os certificados na nova conta do Key Vault que você criou especificamente para o Azure Front Door. Você só precisa dar GET permissão ao certificado e ao segredo para que o Azure Front Door recupere o certificado.

  1. Na sua conta do Cofre da Chave, selecione Políticas de acesso.

  2. Selecione Adicionar nova ou Criar para criar uma nova política de acesso.

  3. Em Permissões secretas, selecione Obter para permitir que o Azure Front Door recupere o certificado.

  4. Em Permissões de certificado, selecione Obter para permitir que o Azure Front Door recupere o certificado.

  5. Em Selecionar principal, procure 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e selecione Microsoft.AzureFrontDoor-Cdn. Selecione Seguinte.

  6. Em Aplicação, selecione Seguinte.

  7. Em Rever + criar, selecione Criar.

Nota

Se o cofre de chaves estiver protegido com restrições de acesso à rede, certifique-se de permitir que serviços confiáveis da Microsoft acessem seu cofre de chaves.

O Azure Front Door agora pode acessar esse cofre de chaves e os certificados que ele contém.

Selecione o certificado que será implementado pelo Azure Front Door

  1. Volte ao Azure Front Door Standard/Premium no portal.

  2. Em Configurações, vá para Segredos e selecione + Adicionar certificado.

    Captura de ecrã que mostra o painel de aterragem secreto da Porta da Frente do Azure.

  3. No painel Adicionar certificado, marque a caixa de seleção do certificado que você deseja adicionar ao Azure Front Door Standard/Premium.

  4. Quando seleciona um certificado, também tem de selecionar a versão. Se você selecionar Mais recente, o Azure Front Door será atualizado automaticamente sempre que o certificado for girado (renovado). Você também pode selecionar uma versão de certificado específica se preferir gerenciar a rotação de certificados por conta própria.

    Deixe a seleção de versão como Mais recente e selecione Adicionar.

    Captura de tela que mostra o painel Adicionar certificado.

  5. Depois que o certificado for provisionado com êxito, você poderá usá-lo ao adicionar um novo domínio personalizado.

    Captura de tela que mostra o certificado adicionado com êxito aos segredos.

  6. Em Configurações, vá para Domínios e selecione + Adicionar para adicionar um novo domínio personalizado. No painel Adicionar um domínio, para HTTPS, selecione Trazer seu próprio certificado (BYOC). Em Secret, selecione o certificado que deseja usar na lista suspensa.

    Nota

    O nome comum do certificado selecionado deve corresponder ao domínio personalizado que está sendo adicionado.

    Captura de tela que mostra o painel Adicionar um domínio personalizado com HTTPS.

  7. Siga as etapas na tela para validar o certificado. Em seguida, associe o domínio personalizado recém-criado a um ponto de extremidade, conforme descrito em Configurar um domínio personalizado.

Alternar entre tipos de certificado

Pode alterar um domínio entre a utilização de um certificado gerido pelo Azure Front Door e um certificado gerido pelo cliente. Para obter mais informações, consulte Domínios na porta frontal do Azure.

  1. Selecione o estado do certificado para abrir o painel Detalhes do certificado.

    Captura de tela que mostra o estado do certificado no painel de aterrissagem Domínios.

  2. No painel Detalhes do certificado, você pode alternar entre o Azure Front Door gerenciado e Bring Your Own Certificate (BYOC).

    Se você selecionar Bring Your Own Certificate (BYOC), siga as etapas anteriores para selecionar um certificado.

  3. Selecione Atualizar para alterar o certificado associado a um domínio.

    Captura de tela que mostra o painel Detalhes do certificado.

Próximos passos