Mapear um domínio personalizado existente para o Azure Spring Apps

  • Artigo

Nota

Azure Spring Apps é o novo nome para o serviço Azure Spring Cloud. Embora o serviço tenha um novo nome, você verá o nome antigo em alguns lugares por um tempo enquanto trabalhamos para atualizar ativos, como capturas de tela, vídeos e diagramas.

Este artigo aplica-se a: ✔️ Java ✔️ C#

Este artigo aplica-se a: ✔️ Standard ✔️ Enterprise

O DNS (Serviço de Nomes de Domínio) é uma técnica para armazenar nomes de nós de rede em toda uma rede. Este artigo mapeia um domínio, como www.contoso.com, usando um registro CNAME. Ele protege o domínio personalizado com um certificado e mostra como impor o Transport Layer Security (TLS), também conhecido como Secure Sockets Layer (SSL).

Os certificados criptografam o tráfego da Web. Esses certificados TLS/SSL podem ser armazenados no Cofre da Chave do Azure.

Pré-requisitos

  • Uma subscrição do Azure. Se você não tiver uma assinatura, crie uma conta gratuita antes de começar.
  • (Opcional) Azure CLI versão 2.45.0 ou superior. Use o seguinte comando para instalar a extensão Azure Spring Apps: az extension add --name spring
  • Um aplicativo implantado no Azure Spring Apps (consulte Guia de início rápido: iniciar um aplicativo existente no Azure Spring Apps usando o portal do Azure ou usar um aplicativo existente). Se o seu aplicativo for implantado usando o plano Básico, certifique-se de atualizar para o plano Padrão.
  • Um nome de domínio com acesso ao registo DNS de um fornecedor de domínio, como a GoDaddy.
  • Um certificado privado (ou seja, seu certificado autoassinado) de um provedor de terceiros. O certificado deve corresponder ao domínio.
  • Uma instância implantada do Azure Key Vault. Para obter mais informações, consulte Sobre o Azure Key Vault.

Os endereços IP para o gerenciamento do Azure Spring Apps ainda não fazem parte dos serviços da Microsoft Confiável do Azure. Portanto, para permitir que o Azure Spring Apps carregue certificados de um Cofre de Chaves protegido com conexões de ponto de extremidade privadas, você deve adicionar os seguintes endereços IP ao firewall do Cofre de Chaves do Azure:

  • 20.99.204.111
  • 20.201.9.97
  • 20.74.97.5
  • 52.235.25.35
  • 20.194.10.0
  • 20.59.204.46
  • 104.214.186.86
  • 52.153.221.222
  • 52.160.137.39
  • 20.39.142.56
  • 20.199.190.222
  • 20.79.64.6
  • 20.211.128.96
  • 52.149.104.144
  • 20.197.121.209
  • 40.119.175.77
  • 20.108.108.22
  • 102.133.143.38
  • 52.226.244.150
  • 20.84.171.169
  • 20.93.48.108
  • 20.75.4.46
  • 20.78.29.213
  • 20.106.86.34
  • 20.193.151.132

Certificado de importação

Prepare seu arquivo de certificado no PFX (opcional)

O Azure Key Vault dá suporte à importação de certificados privados nos formatos PEM e PFX. Se o arquivo PEM obtido do seu provedor de certificados não funcionar na seção Salvar certificado no Cofre da Chave , siga as etapas aqui para gerar um PFX para o Cofre de Chaves do Azure.

Intercalar certificados intermédios

Se a sua autoridade de certificação lhe der vários certificados na cadeia de certificados, terá de intercalá-los por ordem.

Para fazer essa tarefa, abra cada certificado recebido em um editor de texto.

Crie um ficheiro para o certificado intercalado, denominado mergedcertificate.crt. Num editor de texto, copie o conteúdo de cada certificado para este ficheiro. A ordem dos seus certificados deve seguir a ordem na cadeia de certificados, a começar no seu certificado e a terminar no certificado de raiz. O aspeto é igual ao do exemplo abaixo:

-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----

Exportar o certificado para PFX

Exporte seu certificado TLS/SSL mesclado com a chave privada com a qual sua solicitação de certificado foi gerada.

Se tiver gerado o pedido de certificado com OpenSSL, significa que criou um ficheiro de chave privada. Para exportar o certificado para PFX, execute o seguinte comando. Substitua os espaços reservados <arquivo de chave> privada e< arquivo de certificado> mesclado pelos caminhos para sua chave privada e seu arquivo de certificado mesclado.

openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>

Quando lhe for pedido, defina uma palavra-passe de exportação. Use essa senha ao carregar seu certificado TLS/SSL no Cofre de Chaves do Azure mais tarde.

Se tiver utilizado o IIS ou Certreq.exe para gerar o pedido de certificado, instale o certificado no seu computador local e exporte-o para PFX.

Salvar certificado no Cofre da Chave

O procedimento para importar um certificado requer que o arquivo codificado PEM ou PFX esteja no disco e você deve ter a chave privada.

Use as seguintes etapas para carregar seu certificado no cofre de chaves:

  1. Vá para a instância do cofre de chaves.

  2. No painel de navegação, selecione Certificados.

  3. No menu superior, selecione Gerar/importar.

  4. Na página Criar um certificado, selecione Importar para Método de Criação de Certificado e forneça um valor para Nome do Certificado.

  5. Em Carregar arquivo de certificado, navegue até o local do certificado e selecione-o.

  6. Em Palavra-passe, se estiver a carregar um ficheiro de certificado protegido por palavra-passe, forneça essa palavra-passe aqui. Caso contrário, deixe-o em branco. Depois que o arquivo de certificado é importado com êxito, o cofre de chaves remove essa senha.

  7. Selecione Criar.

    Captura de ecrã da caixa de diálogo Criar um certificado do portal do Azure.

Conceder acesso ao Azure Spring Apps ao seu cofre de chaves

Você precisa conceder ao Azure Spring Apps acesso ao seu cofre de chaves antes de importar o certificado.

Use as seguintes etapas para conceder acesso usando o portal do Azure:

  1. Vá para a instância do cofre de chaves.

  2. No painel de navegação, selecione Políticas de acesso.

  3. No menu superior, selecione Criar.

  4. Preencha as informações e selecione o botão Adicionar e, em seguida , crie uma política de acesso.

    Permissão secreta Permissão de certificado Selecionar principal
    Get, List Get, List Gerenciamento de domínio do Azure Spring Apps

    Nota

    Se não encontrar o "Azure Spring Apps Domain-Management", procure "Azure Spring Cloud Domain-Management".

    Captura de ecrã da página Adicionar Política de Acesso do portal do Azure com Obter e Listar selecionada a partir de Permissões secretas e de Permissões de Certificado.

    Captura de ecrã da página Criar Política de Acesso do portal do Azure com Gestão de Domínios do Azure Spring Apps selecionada na lista pendente Selecionar uma entidade principal.

Importar certificado para o Azure Spring Apps

Use as seguintes etapas para importar um certificado:

  1. Vá para sua instância do Azure Spring Apps.

  2. No painel de navegação, selecione Configurações de TLS/SSL.

  3. Selecione Importar certificado do cofre de chaves.

    Captura de ecrã do portal do Azure que mostra a página de definições TLS/SSL com o botão Importar certificado do cofre de chaves realçado.

  4. Na página Selecionar certificado do Azure, selecione Assinatura, Cofre da Chave e Certificado nas opções suspensas e escolha Selecionar.

    Captura de ecrã do portal do Azure que mostra a página Selecionar certificado do Azure.

  5. Na página aberta Definir nome do certificado, introduza o nome do certificado, selecione Ativar sincronização automática, se necessário, e, em seguida, selecione Aplicar. Para obter mais informações, consulte a seção Certificado de sincronização automática.

    Captura de ecrã da caixa de diálogo Definir nome do certificado do portal do Azure.

  6. Quando você tiver importado com êxito seu certificado, ele será exibido na lista de Certificados de Chave Privada.

    Captura de ecrã do portal do Azure que mostra o separador Certificados de Chave Privada.

Importante

Para proteger um domínio personalizado com este certificado, certifique-se de vincular o certificado ao domínio específico. Para obter mais informações, consulte a seção Adicionar vinculação SSL.

Certificado de sincronização automática

Um certificado armazenado no Cofre da Chave do Azure às vezes é renovado antes de expirar. Da mesma forma, as políticas de segurança da sua organização para gerenciamento de certificados podem exigir que sua equipe de DevOps substitua certificados por novos regularmente. Depois de habilitar a sincronização automática para um certificado, o Azure Spring Apps começa a sincronizar seu cofre de chaves para uma nova versão regularmente - geralmente a cada 24 horas. Se uma nova versão estiver disponível, o Azure Spring Apps a importará e a recarregará para vários componentes usando o certificado sem causar nenhum tempo de inatividade. A lista a seguir mostra os componentes afetados e os cenários relevantes:

Quando o Azure Spring Apps importa ou recarrega um certificado, um log de atividades é gerado. Para ver os logs de atividades, navegue até sua instância do Azure Spring Apps no portal do Azure e selecione Log de atividades no painel de navegação.

Nota

O recurso de sincronização automática de certificados funciona com certificados privados e certificados públicos importados do Cofre de Chaves do Azure. Esse recurso não está disponível para certificados de conteúdo, que o cliente carrega.

Você pode habilitar ou desabilitar o recurso de sincronização automática de certificados ao importar um certificado do cofre de chaves para o Azure Spring Apps. Para obter mais informações, consulte a seção Importar um certificado para o Azure Spring Apps .

Você também pode habilitar ou desabilitar esse recurso para um certificado que já foi importado para o Azure Spring Apps.

Use as seguintes etapas para habilitar ou desabilitar a sincronização automática para um certificado importado:

  1. Vá para a lista de Certificados de Chave Privada ou Certificados de Chave Pública.

  2. Selecione o botão de reticências (...) após a coluna Sincronização automática e, em seguida, selecione Ativar sincronização automática ou Desativar sincronização automática.

    Captura de ecrã do portal do Azure que mostra uma lista de certificados com o menu do botão de reticências aberto e a opção Ativar sincronização automática selecionada.

Adicionar domínio personalizado

Você pode usar um registro CNAME para mapear um nome DNS personalizado para o Azure Spring Apps.

Nota

O registro A não é suportado.

Criar o registo CNAME

Aceda ao seu fornecedor de DNS e adicione um registo CNAME para mapear o seu domínio para <service-name>.azuremicroservices.io. Aqui, <service-name> está o nome da sua instância do Azure Spring Apps. Suportamos domínio curinga e subdomínio.

Depois de adicionar o CNAME, a página de registos DNS é semelhante ao seguinte exemplo:

Captura de ecrã da página de registos DNS que mostra a instância do Azure Spring Apps.

Mapeie seu domínio personalizado para o aplicativo Azure Spring Apps

Se você não tiver um aplicativo no Azure Spring Apps, siga as instruções em Guia de início rápido: implantar seu primeiro aplicativo no Azure Spring Apps.

Use as seguintes etapas para vincular um domínio personalizado ao aplicativo:

  1. Aceda à página de candidatura.

  2. Selecione Domínio personalizado.

  3. Selecione Adicionar domínio personalizado.

    Captura de ecrã do portal do Azure que mostra a página de domínio Personalizado.

  4. Digite o nome de domínio totalmente qualificado para o qual você adicionou um registro CNAME, como www.contoso.com. Verifique se o tipo de registro Hostname está definido como CNAME - <service-name>.azuremicroservices.io.

  5. Selecione Validar para ativar o botão Adicionar.

  6. Selecione Adicionar.

    Captura de ecrã da caixa de diálogo Adicionar domínio personalizado do portal do Azure.

Um aplicativo pode ter vários domínios, mas um domínio só pode ser mapeado para um aplicativo. Quando você mapeou com êxito seu domínio personalizado para o aplicativo, ele é exibido na tabela de domínio personalizado.

Captura de ecrã do portal do Azure que mostra uma tabela de domínio personalizada.

Nota

Um rótulo Não seguro para seu domínio personalizado significa que ele ainda não está vinculado a um certificado SSL. Qualquer solicitação HTTPS de um navegador para seu domínio personalizado recebe um erro ou aviso.

Adicionar vinculação SSL

Use as seguintes etapas para atualizar um domínio personalizado do aplicativo:

  1. Na tabela de domínio personalizado, selecione Adicionar vinculação ssl, conforme mostrado na figura anterior.

  2. Selecione o seu Certificado ou importe-o.

  3. Selecione Guardar.

    Captura de ecrã do portal do Azure que mostra o painel de ligação TLS/SSL.

Depois de adicionar com êxito a ligação SSL, o estado do domínio é seguro: Íntegro.

Captura de tela de uma associação SSL que mostra o estado do domínio Íntegro.

Impor HTTPS

Por padrão, qualquer pessoa ainda pode acessar seu aplicativo usando HTTP, mas você pode redirecionar todas as solicitações HTTP para a porta HTTPS.

Na página do aplicativo, na navegação, selecione Domínio personalizado. Em seguida, defina Somente HTTPS como Yes.

Captura de ecrã de uma ligação SSL com a opção Apenas Https realçada.

Quando a operação estiver concluída, navegue até qualquer uma das URLs HTTPS que apontam para seu aplicativo. Observe que as URLs HTTP não funcionam.

Próximos passos