Compartilhar via


Tutorial: Configurar HTTPS em um domínio personalizado da CDN do Azure

Importante

A CDN do Azure Standard (clássica) será desativada em 30 de setembro de 2027. Para evitar qualquer interrupção de serviço, é importante migrar seus perfis da CDN do Azure Standard (clássica) para a camada Azure Front Door Standard ou Premium até 30 de setembro de 2027. Para obter mais informações, confira CDN do Azure Standard (clássica).

A CDN do Azure do Edgio será desativada em 15 de janeiro de 2025. Você deve migrar sua carga de trabalho para o Azure Front Door antes desta data para evitar interrupção do serviço.. Para obter mais informações, veja Perguntas frequentes sobre a aposentadoria do CDN do Azure da Edgeo.

Este tutorial mostra como habilitar o protocolo HTTPS para um domínio personalizado que está associado um ponto de extremidade da CDN do Azure.

O protocolo HTTPS em seu domínio personalizado (por exemplo, https://www.contoso.com) garante que seus dados confidenciais sejam entregues com segurança via TLS/SSL. Quando o navegador da Web estiver conectado via HTTPS, o navegador validará o certificado do site. O navegador verifica se ele foi emitido por uma autoridade de certificação legítima. Esse processo oferece segurança e protege seus aplicativos Web contra ataques.

A CDN do Azure dá suporte a HTTPS em um nome do host do ponto de extremidade da CDN por padrão. Por exemplo, se você criar um ponto de extremidade CDN (como https://contoso.azureedge.net), o HTTPS será habilitado automaticamente.

Alguns dos principais atributos do recurso HTTPS são:

  • Sem custo adicional: Não há nenhum custo para a aquisição ou renovação do certificado e nenhum custo para tráfego HTTPS. Você paga apenas pelo GB de saída da CDN.

  • Habilitação simples: o provisionamento com um clique está disponível no portal do Azure. Você também pode usar a API REST ou outras ferramentas de desenvolvedor para habilitar o recurso.

  • Gerenciamento de certificado completo disponível:

    • todos os certificados de aquisição e gerenciamento são manipulados para você.
    • Certificados são automaticamente provisionados e renovados antes da expiração.

Neste tutorial, você aprenderá como:

  • Habilite o protocolo HTTPS em seu domínio personalizado.
  • Usar um certificado gerenciado por CDN
  • Usar o seu próprio certificado
  • Validar o domínio
  • Desabilite o protocolo HTTPS em seu domínio personalizado.

Pré-requisitos

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Para concluir as etapas deste tutorial, crie um perfil CDN e no mínimo um ponto de extremidade CDN. Para saber mais, confira Início Rápido: Criar um ponto de extremidade e um perfil de CDN do Azure.

Associe um domínio personalizado da CDN do Azure no ponto de extremidade da CDN. Para saber mais, confira Tutorial: Adicionar um domínio personalizado ao ponto de extremidade da CDN do Azure.

Importante

Os certificados gerenciados pela CDN não estão disponíveis para os domínios raiz ou apex. Se seu domínio personalizado da CDN do Azure for um domínio raiz ou apex, você deverá usar o recurso Traga seu próprio certificado.


Certificados TLS/SSL

Para habilitar o HTTPS em um domínio personalizado da CDN do Azure, use um certificado TLS/SSL. Você pode optar por usar um certificado que é gerenciado pela CDN do Azure ou usar um certificado próprio.

A CDN do Azure lida com tarefas de gerenciamento de certificado, como aquisição e renovação. Depois que você habilitar o recurso, o processo será iniciado imediatamente.

Se o domínio personalizado já estiver mapeado para o ponto de extremidade de CDN, nenhuma ação adicional será necessária. A CDN do Azure processa as etapas e conclui a solicitação automaticamente.

Se o domínio personalizado for mapeado em outro lugar, use o email para validar sua propriedade de domínio.

Para habilitar HTTPS em um domínio personalizado, siga estas etapas:

  1. Vá para o portal do Azure para localizar um certificado gerenciado pela CDN do Azure. Pesquise e selecione perfis de CDN.

  2. Escolha o seu perfil:

    • CDN Standard do Azure da Microsoft
    • CDN Standard do Azure do Edgio
    • CDN Premium do Azure do Edgio
  3. Na lista de pontos de extremidade da CDN, selecione o ponto de extremidade que contém seu domínio personalizado.

    Captura de tela da lista de pontos de extremidade. A página Ponto de extremidade é exibida.

  4. Na lista de domínios personalizados, selecione o domínio personalizado para o qual você deseja habilitar o HTTPS.

    Captura de tela da página de domínio personalizada com a opção de usar meu próprio certificado.

    A página de Domínio personalizado é exibida.

  5. Em Tipo de gerenciamento de certificado, selecione CDN gerenciado.

  6. Selecione Ativado para habilitar HTTPS.

    Captura de tela do status HTTPS de domínio personalizado.

  7. Prossiga para Validar o domínio.

Validar o domínio

Se você já tiver um domínio personalizado em uso mapeado para o ponto de extremidade personalizado com um registro CNAME ou se estiver usando um certificado próprio, prossiga para Domínio personalizado mapeado para o ponto de extremidade da Rede de Distribuição de Conteúdo.

Caso contrário, se a entrada de registro CNAME para o ponto de extremidade não existe ou contém o subdomínio cdnverify, prossiga para Domínio personalizado não mapeado para o ponto de extremidade da CDN.

O domínio personalizado é mapeado para o ponto de extremidade da CDN por meio de um registro CNAME

Quando tiver adicionado um domínio personalizado ao seu ponto de extremidade, você criou um registro CNAME no registrador de domínios DNS mapeado para o nome de host do ponto de extremidade da CDN.

Se esse registro CNAME ainda existir e não contiver o subdomínio cdnverify, a AC (autoridade de certificação) DigiCert o usará para validar automaticamente a propriedade do seu domínio personalizado.

Se você estiver usando um certificado próprio, a validação de domínio não será necessária.

O registro CNAME deve estar no seguinte formato:

  • Nome é o nome de domínio personalizado.
  • O valor é o nome do host do ponto de extremidade da rede de distribuição de conteúdo.
Nome Tipo Valor
<www.contoso.com> CNAME contoso.azureedge.net

Para obter mais informações sobre os registros CNAME, consulte criar o registro de DNS CNAME.

Se o registro CNAME estiver no formato correto, o DigiCert verificará automaticamente seu nome de domínio personalizado e criará um certificado para o seu domínio. O DigitCert não envia um email de verificação, e você não precisa aprovar sua solicitação. O certificado é válido por um ano e será renovado automaticamente antes de expirar. Prossiga para Aguardar a propagação.

A validação automática geralmente demora algumas horas. Se o domínio não for validado em 24 horas, abra um tíquete de suporte.

Observação

Caso você tenha um registro de CAA (Autorização de Autoridade de Certificação) com o provedor do DNS, ele precisará incluir as ACs apropriadas para autorização. O DigiCert é a AC dos perfis da Microsoft e do Edgio. Para obter informações sobre como gerenciar registros CAA, consulte Gerenciar registros CAA. Para uma ferramenta de registro CAA, consulte Ajuda do registro CAA.

O domínio personalizado não é mapeado para o ponto de extremidade da CDN

Se a entrada do registro CNAME do ponto de extremidade não existir mais ou contiver o subdomínio cdnverify, siga o restante das instruções nesta etapa.

O DigiCert envia um email de verificação para os seguintes endereços de email. Verifique se é possível aprovar diretamente por meio de um dos seguintes endereços:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Você deverá receber um email em poucos minutos solicitando que você aprove a solicitação. Caso você esteja usando um filtro de spam, adicione verification@digicert.com à lista de permitidos. Se você não receber um email em até 24 horas, contate o suporte da Microsoft.

Captura de tela do email de validação de domínio.

Quando você selecionar o link de aprovação, será direcionado para o seguinte formulário de aprovação online:

Captura de tela do formulário de validação de domínio.

Siga as instruções do formulário; você tem duas opções de verificação:

  • Você pode aprovar todos os pedidos futuros feitos por meio da mesma conta para o mesmo domínio raiz; por exemplo, contoso.com. Essa abordagem é recomendada se você pretende adicionar domínios personalizados adicionais para o mesmo domínio raiz.

  • Você pode aprovar apenas o nome do host específico usado nesta solicitação. Será necessário obter outra aprovação para solicitações posteriores.

Após a aprovação, o DigiCert conclui a criação do certificado para seu nome de domínio personalizado. O certificado é válido por um ano. Se o registro CNAME do seu domínio personalizado for adicionado ou atualizado para ser mapeado para o nome do host do ponto de extremidade após a verificação, ele será atualizado automaticamente antes de expirar.

Observação

A renovação automática do certificado gerenciado exige que o domínio personalizado seja mapeado diretamente para o ponto de extremidade da CDN por um registro CNAME.

Aguardar a propagação

Depois da validação do nome de domínio, é necessário de 6 a 8 horas para a ativação do recurso HTTPS de domínio personalizado. Depois da conclusão do processo, o status HTTPS personalizado no portal do Azure é definido para Habilitado. As quatro etapas de operação na caixa de diálogo de domínio personalizado são marcadas como concluídas. Seu domínio personalizado agora está pronto para usar o HTTPS.

Captura de tela da caixa de diálogo Habilitar HTTPS.

Andamento da operação

A tabela a seguir mostra o andamento da operação que ocorre quando você habilita o HTTPS. Depois de habilitar o HTTPS, quatro etapas de operação são exibidas na caixa de diálogo do domínio personalizado. À medida que cada etapa fica ativa, outros detalhes da subetapa são exibidos na etapa conforme ela avança. Nem todas essas subetapas ocorrem. Depois que uma etapa for concluída com êxito, uma marca de seleção verde é exibida ao lado dela.

Etapa da operação Detalhes da subetapa da operação
1 Enviando a solicitação Enviando a solicitação
Sua solicitação HTTPS está sendo enviada.
Sua solicitação HTTPS foi enviada com êxito.
2 Validação de domínio O domínio será validado automaticamente se CNAME for mapeado para o ponto de extremidade da CDN. Caso contrário, uma solicitação de verificação é enviada ao email listado no registro do seu domínio (WHOIS inscrito).
Sua propriedade do domínio foi validada com êxito.
A solicitação de validação da propriedade do domínio expirou (provavelmente, o cliente não respondeu dentro de 6 dias). O HTTPS não será habilitado no domínio. *
A solicitação de validação da propriedade do domínio foi rejeitada pelo cliente. O HTTPS não será habilitado no domínio. *
3 Provisionamento de certificado No momento, a autoridade de certificação está emitindo o certificado necessário para habilitar o HTTPS em seu domínio.
O certificado foi emitido e está sendo implantado na rede CDN. Isso pode levar até 6 horas.
O certificado foi implantado com êxito na rede CDN.
4 Concluído O HTTPS foi habilitado com êxito em seu domínio.

* Essa mensagem não é exibida a menos que tenha ocorrido um erro.

Se ocorrer um erro antes que a solicitação seja enviada, a seguinte mensagem de erro será exibida:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Limpar recursos - desabilitar HTTPS

Nesta seção, você aprenderá a desabilitar o HTTPS para o domínio personalizado.

Desabilitar o recurso HTTPS

  1. No portal do Azure, pesquise e selecione Perfis de CDN.

  2. Escolha o seu perfil do CDN Standard do Azure da Microsoft, CDN Standard do Azure do Edgio ou CDN Premium do Azure do Edgio.

  3. Na lista de pontos de extremidade, escolha o ponto de extremidade que contém seu domínio personalizado.

  4. Escolha o domínio personalizado no qual você deseja desabilitar o HTTPS.

    Captura de tela da lista de domínios personalizados.

  5. Escolha Desativado para desabilitar o HTTPS e, em seguida, selecione Aplicar.

    Captura de tela da caixa de diálogo HTTPS personalizada.

Aguardar a propagação

Depois que o recurso HTTPS do domínio personalizado for desabilitado, poderá levar até 6-8 horas para que ele entre em vigor. Depois da conclusão do processo, o status HTTPS personalizado no portal do Azure é definido para Desabilitado. Seu domínio personalizado não pode mais usar o HTTPS.

Perguntas frequentes

  1. Quem é o provedor de certificado e que tipo de certificado é usado?

    Um certificado dedicado, fornecido pela DigiCert, é usado para seu domínio personalizado:

    • Rede de Distribuição de Conteúdo do Microsoft Azure do Edgio
    • Rede de Distribuição de Conteúdo do Microsoft Azure da Microsoft
  2. Você usa TLS/SSL SNI (Indicação de Nome de Servidor) ou baseada em IP?

    O CDN do Azure do Edgio e o CDN Standard do Azure da Microsoft usam TLS/SSL de SNI.

  3. E se eu não receber o email de verificação de domínio do DigiCert?

    Se você não estiver usando o subdomínio cdnverify e a entrada CNAME for para o nome do host do ponto de extremidade, você não receberá nenhum email de verificação de domínio.

    A validação ocorre automaticamente. Caso contrário, se você não tem uma entrada CNAME e você ainda não recebeu um email em até 24 horas, entre em contato com o suporte da Microsoft.

  4. Usar um certificado SAN é menos seguro do que um certificado dedicado?

    Um certificado SAN segue os mesmos padrões de criptografia e segurança de um certificado dedicado. Todos os certificados TLS/SSL emitidos usam SHA-256 para uma maior segurança do servidor.

  5. É necessário ter um registro de Autorização de Autoridade de Certificação em meu provedor DNS?

    Nenhum registro de Autorização de Autoridade de Certificação é necessário no momento. No entanto, caso você tenha um, ele deverá incluir o DigiCert como uma AC válida.

  6. Em 20 de junho de 2018, a CDN do Azure do Edgio passou a usar um certificado dedicado com o SNI TLS/SSL por padrão. O que acontece com meus domínios personalizados existentes usando o certificado SAN (Nomes alternativos de entidade) e TLS/SSL baseado em IP?

    Se a Microsoft analisar que apenas solicitações de cliente SNI são feitas para seu aplicativo, seus domínios existentes serão gradualmente migrados para um único certificado nos próximos meses.

    Se os clientes não SNI forem detectados, seus domínios permanecerão no certificado SAN com TLS/SSL baseado em IP. As solicitações para seu serviço ou clientes não SNI não são afetadas.

  7. Como funcionam as renovações de certificado com o modelo Traga Seu Próprio Certificado?

    Para garantir que um certificado mais recente seja implantado na infraestrutura POP, carregue seu novo certificado no Azure Key Vault. Nas configurações do TLS na Rede de Distribuição de Conteúdo do Microsoft Azure, escolha a versão mais recente do certificado e selecione "salvar". Em seguida, a Rede de Distribuição de Conteúdo do Microsoft Azure propagará seu novo certificado atualizado.

    Importante

    • A partir de 20 de junho de 2024, a CDN do Azure Standard e Premium do Edgio não darão suporte ao recurso Usar meus próprios certificados. Este recurso será reintroduzido novamente no início de 2025.
    • Quais são as ações necessárias para domínios personalizados usando este recurso? Os certificados BYOC já implantados na plataforma Edgio permanecerão válidos até a data de validade. Nenhuma ação é necessária para certificados que expiram em 2025. Recomendamos que você alterne para a CDN Gerenciada para certificados que exigem uma atualização ou expirarão este ano. Se você estiver exigindo assistência adicional, envie uma solicitação de suporte para trabalhar com um engenheiro de suporte.

Próximas etapas

Neste tutorial, você aprendeu a:

  • Habilite o protocolo HTTPS em seu domínio personalizado.
  • Usar um certificado gerenciado por CDN
  • Usar o seu próprio certificado
  • Valide o domínio.
  • Desabilite o protocolo HTTPS em seu domínio personalizado.

Avance para o próximo tutorial para aprender como configurar a colocação de cache em um domínio personalizado da CDN.