Compartilhar via

Configurar HTTPS em um domínio personalizado do Azure Front Door (clássico)

  • Artigo

Importante

O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante que você migre seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, consulte Desativação do Azure Front Door (clássico).

Este artigo explica como habilitar HTTPS para um domínio personalizado associado ao front door (clássico). O uso de HTTPS em seu domínio personalizado (por exemplo, https://www.contoso.com) garante a transmissão segura de dados por meio da criptografia TLS/SSL. Quando um navegador da Web se conecta a um site usando HTTPS, ele valida o certificado de segurança do site e verifica sua legitimidade, fornecendo segurança e protegendo seus aplicativos Web contra ataques mal-intencionados.

O Azure Front Door dá suporte a HTTPS por padrão em seu nome de host padrão (por exemplo, https://contoso.azurefd.net). No entanto, você precisa habilitar HTTPS separadamente para domínios personalizados como www.contoso.com.

Os principais atributos do recurso HTTPS personalizado incluem:

  • Sem custo adicional: sem custos para aquisição de certificado, renovação ou tráfego HTTPS.
  • Habilitação simples: provisionamento de uma seleção por meio do portal do Azure, da API REST ou de outras ferramentas de desenvolvedor.
  • Gerenciamento de certificado completo: aquisição e renovação automáticas de certificado, eliminando o risco de interrupção do serviço devido a certificados expirados.

Neste tutorial, você aprenderá a:

  • Habilite HTTPS em seu domínio personalizado.
  • Use um certificado gerenciado por AFD.
  • Use seu próprio certificado TLS/SSL.
  • Valide o domínio.
  • Desabilite HTTPS em seu domínio personalizado.

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Pré-requisitos

Antes de começar, verifique se você tem um Front Door com pelo menos um domínio personalizado integrado. Para saber mais, confira Tutorial: Adicionar um domínio personalizado ao seu Front Door.

Certificados TLS/SSL

Para habilitar o HTTPS em um domínio personalizado do Front Door (clássico), você precisa de um certificado TLS/SSL. Você pode usar um certificado gerenciado pelo Azure Front Door ou seu próprio certificado.

Opção 1 (padrão): usar um certificado gerenciado pelo Front Door

Usar um certificado gerenciado pelo Azure Front Door permite habilitar HTTPS com algumas alterações de configuração. O Azure Front Door manipula todas as tarefas de gerenciamento de certificados, incluindo aquisição e renovação. Se o domínio personalizado já estiver mapeado para o host de front-end padrão do Front Door ({hostname}.azurefd.net), nenhuma ação adicional será necessária. Caso contrário, você deve validar sua propriedade de domínio por email.

Para habilitar o HTTPS em um domínio personalizado:

  1. No portal do Azure, acesse o perfil do Front Door.

  2. Selecione o domínio personalizado para o qual você deseja habilitar HTTPS na lista de hosts de front-end.

  3. Em HTTPS de domínio personalizado, selecione Habilitado e escolha Front Door gerenciado como a origem do certificado.

  4. Selecione Salvar.

  5. Prossiga para Validar o domínio.

Observação

  • O limite de 64 caracteres do DigiCert é imposto para certificados gerenciados pelo Azure Front Door. A validação falhará se esse limite for excedido.
  • Não há suporte para habilitar HTTPS por meio do certificado gerenciado do Front Door para domínios apex/raiz (por exemplo, contoso.com). Use seu próprio certificado para este cenário (consulte a opção 2).

Opção 2: Usar o seu próprio certificado

Você pode usar seu próprio certificado por meio de uma integração com o Azure Key Vault. Verifique se o certificado é de uma Lista de Autoridade de Certificação Confiável da Microsoft e tem uma cadeia de certificados completa.

Preparar o cofre de chaves e o certificado digital

  • Crie uma conta do cofre de chaves na mesma assinatura do Azure que o Front Door.
  • Configure o cofre de chaves para permitir que serviços confiáveis da Microsoft ignorem o firewall se as restrições de acesso à rede estiverem habilitadas.
  • Use o modelo de permissão de política de acesso do Key Vault.
  • Carregue seu certificado como um objeto de certificado, não um segredo.

Observação

O Front Door não dá suporte a certificados com algoritmos de criptografia de EC (curva elíptica). O certificado precisa ter uma cadeia de certificados completa com certificados de folha e intermediários, e a AC raiz precisa fazer parte da lista de ACs confiáveis da Microsoft.

Registrar o Azure Front Door

Registre a entidade de serviço do Azure Front Door em sua ID do Microsoft Entra usando o Azure PowerShell ou a CLI do Azure.

PowerShell do Azure

  1. Instale Azure PowerShell, se necessário.

  2. Execute o comando a seguir:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
CLI do Azure

  1. Instale CLI do Azure, se necessário.

  2. Execute o comando a seguir:

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Conceder acesso ao seu cofre de chaves para o Azure Front Door

  1. Em sua conta do cofre de chaves, selecione Políticas de acesso.

  2. Selecione Criar para criar uma política de acesso.

  3. Em permissões secretas, selecione Obter.

  4. Em permissões de certificado, selecione Obter.

  5. Em Selecionar entidade de segurança, pesquise ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 e selecione Microsoft.Azure.Frontdoor. Selecione Avançar.

  6. Selecione Avançar no Aplicativo.

  7. Selecione Criar em Revisão + criar.

Observação

Se o cofre de chaves tiver restrições de acesso à rede, permita que serviços confiáveis da Microsoft acessem seu cofre de chaves.

Selecionar o certificado para o Azure Front Door a implantar

  1. Retorne ao seu Front Door no portal.

  2. Selecione o domínio personalizado para o qual você deseja habilitar HTTPS.

  3. Em Tipo de gerenciamento de certificado, selecione Usar meu próprio certificado.

  4. Selecione um cofre de chaves, um segredo e a versão do segredo.

    Observação

    Para habilitar a rotação automática de certificados, defina a versão secreta como 'Latest'. Se uma versão específica for selecionada, você deverá atualizá-la manualmente para rotação de certificado.

    Aviso

    Verifique se a entidade de serviço tem permissão GET no Key Vault. Para ver o certificado na lista suspensa do portal, sua conta de usuário deve ter permissões LIST e GET no Key Vault.

  5. Ao usar seu próprio certificado, a validação de domínio não é necessária. Avance para a Aguardar a propagação.

Validar o domínio

Se o domínio personalizado for mapeado para o ponto de extremidade personalizado com um registro CNAME ou se você estiver usando seu próprio certificado, continuar para o Domínio personalizado será mapeado para o Front Door. Caso contrário, siga as instruções no Domínio Personalizado não mapeadas para o Front Door.

O domínio personalizado está mapeado para o Front Door por registro CNAME

Se o registro CNAME ainda existir e não contiver o subdomínio afdverify, o DigiCert validará automaticamente a propriedade do seu domínio personalizado.

O registro CNAME deve estar no seguinte formato:

Nome Tipo Valor
<www.contoso.com> CNAME contoso.azurefd.net

Para obter mais informações sobre os registros CNAME, consulte criar o registro de DNS CNAME.

Se o registro CNAME estiver correto, o DigiCert verificará automaticamente seu domínio personalizado e criará um certificado dedicado. O certificado é válido por um ano e é renovado automaticamente antes de expirar. Prossiga para Aguardar a propagação.

Observação

Caso você tenha um registro de CAA (Autorização de Autoridade de Certificação) com o provedor DNS, ele deverá incluir o DigiCert como uma AC válida. Para obter mais informações, consulte Gerenciar registros CAA.

O domínio personalizado não está mapeado para o Front Door

Se a entrada de registro CNAME do ponto de extremidade não existir mais ou contiver o subdomínio afdverify, siga estas instruções.

Depois de habilitar o HTTPS em seu domínio personalizado, o DigiCert valida a propriedade entrando em contato com o registrador do domínio por email ou telefone listado no registro WHOIS. Você deve concluir a validação de domínio dentro de seis dias úteis. A validação de domínio do DigiCert funciona no nível do subdomínio.

Captura de tela do registro WHOIS.

O DigiCert também enviará um email de verificação para os seguintes endereços se as informações do registrador WHOIS forem privadas:

  • admin@<your-domain-name.com>
  • administrator@<your-domain-name.com>
  • webmaster@<your-domain-name.com>
  • hostmaster@<your-domain-name.com>
  • postmaster@<your-domain-name.com>

Você deve receber um email solicitando que aprove a solicitação. Se você não receber um email em até 24 horas, contate o suporte da Microsoft.

Após a aprovação, o DigiCert conclui a criação do certificado. O certificado é válido por um ano e automaticamente se o registro CNAME for mapeado para o nome de host padrão do Azure Front Door.

Observação

A renovação automática do certificado gerenciado exige que o domínio personalizado seja mapeado diretamente para o nome do host padrão .azurefd.net do Azure Front Door por um registro CNAME.

Aguardar a propagação

Após a validação do domínio, pode levar de 6 a 8 horas para que o recurso HTTPS de domínio personalizado seja ativado. Quando concluído, o status HTTPS personalizado no portal do Azure é definido como Habilitado.

Andamento da operação

A tabela a seguir mostra o progresso da operação ao habilitar HTTPS:

Etapa da operação Detalhes da subetapa da operação
1. Enviando a solicitação Enviando a solicitação
Sua solicitação HTTPS está sendo enviada.
Sua solicitação HTTPS foi enviada com êxito.
2. Validação de domínio O domínio será validado automaticamente se CNAME mapeado para o host de front-end .azurefd.net padrão. Caso contrário, uma solicitação de verificação é enviada ao email listado no registro do seu domínio (WHOIS inscrito). Verifique o domínio assim que possível.
Sua propriedade de domínio foi validada com êxito.
A solicitação de validação de propriedade do domínio expirou (o cliente provavelmente não respondeu dentro de seis dias). O HTTPS não está habilitado em seu domínio. *
Solicitação de validação da propriedade do domínio rejeitada pelo cliente. O HTTPS não está habilitado em seu domínio. *
3. Provisionamento de certificado A autoridade de certificação está emitindo o certificado necessário para habilitar HTTPS em seu domínio.
O certificado foi emitido e está sendo implantado para o Front Door. Esse processo pode levar de vários minutos a uma hora.
O certificado foi implantado com êxito para o Front Door.
4. Concluído O HTTPS foi habilitado com êxito em seu domínio.

* Essa mensagem será exibida somente se ocorrer um erro.

Se ocorrer um erro antes que a solicitação seja enviada, a seguinte mensagem de erro será exibida:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Perguntas frequentes

  1. Quem é o provedor de certificado e que tipo de certificado é usado?

    Um certificado dedicado/único, fornecido pelo DigiCert, é usado para seu domínio personalizado.

  2. Você usa TLS/SSL de SNI ou baseado em IP?

    O Azure Front Door usa TLS/SSL de SNI.

  3. E se eu não receber o email de verificação de domínio do DigiCert?

    Se você tiver uma entrada CNAME para seu domínio personalizado que aponte diretamente para o nome do host do ponto de extremidade e não estiver usando o nome do subdomínio afdverify, você não receberá um email de verificação de domínio. A validação ocorre automaticamente. Caso contrário, se você não tiver uma entrada CNAME e não receber um email dentro de 24 horas, entre em contato com o suporte da Microsoft.

  4. Usar um certificado SAN é menos seguro do que um certificado dedicado?

    Um certificado SAN segue os mesmos padrões de criptografia e segurança de um certificado dedicado. Todos os certificados TLS/SSL emitidos usam SHA-256 para uma maior segurança do servidor.

  5. É necessário ter um registro de Autorização de Autoridade de Certificação em meu provedor DNS?

    Não. No momento, nenhum registro de Autorização de Autoridade de Certificação é necessário. No entanto, caso você tenha um, ele deverá incluir o DigiCert como uma AC válida.

Limpar os recursos

Para desabilitar HTTPS em seu domínio personalizado:

Desabilitar o recurso HTTPS

  1. No portal do Azure, acesse a configuração do Azure Front Door.

  2. Selecione o domínio personalizado para o qual você deseja desabilitar HTTPS.

  3. Selecione Desabilitado e selecione Salvar.

Aguardar a propagação

Depois de desabilitar o recurso HTTPS de domínio personalizado, pode levar de 6 a 8 horas para entrar em vigor. Quando concluído, o status HTTPS personalizado no portal do Azure é definido como Desabilitado.

Andamento da operação

A tabela a seguir mostra o progresso da operação ao desabilitar HTTPS:

Andamento da operação Detalhes da operação
1. Enviando a solicitação Enviando a solicitação
2. Desprovisionamento de certificado Excluindo o certificado
3. Concluído Certificado excluído

Próximas etapas

Para saber como configurar uma política de filtragem geográfica para o Front Door, prossiga para o próximo tutorial.