Configurar certificados de segurança
Você foi solicitado a ajudar a proteger as informações que estão sendo transmitidas entre o aplicativo de suas empresas e o cliente. O Serviço de Aplicativo do Azure tem ferramentas que permitem criar, carregar ou importar um certificado privado ou um certificado público para o serviço de aplicativo.
Um certificado carregado em um aplicativo é armazenado em uma unidade de implantação que está vinculada à combinação de grupo de recursos e região do plano do serviço de aplicativo (chamada internamente de webspace). Isso torna o certificado acessível a outros aplicativos na mesma combinação de grupo de recursos e região.
A tabela abaixo detalha as opções que você tem para adicionar certificados no Serviço de Aplicativo:
| Opção | Descrição |
|---|---|
| Para criar um certificado gerenciado gratuito do Serviço de Aplicativo: | Um certificado privado sem custo e fácil de usar se você precisar proteger seu domínio personalizado no Serviço de Aplicativo. |
| Comprar um certificado do Serviço de Aplicativo | Um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificado e a flexibilidade das opções de renovação e exportação. |
| Importar um certificado do Key Vault | Útil se você usa o Azure Key Vault para gerenciar seus certificados. |
| Carregar um certificado privado | Se você já tiver um certificado privado de um provedor de terceiros, poderá carregá-lo. |
| Carregar um certificado público | Os certificados públicos não são usados para proteger domínios personalizados, mas você pode carregá-los em seu código se precisar que eles acessem recursos remotos. |
Requisitos do certificado privado
O certificado gerenciado do Serviço de Aplicativo gratuito e o certificado de Serviço de Aplicativo já atendem aos requisitos do Serviço de Aplicativo. Se você quiser usar um certificado privado no Serviço de Aplicativo, seu certificado deverá atender aos seguintes requisitos:
- Exportado como um arquivo PFX protegido por senha, criptografado usando DES triplo.
- Conter a chave privada com pelo menos 2048 bits.
- Contém todos os certificados intermediários e o certificado raiz da cadeia de certificados.
Para proteger um domínio personalizado em uma associação TLS, o certificado tem outros requisitos :
- Contém um Uso estendido de chave para autenticação do servidor (OID = 1.3.6.1.5.5.7.3.1)
- Assinado por uma autoridade de certificado confiável
Como criar um certificado gerenciado gratuito
Para criar associações TLS/SSL personalizadas ou habilitar certificados de cliente para seu aplicativo do Serviço de Aplicativo, o plano do Serviço de Aplicativo deve estar na camada Básica, Standard, Premium ou Isolada.
O Certificado gerenciado gratuito do Serviço de Aplicativo é uma solução imediata para proteção de seu nome DNS personalizado no Serviço de Aplicativo. É um certificado do servidor TLS/SSL totalmente gerenciado pelo Serviço de Aplicativo e renovado contínua e automaticamente em incrementos de seis meses, 45 dias antes da expiração. Você cria o certificado, associa-o a um domínio personalizado e permite que o Serviço de Aplicativo faça o restante.
Importante
Antes de criar um certificado gerenciado gratuito, verifique se você atendeu aos pré-requisitos para seu aplicativo. Os certificados gratuitos são emitidos pelo DigiCert. Para alguns domínios, você deverá permitir explicitamente o DigiCert como emissor de certificado criando um registro de domínio CAA com o valor: 0 issue digicert.com. O Azure gerencia totalmente os certificados em seu nome, portanto, qualquer aspecto do certificado gerenciado, incluindo o emissor raiz, pode ser alterado a qualquer momento. Essas alterações estão fora do seu controle. Evite dependências rígidas e "fixar" certificados de prática no certificado gerenciado ou em qualquer parte da hierarquia de certificados.
O certificado gratuito apresenta as seguintes limitações:
- Não oferece suporte a certificados curinga.
- Não oferece suporte ao uso como um certificado de cliente utilizando a impressão digital do certificado, que está planejada para substituição e remoção.
- Não oferece suporte a DNS privado.
- Não é exportável.
- Não tem suporte no ASE (Ambiente do Serviço de Aplicativo).
- Dá suporte apenas a caracteres alfanuméricos, traços (-) e pontos (.).
- Somente domínios personalizados com até 64 caracteres de comprimento têm suporte.
Importar um Certificado do Serviço de Aplicativo
Se você comprar um Certificado do Serviço de Aplicativo no Azure, o Azure será responsável por:
- Cuidar do processo de compra no provedor de certificados.
- Executar a verificação de domínio do certificado.
- Manter o certificado no Azure Key Vault.
- Gerencia a renovação de certificado.
- Sincronizar automaticamente o certificado com as cópias importadas nos aplicativos do Serviço de Aplicativo.
Se você já tiver um certificado funcional do Serviço de Aplicativo, poderá:
- Importar o certificado no Serviço de Aplicativo.
- Gerenciar o certificado, por exemplo, renovar, rechavear e exportá-lo.
Observação
Não há suporte para os Certificados do Serviço de Aplicativo nas Nuvens Nacionais do Azure no momento.