Partilhar via

Renovar certificados do Gateway de Aplicação

  • Artigo

Em algum momento, você precisará renovar seus certificados se tiver configurado seu gateway de aplicativo para criptografia TLS/SSL.

Há dois locais onde os certificados podem existir: certificados armazenados no Cofre de Chaves do Azure ou certificados carregados em um gateway de aplicativo.

Certificados no Azure Key Vault

Quando o Application Gateway é configurado para usar certificados do Cofre da Chave, suas instâncias recuperam o certificado do Cofre da Chave e os instalam localmente para o encerramento do TLS. As instâncias sondam o Cofre da Chave em intervalos de quatro horas para recuperar uma versão renovada do certificado, se ele existir. Se um certificado atualizado for encontrado, o certificado TLS/SSL atualmente associado ao ouvinte HTTPS será alternado automaticamente.

Gorjeta

Qualquer alteração no Application Gateway forçará uma verificação no Cofre da Chave para ver se novas versões de certificados estão disponíveis. Isso inclui, mas não está limitado a, alterações em Configurações de IP Frontend, Ouvintes, Regras, Pools de Back-end, Tags de Recursos e muito mais. Se for encontrado um certificado atualizado, o novo certificado será imediatamente apresentado.

O Application Gateway usa um identificador secreto no Cofre da Chave para fazer referência aos certificados. Para o Azure PowerShell, a CLI do Azure ou o Azure Resource Manager, é altamente recomendável que você use um identificador secreto que não especifique uma versão. Dessa forma, o Application Gateway alternará automaticamente o certificado se uma versão mais recente estiver disponível no cofre de chaves. Um exemplo de um URI secreto sem uma versão é https://myvault.vault.azure.net/secrets/mysecret/.

Certificados em um gateway de aplicativo

O Application Gateway dá suporte ao carregamento de certificados sem a necessidade de configurar o Azure Key Vault. Para renovar os certificados carregados, use as etapas a seguir para o portal do Azure, Azure PowerShell ou CLI do Azure.

Portal do Azure

Para renovar um certificado de ouvinte do portal, navegue até os ouvintes do gateway de aplicativo. Selecione o ouvinte que tem um certificado que precisa ser renovado e, em seguida, selecione Renovar ou editar certificado selecionado.

Renovar certificado

Carregue seu novo certificado PFX, dê um nome, digite a senha e selecione Salvar.

Azure PowerShell

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Para renovar seu certificado usando o Azure PowerShell, use o seguinte script:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

CLI do Azure

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Próximos passos

Para saber como configurar o descarregamento de TLS com o Gateway de Aplicativo do Azure, consulte Configurar o descarregamento de TLS.