Partilhar via

Como configurar um domínio personalizado para o Serviço Azure SignalR

  • Artigo

Além do domínio padrão fornecido com o Serviço Azure SignalR, você também pode adicionar um domínio DNS personalizado ao seu serviço. Neste artigo, você aprenderá como adicionar um domínio personalizado ao seu Serviço SignalR.

Nota

Domínios personalizados é um recurso de nível Premium. Os recursos de nível padrão podem ser atualizados para o nível Premium sem tempo de inatividade.

Para configurar um domínio personalizado, você precisa:

  1. Adicione um certificado de domínio personalizado.
  2. Crie um registro DNS CNAME.
  3. Adicione o domínio personalizado.

Pré-requisitos

  • Um domínio personalizado registrado por meio de um Serviço de Aplicativo do Azure ou de um registrador de terceiros.
  • Uma conta do Azure com uma subscrição ativa.
  • Um grupo de recursos do Azure.
  • Um recurso do Serviço Azure SignalR.
  • Uma instância do Azure Key Vault.
  • Um certificado SSL de domínio personalizado armazenado em sua instância do Cofre da Chave. Consulte Introdução aos certificados do Key Vault
  • Uma zona DNS do Azure. (Opcional)

Adicionar um certificado personalizado

Antes de adicionar um domínio personalizado, você precisa adicionar um certificado SSL personalizado. O seu Serviço SignalR acede ao certificado armazenado no seu cofre de chaves através de uma identidade gerida.

Há três etapas para adicionar um certificado de domínio.

  1. Habilite a identidade gerenciada em seu Serviço SignalR.
  2. Dê à identidade gerenciada acesso ao seu cofre de chaves.
  3. Adicione um certificado personalizado ao seu Serviço SignalR.

Habilitar identidade gerenciada no Serviço SignalR

Você pode usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário. Este artigo demonstra o uso de uma identidade gerenciada atribuída ao sistema.

  1. No portal do Azure, vá para seu recurso de serviço SignalR.

  2. Selecione Identidade no menu à esquerda.

  3. Na tabela Sistema atribuído, defina Status como Ativado.

    Captura de ecrã a mostrar a ativação da identidade gerida.

  4. Selecione Salvar e, em seguida, selecione Sim quando solicitado a habilitar a identidade gerenciada atribuída ao sistema.

Depois que a identidade é criada, o ID do objeto (principal) é exibido. O Serviço SignalR usará o ID do objeto da identidade gerenciada atribuída ao sistema para acessar o cofre de chaves. O nome da identidade gerenciada é o mesmo que o nome da instância do Serviço SignalR. Na próxima seção, você precisará pesquisar a entidade de segurança (identidade gerenciada) usando o nome ou a ID do objeto.

Dê acesso à identidade gerenciada ao seu cofre de chaves

O Serviço SignalR usa uma identidade gerenciada para acessar seu cofre de chaves. Você deve dar permissão à identidade gerenciada para acessar seu cofre de chaves.

As etapas para conceder permissão dependem se você selecionou a política de acesso ao cofre ou o controle de acesso baseado em função do Azure como seu modelo de permissão do cofre de chaves.

Se você estiver usando a política de acesso do Vault como seu modelo de permissão do cofre de chaves, siga este procedimento para adicionar uma nova política de acesso.

  1. Vá para o recurso do cofre de chaves.

  2. Selecione Políticas de acesso no menu à esquerda.

  3. Selecione Criar. Captura de ecrã da página da política de acesso do Cofre da Chave.

  4. Na guia Permissões:

    1. Selecione Obter em Permissões secretas.
    2. Selecione Obter em Permissões de certificado.

  5. Selecione Avançar para ir para a guia Principal .

    Captura de ecrã do separador Permissões da página Criar uma política de acesso do Cofre da Chave.

  6. Insira o ID do objeto da identidade gerenciada na caixa de pesquisa.

  7. Selecione a identidade gerenciada nos resultados da pesquisa.

  8. Selecione a guia Revisar + criar .

    Captura de ecrã do separador Principal da página Criar uma política de acesso do Cofre de Chaves.

  9. Selecione Criar na guia Revisão + criação .

A identidade gerenciada para sua instância do Serviço SignalR está listada na tabela de políticas de acesso.

Captura de ecrã da página Políticas de acesso do Cofre da Chave.

Adicionar um certificado personalizado ao seu Serviço SignalR

Use as seguintes etapas para adicionar o certificado personalizado ao seu serviço SignalR:

  1. No portal do Azure, vá para o recurso do Serviço SignalR.

  2. No painel de menus, selecione Domínio personalizado.

  3. Em Certificado personalizado, selecione Adicionar.

    Captura de tela do gerenciamento de certificados personalizados.

  4. Insira um nome do certificado personalizado.

  5. Selecione Selecionar no Cofre da Chave para escolher um certificado do Cofre da Chave. Após a seleção, o seguinte URI Base do Cofre da Chave, o Nome Secreto do Cofre da Chave deve ser preenchido automaticamente. Em alternativa, também pode preencher estes campos manualmente.

  6. Opcionalmente, você pode especificar uma versão secreta do cofre da chave se quiser fixar o certificado em uma versão específica.

  7. Selecione Adicionar.

Captura de ecrã a mostrar a adição de um certificado personalizado.

O Serviço SignalR buscará o certificado e validará seu conteúdo. Quando for bem-sucedido, o Estado de Provisionamento do certificado será Bem-sucedido.

Captura de ecrã de um certificado personalizado adicionado.

Criar um registro CNAME de domínio personalizado

Você deve criar um registro CNAME para seu domínio personalizado em uma Zona DNS do Azure ou com seu serviço de registrador de terceiros. O registro CNAME cria um alias do seu domínio personalizado para o domínio padrão do Serviço SignalR. O Serviço SignalR usa o registro para validar a propriedade do seu domínio personalizado.

Por exemplo, se o domínio padrão for contoso.service.signalr.net, e o domínio personalizado for contoso.example.com, você precisará criar um registro CNAME no example.com.

Depois de criar o registro CNAME, você pode executar uma pesquisa de DNS para ver as informações CNAME. Por exemplo, a saída do comando linux dig (pesquisa de DNS) deve ser semelhante a esta saída:

 contoso.example.com. 0 IN CNAME contoso.service.signalr.net.

Se estiver a utilizar a Zona DNS do Azure, consulte Gerir registos DNS para saber como adicionar um registo CNAME.

Captura de ecrã a mostrar a adição de um registo CNAME na Zona DNS do Azure.

Se você estiver usando outros provedores de DNS, siga o guia do provedor para criar um registro CNAME.

Adicionar um domínio personalizado

Agora adicione o domínio personalizado ao seu Serviço SignalR.

  1. No portal do Azure, vá para o recurso do Serviço SignalR.

  2. No painel de menus, selecione Domínio personalizado.

  3. Em Domínio personalizado, selecione Adicionar.

    Captura de tela do gerenciamento de domínio personalizado.

  4. Insira um nome para o domínio personalizado.

  5. Insira o nome de domínio completo do seu domínio personalizado, por exemplo, contoso.com.

  6. Selecione um certificado personalizado que se aplique a este domínio personalizado.

  7. Selecione Adicionar.

    Captura de ecrã a mostrar a adição de um domínio personalizado.

Verificar um domínio personalizado

Para verificar o domínio personalizado, você pode usar a API de integridade. A API de integridade é um ponto de extremidade público que retorna o status de integridade da instância do Serviço SignalR. A API de integridade está disponível em https://<your custom domain>/api/health.

Aqui está um exemplo usando cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK

Ele deve retornar 200 o código de status sem qualquer erro de certificado.

Acesso ao Cofre da Chave na rede privada

Se tiver configurado um Ponto Final Privado para o seu cofre de chaves, o seu Serviço SignalR não poderá aceder ao seu cofre de chaves através de uma rede pública. Você pode dar ao seu Serviço SignalR acesso ao seu cofre de chaves através de uma rede privada criando um Ponto de Extremidade Privado Compartilhado.

Depois de criar um Ponto de Extremidade Privado Compartilhado, você pode adicionar um certificado personalizado conforme descrito na seção Adicionar um certificado personalizado ao seu Serviço SignalR acima.

Importante

Não é necessário alterar o domínio no URI do cofre de chaves. Por exemplo, se o URI base do cofre de chaves for https://contoso.vault.azure.net, você usará esse URI para configurar um certificado personalizado.

Não é necessário permitir explicitamente os endereços IP do Serviço SignalR nas configurações de firewall do cofre de chaves. Para obter mais informações, consulte Diagnóstico de link privado do Cofre de Chaves.

Rotação de certificados

Se você não especificar uma versão secreta ao criar um certificado personalizado, o Serviço Azure SignalR verificará periodicamente a versão mais recente no Cofre da Chave. Quando uma nova versão é observada, ela é aplicada automaticamente. O atraso é geralmente dentro de 1 hora.

Como alternativa, você também pode fixar o certificado personalizado em uma versão secreta específica no Cofre da Chave. Quando precisar aplicar um novo certificado, você poderá editar a versão secreta e, em seguida, atualizar o certificado personalizado proativamente.

Limpeza

Se não planeia utilizar os recursos que criou neste artigo, pode eliminar o Grupo de Recursos.

Atenção

A exclusão do grupo de recursos exclui todos os recursos contidos nele. Se existirem recursos fora do escopo deste artigo no grupo de recursos especificado, eles também serão excluídos.

Próximos passos