Partilhar via


Importar certificados do Azure Key Vault para Aplicativos de Contêiner do Azure

Você pode configurar o Azure Key Vault para gerenciar centralmente os certificados TLS/SSL do seu aplicativo de contêiner e lidar com atualizações, renovações e monitoramento.

Pré-requisitos

Um recurso do Azure Key Vault é necessário para armazenar seu certificado. Consulte Importar um certificado no Cofre da Chave do Azure ou Configurar a rotação automática do certificado no Cofre da Chave para criar um Cofre da Chave e adicionar um certificado.

Exceções

Embora a maioria dos tipos de certificado seja suportada, há algumas exceções a ter em mente.

  • Os certificados ECDSA p384 e p521 não são suportados.
  • Devido à forma como os certificados dos Serviços de Aplicativo são salvos no Cofre da Chave, eles não podem ser importados usando o Portal do Azure e exigem a CLI do Azure.

Habilitar identidade gerenciada para o ambiente de Aplicativos de Contêiner

Os Aplicativos de Contêiner do Azure usam uma identidade gerenciada em nível de ambiente para acessar seu Cofre de Chaves e importar seu certificado. Para habilitar a identidade gerenciada atribuída ao sistema, siga estas etapas:

  1. Abra o portal do Azure e localize seu ambiente de Aplicativos de Contêiner do Azure onde você deseja importar um certificado.

  2. Em Configurações, selecione Identidade.

  3. Na guia Sistema atribuído, localize a opção Status e selecione Ativado.

  4. Selecione Salvar e, quando a janela Habilitar identidade gerenciada atribuída ao sistema for exibida, selecione Sim.

  5. No rótulo Permissões, selecione Atribuições de função do Azure para abrir a janela Atribuições de função.

  6. Selecione Adicionar atribuição de função e insira os seguintes valores:

    Property valor
    Âmbito Selecione Cofre da chave.
    Subscrição Selecione a subscrição do Azure.
    Recurso Selecione o seu cofre.
    Role Selecione Key Vault Secrets User.
  7. Selecione Guardar.

Para obter mais detalhes sobre RBAC vs. políticas de acesso herdadas, consulte Azure role-based access control (Azure RBAC) vs. access policies.

Importar certificado do Cofre da Chave

  1. Abra o portal do Azure e vá para o ambiente dos Aplicativos de Contêiner do Azure.

  2. Em Configurações, selecione Certificados.

  3. Selecione a guia Traga seus próprios certificados (.pfx).

  4. Selecione Adicionar certificado.

  5. No painel Adicionar certificado, em Origem, selecione Importar do Cofre da Chave.

  6. Selecione Selecionar certificado do cofre de chaves e selecione os seguintes valores:

    Property valor
    Subscrição Selecione a subscrição do Azure.
    Key Vault Selecione o seu cofre.
    Certificado Selecione o seu certificado.

    Nota

    Se vir um erro, "A operação "Lista" não está ativada na política de acesso deste cofre de chaves.", terá de configurar uma política de acesso no Cofre da Chave para permitir que a sua conta de utilizador liste certificados. Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave.

  7. Selecione Selecionar.

  8. No painel Adicionar certificado, em Identidade gerenciada, selecione Sistema atribuído. Se você estiver usando uma identidade gerenciada atribuída pelo usuário, selecione sua identidade gerenciada atribuída pelo usuário.

  9. Selecione Adicionar.

Nota

Se você receber uma mensagem de erro, verifique se a identidade gerenciada está atribuída à função Usuário de Segredos do Cofre da Chave no Cofre da Chave.

Configurar um domínio personalizado

Depois de configurar seu certificado, você pode usá-lo para proteger seu domínio personalizado. Siga as etapas em Adicionar um domínio personalizado e selecione o certificado importado do Cofre da Chave.

Rodar certificados

Quando você gira seu certificado no Cofre da Chave, os Aplicativos de Contêiner do Azure atualizam automaticamente o certificado em seu ambiente. O novo certificado demora até 12 horas a ser aplicado.