Configurar certificados de segurança
Foi-lhe pedido que ajudasse a proteger as informações que estão a ser transmitidas entre a aplicação da sua empresa e o cliente. O Serviço de Aplicativo do Azure tem ferramentas que permitem criar, carregar ou importar um certificado privado ou público para o Serviço de Aplicativo.
Um certificado carregado em um aplicativo é armazenado em uma unidade de implantação vinculada ao grupo de recursos e à combinação de regiões do plano de serviço de aplicativo (chamado internamente de espaço web). Isso torna o certificado acessível a outros aplicativos no mesmo grupo de recursos e combinação de região.
A tabela abaixo detalha as opções que você tem para adicionar certificados no Serviço de Aplicativo:
| Opção | Description |
|---|---|
| Criar um certificado gerenciado gratuito do Serviço de Aplicativo | Um certificado privado gratuito e fácil de usar se você precisar apenas proteger seu domínio personalizado no Serviço de Aplicativo. |
| Comprar um certificado do Serviço de Aplicativo | Um certificado privado gerenciado pelo Azure. Ele combina a simplicidade do gerenciamento automatizado de certificados e a flexibilidade das opções de renovação e exportação. |
| Importar um certificado do Cofre da Chave | Útil se você usar o Azure Key Vault para gerenciar seus certificados. |
| Carregar um certificado privado | Se já tiver um certificado privado de um fornecedor terceiro, pode carregá-lo. |
| Carregar um certificado público | Os certificados públicos não são usados para proteger domínios personalizados, mas você pode carregá-los em seu código se precisar deles para acessar recursos remotos. |
Requisitos de certificado privado
O certificado gerenciado gratuito do Serviço de Aplicativo e o certificado do Serviço de Aplicativo já satisfazem os requisitos do Serviço de Aplicativo. Se você quiser usar um certificado privado no Serviço de Aplicativo, seu certificado deverá atender aos seguintes requisitos:
- Exportado como um ficheiro PFX protegido por palavra-passe, encriptado usando DES triplo.
- Contém chave privada com pelo menos 2.048 bits de comprimento.
- Conter todos os certificados intermédios e o certificado de raiz na cadeia de certificados.
Para proteger um domínio personalizado em uma associação TLS, o certificado tem outros requisitos:
- Contém um uso estendido de chave para autenticação do servidor (OID = 1.3.6.1.5.5.7.3.1)
- Assinado por uma autoridade de certificação fidedigna
Criando um certificado gerenciado gratuito
Para criar associações TLS/SSL personalizadas ou habilitar certificados de cliente para seu aplicativo do Serviço de Aplicativo, seu plano do Serviço de Aplicativo deve estar na camada Básica, Padrão, Premium ou Isolada .
O certificado gerenciado gratuito do Serviço de Aplicativo é uma solução pronta para uso para proteger seu nome DNS personalizado no Serviço de Aplicativo. É um certificado de servidor TLS/SSL totalmente gerenciado pelo Serviço de Aplicativo e renovado contínua e automaticamente em incrementos de seis meses, 45 dias antes da expiração. Você cria o certificado e o vincula a um domínio personalizado e permite que o Serviço de Aplicativo faça o resto.
Importante
Antes de criar um certificado gerenciado gratuito, verifique se você atendeu aos pré-requisitos para seu aplicativo. Certificados gratuitos são emitidos pela DigiCert. Para alguns domínios, você deve permitir explicitamente o DigiCert como um emissor de certificado criando um registro de domínio CAA com o valor: 0 issue digicert.com. O Azure gerencia totalmente os certificados em seu nome, portanto, qualquer aspeto do certificado gerenciado, incluindo o emissor raiz, pode mudar a qualquer momento. Estas alterações estão fora do seu controlo. Certifique-se de evitar dependências rígidas e "fixar" certificados de prática no certificado gerenciado ou em qualquer parte da hierarquia de certificados.
O certificado gratuito vem com as seguintes limitações:
- Não suporta certificados curinga.
- Não suporta o uso como um certificado de cliente usando a impressão digital do certificado, que está planejada para substituição e remoção.
- Não suporta DNS privado.
- Não é exportável.
- Não há suporte em um ambiente de serviço de aplicativo (ASE).
- Suporta apenas caracteres alfanuméricos, traços (-) e pontos (.).
- Apenas domínios personalizados de até 64 caracteres são suportados.
Importar um certificado do Serviço de Aplicativo
Se você comprar um Certificado do Serviço de Aplicativo do Azure, o Azure gerenciará as seguintes tarefas:
- Cuida do processo de compra do provedor de certificados.
- Executa a verificação de domínio do certificado.
- Mantém o certificado no Cofre da Chave do Azure.
- Gerencia a renovação de certificados.
- Sincronize o certificado automaticamente com as cópias importadas nos aplicativos do Serviço de Aplicativo.
Se você já tiver um certificado do Serviço de Aplicativo em funcionamento, poderá:
- Importe o certificado para o Serviço de Aplicativo.
- Gerencie o certificado, como renovar, rechavear e exportá-lo.
Nota
No momento, não há suporte para Certificados do Serviço de Aplicativo nas Nuvens Nacionais do Azure.