Mapear um domínio personalizado existente para o Azure Spring Apps
Nota
Os planos Basic, Standard e Enterprise serão preteridos a partir de meados de março de 2025, com um período de aposentadoria de 3 anos. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte o anúncio de aposentadoria do Azure Spring Apps.
O plano de consumo padrão e dedicado será preterido a partir de 30 de setembro de 2024, com um desligamento completo após seis meses. Recomendamos a transição para os Aplicativos de Contêiner do Azure. Para obter mais informações, consulte Migrar consumo padrão e plano dedicado do Azure Spring Apps para Aplicativos de Contêiner do Azure.
Este artigo aplica-se a:✅ Java ✅ C#
Este artigo aplica-se a:✅ Standard ✅ Enterprise
O DNS (Serviço de Nomes de Domínio) é uma técnica para armazenar nomes de nós de rede em toda uma rede. Este artigo mapeia um domínio, como www.contoso.com
, usando um registro CNAME. Ele protege o domínio personalizado com um certificado e mostra como impor o Transport Layer Security (TLS), também conhecido como Secure Sockets Layer (SSL).
Os certificados criptografam o tráfego da Web. Esses certificados TLS/SSL podem ser armazenados no Cofre da Chave do Azure.
Pré-requisitos
- Uma subscrição do Azure. Se você não tiver uma assinatura, crie uma conta gratuita antes de começar.
- (Opcional) Azure CLI versão 2.45.0 ou superior. Use o seguinte comando para instalar a extensão Azure Spring Apps:
az extension add --name spring
- Um aplicativo implantado no Azure Spring Apps (consulte Guia de início rápido: iniciar um aplicativo existente no Azure Spring Apps usando o portal do Azure ou usar um aplicativo existente). Se o seu aplicativo for implantado usando o plano Básico, certifique-se de atualizar para o plano Padrão.
- Um nome de domínio com acesso ao registo DNS de um fornecedor de domínio, como a GoDaddy.
- Um certificado privado (ou seja, seu certificado autoassinado) de um provedor de terceiros. O certificado deve corresponder ao domínio.
- Uma instância implantada do Azure Key Vault. Para obter mais informações, consulte Sobre o Azure Key Vault.
Considerações sobre o link privado do Key Vault
Os endereços IP para o gerenciamento do Azure Spring Apps ainda não fazem parte dos serviços da Microsoft Confiável do Azure. Portanto, para permitir que o Azure Spring Apps carregue certificados de um Cofre de Chaves protegido com conexões de ponto de extremidade privadas, você deve adicionar os seguintes endereços IP ao firewall do Cofre de Chaves do Azure:
20.99.204.111
20.201.9.97
20.74.97.5
52.235.25.35
20.194.10.0
20.59.204.46
104.214.186.86
52.153.221.222
52.160.137.39
20.39.142.56
20.199.190.222
20.79.64.6
20.211.128.96
52.149.104.144
20.197.121.209
40.119.175.77
20.108.108.22
102.133.143.38
52.226.244.150
20.84.171.169
20.93.48.108
20.75.4.46
20.78.29.213
20.106.86.34
20.193.151.132
Certificado de importação
Prepare seu arquivo de certificado no PFX (opcional)
O Azure Key Vault dá suporte à importação de certificados privados nos formatos PEM e PFX. Se o arquivo PEM obtido do seu provedor de certificados não funcionar na seção Salvar certificado no Cofre da Chave , siga as etapas aqui para gerar um PFX para o Cofre de Chaves do Azure.
Intercalar certificados intermédios
Se a sua autoridade de certificação lhe der vários certificados na cadeia de certificados, terá de intercalá-los por ordem.
Para fazer essa tarefa, abra cada certificado recebido em um editor de texto.
Crie um ficheiro para o certificado intercalado, denominado mergedcertificate.crt. Num editor de texto, copie o conteúdo de cada certificado para este ficheiro. A ordem dos seus certificados deve seguir a ordem na cadeia de certificados, a começar no seu certificado e a terminar no certificado de raiz. O aspeto é igual ao do exemplo abaixo:
-----BEGIN CERTIFICATE-----
<your entire Base64 encoded SSL certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 1>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded intermediate certificate 2>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The entire Base64 encoded root certificate>
-----END CERTIFICATE-----
Exportar o certificado para PFX
Exporte seu certificado TLS/SSL mesclado com a chave privada com a qual sua solicitação de certificado foi gerada.
Se tiver gerado o pedido de certificado com OpenSSL, significa que criou um ficheiro de chave privada. Para exportar o certificado para PFX, execute o seguinte comando. Substitua os espaços reservados <arquivo de chave> privada e< arquivo de certificado> mesclado pelos caminhos para sua chave privada e seu arquivo de certificado mesclado.
openssl pkcs12 -export -out myserver.pfx -inkey <private-key-file> -in <merged-certificate-file>
Quando lhe for pedido, defina uma palavra-passe de exportação. Use essa senha ao carregar seu certificado TLS/SSL no Cofre de Chaves do Azure mais tarde.
Se tiver utilizado o IIS ou Certreq.exe para gerar o pedido de certificado, instale o certificado no seu computador local e exporte-o para PFX.
Salvar certificado no Cofre da Chave
O procedimento para importar um certificado requer que o arquivo codificado PEM ou PFX esteja no disco e você deve ter a chave privada.
Use as seguintes etapas para carregar seu certificado no cofre de chaves:
Vá para a instância do cofre de chaves.
No painel de navegação, selecione Certificados.
No menu superior, selecione Gerar/importar.
Na página Criar um certificado, selecione Importar para Método de Criação de Certificado e forneça um valor para Nome do Certificado.
Em Carregar arquivo de certificado, navegue até o local do certificado e selecione-o.
Em Palavra-passe, se estiver a carregar um ficheiro de certificado protegido por palavra-passe, forneça essa palavra-passe aqui. Caso contrário, deixe-o em branco. Depois que o arquivo de certificado é importado com êxito, o cofre de chaves remove essa senha.
Selecione Criar.
Conceder acesso ao Azure Spring Apps ao seu cofre de chaves
Você precisa conceder ao Azure Spring Apps acesso ao seu cofre de chaves antes de importar o certificado.
Use as seguintes etapas para conceder acesso usando o portal do Azure:
Vá para a instância do cofre de chaves.
No painel de navegação, selecione Políticas de acesso.
No menu superior, selecione Criar.
Preencha as informações e selecione o botão Adicionar e, em seguida , crie uma política de acesso.
Permissão secreta Permissão de certificado Selecionar principal Get, List Get, List Gerenciamento de domínio do Azure Spring Apps Nota
Se não encontrar o "Azure Spring Apps Domain-Management", procure "Azure Spring Cloud Domain-Management".
Importar certificado para o Azure Spring Apps
Use as seguintes etapas para importar um certificado:
Vá para sua instância do Azure Spring Apps.
No painel de navegação, selecione Configurações de TLS/SSL.
Selecione Importar certificado do cofre de chaves.
Na página Selecionar certificado do Azure, selecione Assinatura, Cofre da Chave e Certificado nas opções suspensas e escolha Selecionar.
Na página aberta Definir nome do certificado, introduza o nome do certificado, selecione Ativar sincronização automática, se necessário, e, em seguida, selecione Aplicar. Para obter mais informações, consulte a seção Certificado de sincronização automática.
Quando você tiver importado com êxito seu certificado, ele será exibido na lista de Certificados de Chave Privada.
Importante
Para proteger um domínio personalizado com este certificado, certifique-se de vincular o certificado ao domínio específico. Para obter mais informações, consulte a seção Adicionar vinculação SSL.
Certificado de sincronização automática
Um certificado armazenado no Cofre da Chave do Azure às vezes é renovado antes de expirar. Da mesma forma, as políticas de segurança da sua organização para gerenciamento de certificados podem exigir que sua equipe de DevOps substitua certificados por novos regularmente. Depois de habilitar a sincronização automática para um certificado, o Azure Spring Apps começa a sincronizar seu cofre de chaves para uma nova versão regularmente - geralmente a cada 24 horas. Se uma nova versão estiver disponível, o Azure Spring Apps a importará e a recarregará para vários componentes usando o certificado sem causar nenhum tempo de inatividade. A lista a seguir mostra os componentes afetados e os cenários relevantes:
- Aplicação
- Domínio personalizado
- VMware Spring Cloud Gateway
- Domínio personalizado
- Portal API para VMware Tanzu
- Domínio personalizado
- Acelerador de aplicativos VMware Tanzu
- Conectando-se a um repositório Git com um certificado autoassinado.
- Serviço de configuração de aplicativos para Tanzu
- Conectando-se a um repositório Git com um certificado autoassinado.
Quando o Azure Spring Apps importa ou recarrega um certificado, um log de atividades é gerado. Para ver os logs de atividades, navegue até sua instância do Azure Spring Apps no portal do Azure e selecione Log de atividades no painel de navegação.
Nota
O recurso de sincronização automática de certificados funciona com certificados privados e certificados públicos importados do Cofre de Chaves do Azure. Esse recurso não está disponível para certificados de conteúdo, que o cliente carrega.
Você pode habilitar ou desabilitar o recurso de sincronização automática de certificados ao importar um certificado do cofre de chaves para o Azure Spring Apps. Para obter mais informações, consulte a seção Importar um certificado para o Azure Spring Apps .
Você também pode habilitar ou desabilitar esse recurso para um certificado que já foi importado para o Azure Spring Apps.
Use as seguintes etapas para habilitar ou desabilitar a sincronização automática para um certificado importado:
Adicionar domínio personalizado
Você pode usar um registro CNAME para mapear um nome DNS personalizado para o Azure Spring Apps.
Nota
O registro A não é suportado.
Criar o registo CNAME
Aceda ao seu fornecedor de DNS e adicione um registo CNAME para mapear o seu domínio para <service-name>.azuremicroservices.io
. Aqui, <service-name>
está o nome da sua instância do Azure Spring Apps. Suportamos domínio curinga e subdomínio.
Depois de adicionar o CNAME, a página de registos DNS é semelhante ao seguinte exemplo:
Mapeie seu domínio personalizado para o aplicativo Azure Spring Apps
Se você não tiver um aplicativo no Azure Spring Apps, siga as instruções em Guia de início rápido: implantar seu primeiro aplicativo no Azure Spring Apps.
Use as seguintes etapas para vincular um domínio personalizado ao aplicativo:
Aceda à página de candidatura.
Selecione Domínio personalizado.
Selecione Adicionar domínio personalizado.
Digite o nome de domínio totalmente qualificado para o qual você adicionou um registro CNAME, como
www.contoso.com
. Verifique se o tipo de registro Hostname está definido como CNAME -<service-name>.azuremicroservices.io
.Selecione Validar para ativar o botão Adicionar.
Selecione Adicionar.
Um aplicativo pode ter vários domínios, mas um domínio só pode ser mapeado para um aplicativo. Quando você mapeou com êxito seu domínio personalizado para o aplicativo, ele é exibido na tabela de domínio personalizado.
Nota
Um rótulo Não seguro para seu domínio personalizado significa que ele ainda não está vinculado a um certificado SSL. Qualquer solicitação HTTPS de um navegador para seu domínio personalizado recebe um erro ou aviso.
Adicionar vinculação SSL
Use as seguintes etapas para atualizar um domínio personalizado do aplicativo:
Na tabela de domínio personalizado, selecione Adicionar vinculação ssl, conforme mostrado na figura anterior.
Selecione o seu Certificado ou importe-o.
Selecione Guardar.
Depois de adicionar com êxito a ligação SSL, o estado do domínio é seguro: Íntegro.
Impor HTTPS
Por padrão, qualquer pessoa ainda pode acessar seu aplicativo usando HTTP, mas você pode redirecionar todas as solicitações HTTP para a porta HTTPS.
Na página do aplicativo, na navegação, selecione Domínio personalizado. Em seguida, defina Somente HTTPS como Yes
.
Quando a operação estiver concluída, navegue até qualquer uma das URLs HTTPS que apontam para seu aplicativo. Observe que as URLs HTTP não funcionam.