Renovar certificados de Gateway do Aplicativo

  • Artigo

Em algum momento, você precisará renovar seus certificados se você tiver configurado o gateway de aplicativo para criptografia TLS/SSL.

Há dois locais em que os certificados podem existir: certificados armazenados em Azure Key Vault ou certificados carregados em um gateway de aplicativo.

Certificados no Azure Key Vault

Quando o Gateway de Aplicativo do Azure é configurado para usar certificados do Key Vault, suas instâncias recuperam o certificado do Key Vault e os instalam localmente para terminação TLS. As instâncias sondam o Key Vault em intervalos de quatro horas para recuperar uma versão renovada do certificado, se existir. Se um certificado atualizado for encontrado, o certificado TLS/SSL que está atualmente associado ao ouvinte HTTPS será girado automaticamente.

Dica

Qualquer alteração no gateway do aplicativo forçará uma verificação em relação ao Key Vault para ver se há novas versões de certificados disponíveis. Isso inclui, mas não se limita, a alterações em configurações de IP de front-end, ouvintes, regras, pools de back-end, marcas de recurso e muito mais. Se um certificado atualizado for encontrado, o novo certificado será apresentado imediatamente.

O Gateway de Aplicativo usa um identificador de segredo no Key Vault para fazer referência aos certificados. No Azure PowerShell, na CLI do Azure ou no Azure Resource Manager, é altamente recomendável que você use um identificador de segredo que não especifique uma versão. Dessa forma, o Gateway de Aplicativo girará automaticamente o certificado se houver uma versão mais recente disponível no seu cofre de chaves. Um exemplo de um URI secreto sem uma versão é https://myvault.vault.azure.net/secrets/mysecret/.

Certificados em um gateway de aplicativo

O Gateway de Aplicativo dá suporte ao upload de certificado sem a necessidade de configurar o Azure Key Vault. Para renovar os certificados carregados, use as etapas a seguir para o portal do Azure, Azure PowerShell ou a CLI do Azure.

Portal do Azure

Para renovar um certificado de ouvinte do portal, navegue para os ouvinte de gateway do aplicativo. Selecione o ouvinte que tem um certificado que precisa ser renovado e, em seguida, escolha Renovar ou editar o certificado selecionado.

Renew certificate

Carregue o novo certificado PFX, atribua um nome, digite a senha e, em seguida, selecione Salvar.

Azure PowerShell

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Para renovar seu certificado usando o Azure PowerShell, use o seguinte script:

$appgw = Get-AzApplicationGateway `
  -ResourceGroupName <ResourceGroup> `
  -Name <AppGatewayName>

$password = ConvertTo-SecureString `
  -String "<password>" `
  -Force `
  -AsPlainText

set-AzApplicationGatewaySSLCertificate -Name <oldcertname> `
-ApplicationGateway $appgw -CertificateFile <newcertPath> -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

CLI do Azure

az network application-gateway ssl-cert update \
  -n "<CertName>" \
  --gateway-name "<AppGatewayName>" \
  -g "ResourceGroupName>" \
  --cert-file <PathToCerFile> \
  --cert-password "<password>"

Próximas etapas

Para saber como configurar o descarregamento de TLS com o Gateway de Aplicativo do Azure, veja Configurar descarregamento de TLS.