Integração Azure CDN com Let’s Encrypt

Primeiramente, é importante que você compreenda que a solução de integração Azure CDN é específica de orientação técnica para projetos Criação .cc que não se enquadrem com o uso da Cloudflare como solução.

Neste tutorial, você aprenderá a configurar um certificado SSL, armazená-lo no Azure Key Vault e implementar HTTPS usando Azure CDN (Classic). Esses passos garantirão uma conexão segura para seu site.

Geração do certificado

O certificado SSL é requisito essencial para configurar o https na borda. Esse certificado será gerado pelo Let ‘s Encrypt utilizando a chave RSA e transformado em PFX (formato que o Azure Key Vault aceita). O certificado será gerado para o domínio principal, e subdomínio www e origin, que será utilizado para validação pela Azure CDN.

A geração do certificado é executada em conjunto com o time da Criação .cc, onde criamos manualmente os registros para validação manual. Isso significa que teremos de realizar algumas ações específicas para provar a posse do domínio para o qual está solicitando o certificado. Essas ações vão incluir a adição de registros DNS.

Nesta etapa o time da Criação .cc executará os comandos para a emissão dos registros para validação do domínio. O mesmo fornecerá 3 registros do tipo TXT a serem inseridos na sua Zona de DNS, o Certbot irá exibir uma mensagem semelhante à seguinte, pedindo para você adicionar um registro de DNS:

As informações acima serão fornecidas pelo time da Criação .cc

Abra o painel de controle do seu provedor de domínio ou serviço de hospedagem DNS e adicione um registro DNS TXT conforme instruído, e após a inserção o Let ‘s Encrypt realizará a validação do seu domínio.

Criação do Vault

O Key Vault é usado para armazenar o certificado que será usado na borda.

1. Para criar um, acessar a busca e procurar por Key Vault

2. Clicar em Create
   
3. Preencher as informações
4. Após criado, acessar a seção Access configuration e trocar a política para Vault access policy
   
5. No menu Access policies, adicione permissões para o seu usuário para criar certificados.
6. Marcar todas as opções
7. Em principal, selecionar seu usuário
8. Avançar e criar.
9. Após, acessar o menu Certificates e clicar em Generate/Import
   
10. Selecionar a opção Import e selecionar o arquivo pfx gerado
11. Caso dê certo, ficará da seguinte forma.
12. Em cada certificado, é possível criar versões. Ou seja, quando o cert for renovado, deve ser feita uma nova versão.

Configuração de DNS

Adicione uma entrada DNS que aponte para o nosso servidor com o IP 45.32.171.118.

Configuração Azure Content Delivery

1. No portal Azure, clique em criar um recurso
   
2. Procure e selecione Front Door and CDN profiles e clique em Criar :
   
3. Selecione Azure CDN Standard from Microsoft (classic) em Explore other offerings e clique em continuar.
   
4. Configure o Resource group e preencha as seguintes informações:
   • Nome: cdn-criacao-cc
   • Marque: Criar um novo ponto de extremidade CDN
   • Nome de ponto de acesso de extremidade CND: nome do domínio
   • Tipo de origem: Custom origin
   • Nome do host de origem: origin.[domínio]
   • Comportamento de cache da cadeia de caracteres de consulta: Ignore query strings
     
5. Clique em Examinar + Criar e depois Criar para criar o perfil.
   
   OBS: Após o recurso terminar sua criação (o que pode demorar alguns minutos), iremos configurar o domínio customizado e configurar o origin.
   
6. A criação, acesse o Endpoint
   
7. Vá para Origin, selecione a origem criada na etapa anterior.
   
8. Configure o Origin host header com o domínio do site. Por padrão virá com o mesmo valor do hostname.
   
9. Clicar em Salvar
10. Em seguida clique em Configurar Origem
    
11. Desative o HTTP
    

Domínio personalizado na CDN

Para configurar um custom domain na CDN é preciso alterar o apontamento de DNS. Para isso, acessar o serviço DNS Zones.

1. No serviço DNS Zones, acesse a zona do seu domínio, adicione um novo registro clicando em Conjunto de registros, marcando Conjunto de Registro de Alias como Sim e selecionando a CDN como Azure resource.
2. Clique em Ok
3. Volte para o Perfil de CDN criado
   
4. Vá para Domínios personalizados
   
5. E adicione um novo custom domain, preenchendo com o domínio.
   
6. Preencha com o domínio
   
7. Ative o HTTPS marcando “Custom domain HTTPS” como Ligado
8. e selecione o certificado do Key Vault,  selecione Use my own certificate.
   
9. Selecione o certificado que foi salvo no vault. Deixe marcado como Latest na versão. Assim que uma nova versão for feita upload, já irá aplicar.
   
   Nesse momento será necessário executar um comando no Power Shell. Esse comando deve ser feito por um administrador. Isso criará uma aplicação para poder dar permissão no key vault. Abra uma nova aba na azure para a execução.
   
   
10. Abrir o Power Shell
    
    
    
    Se for solicitado para criar uma conta de cloud storage, clique em criar.
    
    Executar o comando informado na CDN:
    
    > New-AzADServicePrincipal -ApplicationId “205478c0-bd83-4e1b-a9d6-db63a3e1e1c8”
    
    
    
11. Após sucesso, acessar o key vault, em access policies. Clicar em Create, marque as seguintes permissões e clique em Próximo:
    
12. Em principal, colar o ID informado anteriormente e selecionar a aplicação Microsoft.AzureFrontDoor-Cdn e clique em Salvar.
    
13. Voltar para a aba do domínio
    
    Aguardar o deploy do certificado. Esse processo pode demorar alguns minutos.

Com isso, estará configurado o domínio customizado.

HTTP para HTTPS

1. Acessar a opção Mecanismo de regras na CDN
   
   
2. Clicar em Adicionar regras
   
3. Preencher da seguinte forma
   
4. Clicar em Adicionar ação
   
5. Preencher da seguinte forma. Em hostname, colocar o host do site, o mesmo configurado em origin.
   

Desativar cache

Ainda na seção de regras da CDN, como ainda não temos controle de cache, é preciso criar uma page rule para dar ByPass no cache

Aproveite e confira outros tutoriais da categoria Domínio, aqui.