Pular para o conteúdo principal

Laboratório Técnico: Configure certificates and Transport Layer Security (TLS) for an App Service

Questões

Questão 1 — Múltipla Escolha

Você precisa garantir que um App Service aceite apenas conexões TLS 1.2 ou superior. Ao revisar a configuração atual, percebe que o campo Minimum TLS Version está definido como 1.0. Qual é o caminho correto no portal do Azure para alterar essa configuração?

A) App Service > Networking > TLS/SSL settings > Minimum TLS Version

B) App Service > Configuration > General settings > Minimum TLS Version

C) App Service > Custom domains > TLS/SSL bindings > Protocol version

D) App Service > Identity > TLS enforcement > Minimum TLS Version

Questão 2 — Cenário Técnico

Um desenvolvedor reporta que, ao acessar https://app.contoso.com, o navegador exibe um aviso de certificado inválido. Você verifica o App Service e confirma que um certificado foi carregado e há um binding configurado para o domínio personalizado. A data de validade do certificado é futura e o domínio está corretamente mapeado no DNS.

Ao inspecionar o binding, você encontra a seguinte configuração:

Custom domain: app.contoso.com
Certificate:   contoso-cert (thumbprint: A1B2C3...)
TLS/SSL type:  IP Based SSL

O App Service está em um plano Shared. Qual é a causa mais provável do problema?

A) O certificado não foi exportado com a chave privada incluída no arquivo .pfx

B) O plano Shared não suporta IP Based SSL; o binding deveria ser SNI SSL

C) O tipo IP Based SSL requer um endereço IP dedicado, indisponível no plano Shared

D) O domínio personalizado precisa ser reverificado após a configuração do binding

Questão 3 — Verdadeiro ou Falso

Um certificado gerenciado gratuito do App Service (App Service Managed Certificate) pode ser emitido para um domínio raiz (apex domain), como contoso.com, desde que o domínio esteja mapeado via registro A no DNS.

Questão 4 — Cenário Técnico

Sua equipe precisa implantar o mesmo certificado TLS em três App Services diferentes, todos dentro da mesma assinatura. O certificado foi adquirido de uma autoridade certificadora externa e está disponível como arquivo .pfx com senha. Você deseja centralizar o gerenciamento e evitar carregar o arquivo manualmente em cada App Service.

Qual é a abordagem correta?

A) Carregar o certificado no Azure Key Vault e referenciar o secret em cada App Service via configuração de certificado

B) Converter o .pfx para .cer e importar no repositório de certificados raiz de cada App Service

C) Utilizar o recurso App Service Certificate para emitir um novo certificado vinculado automaticamente aos três apps

D) Importar o .pfx diretamente em um App Service e exportar o thumbprint para os demais via ARM template

Questão 5 — Múltipla Escolha

Você configura o binding TLS de um App Service usando SNI SSL. Pouco depois, um cliente relata que conexões feitas por um dispositivo legado com Windows XP e Internet Explorer 6 falham com erro de handshake. Qual é a razão técnica correta para essa falha?

A) O SNI SSL exige TLS 1.2, que não é suportado pelo Internet Explorer 6

B) O SNI SSL depende de uma extensão do protocolo TLS que clientes legados sem suporte a SNI não enviam, impedindo que o servidor identifique o certificado correto

C) O binding SNI SSL não funciona com certificados de autoridades certificadoras externas, apenas com certificados gerenciados

D) O Internet Explorer 6 não suporta certificados com chave RSA de 2048 bits, exigidos pelo App Service

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

A configuração de versão mínima do TLS fica em Configuration > General settings, dentro da seção de configurações de plataforma do App Service. É nesse painel que se controla comportamentos gerais do runtime, incluindo a versão mínima de TLS aceita.

As demais alternativas representam equívocos comuns: "Networking" trata de integração de rede virtual e restrições de acesso; "Custom domains" gerencia o mapeamento de domínios e os bindings, mas não a versão do protocolo; "Identity" é relacionado a identidades gerenciadas, sem qualquer relação com TLS.

Escolher a alternativa A ou C levaria o administrador a procurar uma configuração em um local inexistente, sem efeito sobre a versão mínima de protocolo aceita.

Gabarito — Questão 2

Resposta: C

O binding IP Based SSL aloca um endereço IP dedicado para o App Service, e esse recurso não está disponível no plano Shared. Planos Shared são voltados para desenvolvimento e não oferecem infraestrutura dedicada. Para usar IP Based SSL, o App Service precisa estar em um plano Basic ou superior.

A alternativa B é tecnicamente relacionada, mas imprecisa: o problema não é que o binding "deveria ser SNI SSL" como correção de configuração, e sim que o plano atual simplesmente não suporta o tipo de binding escolhido, o que impede que o binding funcione corretamente.

A alternativa A seria relevante apenas no momento do upload do certificado, não após o binding já estar configurado. A alternativa D é um distrator plausível, mas a reverificação de domínio não tem relação com o aviso de certificado inválido no navegador.

Gabarito — Questão 3

Resposta: Falso

O App Service Managed Certificate não suporta domínios raiz (apex domains). Ele é emitido apenas para subdomínios, como www.contoso.com, e exige que o domínio esteja mapeado via registro CNAME apontando para o hostname padrão do App Service. Registros A não são aceitos para a emissão desse tipo de certificado.

Essa limitação é relevante porque apex domains frequentemente usam registros A (ou ALIAS/ANAME em alguns provedores DNS), e administradores que tentam emitir um certificado gerenciado para contoso.com receberão erro. Para cobrir apex domains com TLS, é necessário carregar um certificado externo ou usar um App Service Certificate.

Gabarito — Questão 4

Resposta: A

A abordagem correta é armazenar o certificado no Azure Key Vault e referenciá-lo em cada App Service. O App Service tem integração nativa com o Key Vault: ao importar um certificado a partir de um Key Vault secret, o serviço obtém o certificado automaticamente e ainda realiza a renovação quando o secret é atualizado. Isso centraliza o gerenciamento e elimina o upload manual repetido.

A alternativa C é um distrator plausível, mas o App Service Certificate é um produto para emissão e renovação de certificados via parceiro da Microsoft (GoDaddy), não para importar certificados externos já adquiridos.

A alternativa D representa um antipadrão: o thumbprint identifica o certificado carregado localmente, mas não é um mecanismo de distribuição entre App Services distintos. Cada App Service exige seu próprio binding com o certificado presente em seu contexto.

Gabarito — Questão 5

Resposta: B

O SNI (Server Name Indication) é uma extensão do protocolo TLS que permite ao cliente informar, durante o handshake, qual hostname está tentando acessar. Isso permite que um único endereço IP sirva múltiplos certificados. Clientes que não implementam SNI, como navegadores em Windows XP, não enviam essa informação, e o servidor não consegue determinar qual certificado apresentar, resultando em falha no handshake.

A alternativa A é incorreta: SNI não impõe uma versão mínima de TLS por si só. A restrição de versão de protocolo é configurada separadamente.

A alternativa D é um distrator plausível para quem confunde limitações de cliente com restrições do servidor, mas o problema real é a ausência de suporte a SNI, não ao tamanho da chave RSA.