تكوين HTTPS على مجال مخصص Azure Front Door (كلاسيكي)
هام
سيتم إيقاف Azure Front Door (الكلاسيكي) في 31 مارس 2027. لتجنب أي تعطيل للخدمة، من المهم ترحيل ملفات تعريف Azure Front Door (الكلاسيكية) إلى مستوى Azure Front Door Standard أو Premium بحلول مارس 2027. لمزيد من المعلومات، راجع إيقاف Azure Front Door (الكلاسيكي).
توضح هذه المقالة كيفية تمكين HTTPS لمجال مخصص مقترن ب Front Door (كلاسيكي). يضمن استخدام HTTPS على مجالك المخصص (على سبيل المثال، https://www.contoso.com) نقل البيانات الآمن عبر تشفير TLS/SSL. عندما يتصل مستعرض ويب بموقع ويب باستخدام HTTPS، فإنه يتحقق من صحة شهادة أمان موقع الويب ويتحقق من شرعيته، ويوفر الأمان ويحمي تطبيقات الويب الخاصة بك من الهجمات الضارة.
يدعم Azure Front Door HTTPS بشكل افتراضي على اسم المضيف الافتراضي الخاص به (على سبيل المثال، https://contoso.azurefd.net). ومع ذلك، تحتاج إلى تمكين HTTPS بشكل منفصل للمجالات المخصصة مثل www.contoso.com.
تتضمن السمات الرئيسية لميزة HTTPS المخصصة ما يلي:
- لا توجد تكلفة إضافية: لا توجد تكاليف للحصول على الشهادة أو التجديد أو حركة مرور HTTPS.
- التمكين البسيط: التزويد من تحديد واحد عبر مدخل Microsoft Azure أو واجهة برمجة تطبيقات REST أو أدوات المطور الأخرى.
- إدارة الشهادات الكاملة: الشراء التلقائي للشهادات وتجديدها، مما يلغي خطر انقطاع الخدمة بسبب الشهادات منتهية الصلاحية.
ستتعرف في هذا البرنامج التعليمي على:
- تمكين HTTPS على مجالك المخصص.
- استخدم شهادة مدارة بواسطة AFD.
- استخدم شهادة TLS/SSL الخاصة بك.
- تحقق من المجال.
- تعطيل HTTPS على مجالك المخصص.
إشعار
نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.
المتطلبات الأساسية
قبل البدء، تأكد من أن لديك Front Door مع مجال مخصص واحد على الأقل. لمزيد من المعلومات، راجع البرنامج التعليمي: إضافة مجال مخصص إلى Front Door.
شهادات TLS/SSL
لتمكين HTTPS على مجال مخصص ل Front Door (كلاسيكي)، تحتاج إلى شهادة TLS/SSL. يمكنك إما استخدام شهادة يديرها Azure Front Door أو الشهادة الخاصة بك.
الخيار 1 (افتراضي): استخدام شهادة يديرها Front Door
يتيح لك استخدام شهادة يديرها Azure Front Door تمكين HTTPS مع بعض التغييرات في الإعدادات. يعالج Azure Front Door جميع مهام إدارة الشهادات، بما في ذلك الشراء والتجديد. إذا تم تعيين مجالك المخصص بالفعل إلى مضيف الواجهة الأمامية الافتراضي ({hostname}.azurefd.net)، فلا يلزم اتخاذ أي إجراء آخر. وإلا، يجب التحقق من صحة ملكية المجال عبر البريد الإلكتروني.
لتمكين HTTPS على مجال مخصص:
حدد المجال المخصص الذي تريد تمكين HTTPS له من قائمة مضيفي الواجهة الأمامية.
ضمن المجال المخصص HTTPS، حدد Enabled واختر Front Door managed كمصدر الشهادة.
حدد حفظ.
تابع للتحقق من صحة المجال.
إشعار
- يتم فرض حد 64 حرفا ل DigiCert للشهادات المدارة بواسطة Azure Front Door. سيفشل التحقق من الصحة إذا تم تجاوز هذا الحد.
- تمكين HTTPS عبر الشهادة المدارة من Front Door غير مدعوم لمجالات الذروة/الجذر (على سبيل المثال، contoso.com). استخدم الشهادة الخاصة بك لهذا السيناريو (راجع الخيار 2).
الخيار 2: استخدم الشهادة الخاصة بك.
يمكنك استخدام شهادتك الخاصة من خلال التكامل مع Azure Key Vault. تأكد من أن شهادتك من قائمة المرجع المصدق الموثوق به من Microsoft وأن لها سلسلة شهادات كاملة.
قم بإعداد Key Vault والشهادة
- إنشاء حساب key vault في نفس اشتراك Azure مثل Front Door الخاص بك.
- قم بتكوين مخزن المفاتيح الخاص بك للسماح خدمات Microsoft الموثوقة بتجاوز جدار الحماية إذا تم تمكين قيود الوصول إلى الشبكة.
- استخدم نموذج إذن نهج الوصول إلى Key Vault.
- تحميل الشهادة ككائن شهادة، وليس سرا.
إشعار
لا يدعم Front Door الشهادات ذات خوارزميات تشفير المنحنى خوارزميات التشفير(EC). يجب أن تحتوي الشهادة على سلسلة شهادات كاملة مع شهادات طرفية ومتوسطة، ويجب أن يكون المرجع المصدق الجذر جزءا من قائمة المرجع المصدق الموثوق به من Microsoft.
سجّل Azure Front Door
تسجيل كيان خدمة Azure Front Door في معرف Microsoft Entra باستخدام Azure PowerShell أو Azure CLI.
Azure PowerShell
تثبيت Azure PowerShell إذا لزم الأمر.
شغّل الأمر التالي:
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI
تثبيت Azure CLI إذا لزم الأمر.
شغّل الأمر التالي:
az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
امنح Azure Front Door الوصول إلى المخزن الرئيسي الخاصة بك
حدد في Key Vault الخاصة بك في قسم الإعدادات"سياسات الوصول".
لإنشاء قرص مدار جديد حدد"+ Create".
في Secret permissions، حدد Get.
في Certificate permissions، حدد Get.
في Select principal، ابحث عن ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 وحدد Microsoft.Azure.Frontdoor. حدد التالي.
حدد التالي في التطبيق.
حدد إنشاء في مراجعة + إنشاء.
إشعار
إذا كان مخزن المفاتيح الخاص بك يحتوي على قيود الوصول إلى الشبكة، فاسمح خدمات Microsoft الموثوقة بالوصول إلى خزنة المفاتيح الخاصة بك.
حدد الشهادة الخاصة بـ Azure Front Door لنشرها
العودة إلى Front Door الخاص بك في المدخل.
حدد المجال المخصص الذي تريد تمكين HTTPS له.
ضمن نوع إدارة الشهادات، حدد استخدام الشهادة الخاصة بي.
حدد المخزن الرئيسي والسري والإصدار السري.
إشعار
لتمكين التدوير التلقائي للشهادة، قم بتعيين الإصدار السري إلى "الأحدث". إذا تم تحديد إصدار معين، يجب تحديثه يدويا لتدوير الشهادة.
تحذير
تأكد من أن كيان الخدمة الخاص بك لديه إذن GET على Key Vault. لمشاهدة الشهادة في القائمة المنسدلة للمدخل، يجب أن يكون لدى حساب المستخدم الخاص بك أذونات LIST و GET على Key Vault.
عند استخدام الشهادة الخاصة بك، لا يلزم التحقق من صحة المجال. تابع إلى انتظار النشر.
التحقق من صحة المجال
إذا تم تعيين مجالك المخصص إلى نقطة النهاية المخصصة باستخدام سجل CNAME أو كنت تستخدم شهادتك الخاصة، فتابع إلى تعيين المجال المخصص إلى Front Door. وإلا، اتبع الإرشادات الموجودة في المجال المخصص التي لم يتم تعيينها إلى Front Door.
تم تعيين المجال المخصص إلى Front Door باستخدام سجل CNAME
إذا كان سجل CNAME الخاص بك لا يزال موجودا ولا يحتوي على المجال الفرعي afdverify، فإن DigiCert يتحقق تلقائيا من ملكية المجال المخصص.
يجب أن يكون سجل CNAME الخاص بك بالتنسيق التالي:
| Name | نوع | القيمة |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
لمزيد من المعلومات حول سجلات CNAME، راجع إنشاء سجل DNS CNAME.
إذا كان سجل CNAME الخاص بك صحيحا، فإن DigiCert يتحقق تلقائيا من مجالك المخصص وينشئ شهادة مخصصة. الشهادة صالحة لمدة سنة واحدة ويتم التجديد التلقائي قبل انتهاء صلاحيتها. تابع إلى انتظار النشر.
إشعار
إذا كان لديك سجل تفويض المرجع المصدق (CAA) مع مزود DNS الخاص بك، فإنه يجب أن يتضمن DigiCert باعتباره مرجعًا مصدقًا صالحًا. لمزيد من المعلومات، راجع إدارة سجلات CAA.
لم يتم تعيين المجال المخصص إلى Front Door
إذا لم يعد إدخال سجل CNAME لنقطة النهاية موجودا أو يحتوي على المجال الفرعي afdverify، فاتبع هذه الإرشادات.
بعد تمكين HTTPS على مجالك المخصص، يتحقق DigiCert من الملكية عن طريق الاتصال بمسجل المجال عبر البريد الإلكتروني أو الهاتف المدرج في تسجيل WHOIS. يجب إكمال التحقق من صحة المجال في غضون ستة أيام عمل. يعمل التحقق من مجال DigiCert على مستوى النطاق الفرعي.
يرسل DigiCert أيضا بريدا إلكترونيا للتحقق من الصحة إلى العناوين التالية إذا كانت معلومات مسجل WHOIS خاصة:
- <admin@your-domain-name.com>
- <administrator@your-domain-name.com>
- <webmaster@your-domain-name.com>
- <hostmaster@your-domain-name.com>
- <postmaster@your-domain-name.com>
يجب أن تتلقى رسالة بريد إلكتروني تطلب منك الموافقة على الطلب. إذا لم تتلقَّ رسالة بريد إلكتروني خلال 24 ساعة، فاتصل بدعم Microsoft.
بعد الموافقة، يكمل DigiCert إنشاء الشهادة. الشهادة صالحة لمدة سنة واحدة ويتم التجديد التلقائي إذا تم تعيين سجل CNAME إلى اسم المضيف الافتراضي ل Azure Front Door.
إشعار
يتطلب التجديد التلقائي للشهادة المدارة تعيين مجالك المخصص مباشرة إلى اسم مضيف .azurefd.net الافتراضي ل Front Door بواسطة سجل CNAME.
انتظر التكاثر
بعد التحقق من صحة المجال، قد يستغرق تنشيط ميزة HTTPS للمجال المخصص ما يصل إلى 6-8 ساعات. عند الاكتمال، يتم تعيين حالة HTTPS المخصصة في مدخل Microsoft Azure إلى ممكن.
تقدم العملية
يوضح الجدول التالي تقدم العملية عند تمكين HTTPS:
| خطوة العملية | تفاصيل العملية الفرعية |
|---|---|
| 1. إرسال الطلب | تقديم الطلب |
| يتم تقديم طلب HTTPS الخاص بك. | |
| تم إرسال طلب HTTPS بنجاح. | |
| 2. التحقق من صحة المجال | يتم التحقق من صحة المجال تلقائيا إذا تم تعيين CNAME إلى مضيف الواجهة الأمامية الافتراضي .azurefd.net. وإلا، يتم إرسال طلب تحقق إلى البريد الإلكتروني المدرج في سجل تسجيل مجالك (مسجل WHOIS). تحقق من المجال في أقرب وقت ممكن. |
| تم التحقق من صحة ملكية المجال بنجاح. | |
| انتهت صلاحية طلب التحقق من صحة ملكية المجال (من المحتمل أن العميل لم يستجب في غضون ستة أيام). لم يتم تمكين HTTPS على مجالك. * | |
| رفض العميل طلب التحقق من صحة ملكية المجال. لم يتم تمكين HTTPS على مجالك. * | |
| 3. تزويد الشهادات | يصدر المرجع المصدق الشهادة المطلوبة لتمكين HTTPS على مجالك. |
| تم إصدار الشهادة ويتم نشرها ل Front Door الخاص بك. قد تستغرق هذه العملية عدة دقائق إلى ساعة. | |
| تم نشر الشهادة بنجاح ل Front Door الخاص بك. | |
| 4. مكتمل | تم تمكين HTTPS بنجاح على مجالك. |
* تظهر هذه الرسالة فقط في حالة حدوث خطأ.
في حالة حدوث خطأ قبل إرسال الطلب، يتم عرض رسالة الخطأ التالية:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
الأسئلة الشائعة
من هو موفر الشهادة ونوع الشهادة المستخدمة؟
يتم استخدام شهادة مخصصة/واحدة، مقدمة من DigiCert، لمجالك المخصص.
هل تستخدم بروتوكول الإنترنت أو SNI TLS/SSL؟
يستخدم Azure Front Door SNI TLS/SSL.
ماذا لو لم أتلقى البريد الإلكتروني للتحقق من المجال من DigiCert؟
إذا كان لديك إدخال CNAME لمجالك المخصص يشير مباشرة إلى اسم مضيف نقطة النهاية ولا تستخدم اسم المجال الفرعي afdverify، فلن تتلقى بريدا إلكترونيا للتحقق من المجال. يتم التحقق من الصحة تلقائيًا. وإلا، إذا لم يكن لديك إدخال CNAME ولم تتلق رسالة بريد إلكتروني في غضون 24 ساعة، فاتصل بدعم Microsoft.
هل استخدام شهادة SAN أقل أمانا من شهادة مخصصة؟
تتبع شهادة SAN نفس معايير التشفير والأمان مثل الشهادة المخصصة. تستخدم جميع شهادات TLS/SSL الصادرة SHA-256 لتحسين أمان الخادم.
هل أحتاج إلى سجل تخويل المرجع المصدق مع موفر DNS الخاص بي؟
لا، سجل تفويض المرجع المصدق، غير مطلوب حاليًا. ومع ذلك، إذا كان لديك واحد، فإنه يجب أن يتضمن DigiCert كمرجع مصدق صالح.
تنظيف الموارد
لتعطيل HTTPS على مجالك المخصص:
قم بتعطيل ميزة HTTPS
حدد المجال المخصص الذي تريد تعطيل HTTPS له.
حدد معطل وحدد حفظ.
انتظر التكاثر
بعد تعطيل ميزة HTTPS للمجال المخصص، قد يستغرق سريان مفعولها ما يصل إلى 6-8 ساعات. عند الاكتمال، يتم تعيين حالة HTTPS المخصصة في مدخل Microsoft Azure إلى معطل.
تقدم العملية
يعرض الجدول التالي تقدم العملية عند تعطيل HTTPS:
| تقدم العملية | تفاصيل العملية |
|---|---|
| 1. إرسال الطلب | تقديم طلبك |
| 2. إلغاء تزويد الشهادة | حذف الشهادة |
| 3. مكتمل | تم حذف الشهادة |
الخطوات التالية
لمعرفة كيفية إعداد نهج تصفية جغرافية ل Front Door الخاص بك، تابع البرنامج التعليمي التالي.