Megosztás a következőn keresztül:

HTTPS konfigurálása egyéni Azure Front Door-tartományon

  • Cikk

Fontos

Az Azure Front Door (klasszikus) 2027. március 31-én megszűnik. A szolgáltatáskimaradás elkerülése érdekében fontos, hogy az Azure Front Door (klasszikus) profiljait 2027 márciusára migrálja az Azure Front Door Standard vagy Prémium szintre. További információkért lásd az Azure Front Door (klasszikus) kivonását.

Ez a cikk bemutatja, hogyan engedélyezheti a HTTPS-t a Front Doorhoz (klasszikus) társított egyéni tartományhoz. A HTTPS használata az egyéni tartományon (például ) biztosítja a https://www.contoso.combiztonságos adatátvitelt TLS/SSL-titkosítással. Amikor egy webböngésző HTTPS használatával csatlakozik egy webhelyhez, ellenőrzi a webhely biztonsági tanúsítványát, és ellenőrzi annak legitimitását, biztosítva a biztonságot, és védi a webalkalmazásokat a rosszindulatú támadásoktól.

Az Azure Front Door alapértelmezés szerint támogatja a HTTPS-t az alapértelmezett gazdagépnéven (például https://contoso.azurefd.net). Azonban külön kell engedélyeznie a HTTPS-t az egyéni tartományokhoz, például www.contoso.coma .

Az egyéni HTTPS-funkció fő attribútumai a következők:

  • Nincs extra költség: Nincs költség a tanúsítvány beszerzéséhez, megújításához vagy HTTPS-forgalomhoz.
  • Egyszerű engedélyezés: Egyszeri kiépítés az Azure Portalon, a REST API-val vagy más fejlesztői eszközökkel.
  • Teljes tanúsítványkezelés: Automatikus tanúsítványbeszerzés és -megújítás, amely kiküszöböli a lejárt tanúsítványok miatti szolgáltatáskimaradás kockázatát.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Engedélyezze a HTTPS-t az egyéni tartományon.
  • AFD által felügyelt tanúsítvány használata.
  • Használjon saját TLS/SSL-tanúsítványt.
  • A tartomány érvényesítése
  • Tiltsa le a HTTPS-t az egyéni tartományán.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

A kezdés előtt győződjön meg arról, hogy a Front Door rendelkezik legalább egy egyéni tartománnyal. További információkért lásd: Útmutató: Egyéni tartomány hozzáadása a Front Doorhoz

TLS-/SSL-tanúsítványok

A HTTPS front door (klasszikus) egyéni tartományon való engedélyezéséhez TLS-/SSL-tanúsítványra van szükség. Használhatja az Azure Front Door által felügyelt tanúsítványt vagy a saját tanúsítványát.

1. lehetőség (alapértelmezett): A Front Door által felügyelt tanúsítvány használata

Az Azure Front Door által felügyelt tanúsítvány használatával néhány beállításmódosítással engedélyezheti a HTTPS-t. Az Azure Front Door kezeli az összes tanúsítványkezelési feladatot, beleértve a beszerzést és a megújítást is. Ha az egyéni tartomány már le van képezve a Front Door alapértelmezett előtér-gazdagépére ({hostname}.azurefd.net), nincs szükség további műveletre. Ellenkező esetben e-mailben kell ellenőriznie a tartomány tulajdonjogát.

A HTTPS engedélyezése egyéni tartományon:

  1. Az Azure Portalon nyissa meg a Front Door-profilját.

  2. Válassza ki azt az egyéni tartományt, amelyhez engedélyezni szeretné a HTTPS-t az előtérbeli gazdagépek listájából.

  3. Az Egyéni tartomány HTTPS területén válassza az Engedélyezve lehetőséget, és válassza a Tanúsítványforrásként kezelt Front Door lehetőséget.

  4. Válassza a Mentés lehetőséget.

  5. Folytassa A tartomány érvényesítése című szakasszal.

Feljegyzés

  • A DigiCert 64 karakteres korlátja érvényes az Azure Front Door által felügyelt tanúsítványokra. Az ellenőrzés sikertelen lesz, ha túllépi ezt a korlátot.
  • A HTTPS Front Door által felügyelt tanúsítványon keresztüli engedélyezése nem támogatott a csúcs/gyökértartományok esetében (például contoso.com). Ehhez a forgatókönyvhöz használja a saját tanúsítványát (lásd a 2. lehetőséget).

2. lehetőség: Saját tanúsítvány használata

Saját tanúsítványát az Azure Key Vaulttal való integrációval használhatja. Győződjön meg arról, hogy a tanúsítvány a Microsoft megbízható hitelesítésszolgáltatói listájából származik, és teljes tanúsítványlánccal rendelkezik.

Készítse elő a kulcstartót és a tanúsítványt

  • Hozzon létre egy Key Vault-fiókot ugyanabban az Azure-előfizetésben, mint a Front Door.
  • Konfigurálja úgy a kulcstartót, hogy a megbízható Microsoft-szolgáltatások megkerülhesse a tűzfalat, ha engedélyezve vannak a hálózati hozzáférési korlátozások.
  • Használja a Key Vault hozzáférési szabályzat engedélymodellt.
  • Töltse fel a tanúsítványt tanúsítványobjektumként, nem titkos kulcsként.

Feljegyzés

A Front Door nem támogatja a háromliptikus görbe (EC) titkosítási algoritmusokkal rendelkező tanúsítványokat. A tanúsítványnak teljes tanúsítványláncgal kell rendelkeznie levél- és köztes tanúsítványokkal, a legfelső szintű hitelesítésszolgáltatónak pedig a Microsoft megbízható hitelesítésszolgáltatói listájának része kell lennie.

Az Azure Front Door regisztrálása

Regisztrálja az Azure Front Door szolgáltatásnevet a Microsoft Entra-azonosítójában az Azure PowerShell vagy az Azure CLI használatával.

Azure PowerShell

  1. Szükség esetén telepítse az Azure PowerShellt .

  2. Futtassa az alábbi parancsot:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI

  1. Szükség esetén telepítse az Azure CLI-t .

  2. Futtassa az alábbi parancsot:

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Hozzáférés biztosítása az Azure Front Door számára a Key Vaulthoz

  1. A Key Vault-fiókban válassza a Hozzáférési szabályzatok elemet.

  2. Válassza a Létrehozás lehetőséget egy új hozzáférési szabályzat létrehozásához.

  3. A Titkos kódok engedélyeiben válassza a Beolvasás lehetőséget.

  4. A Tanúsítványengedélyek területen válassza a Beolvasás lehetőséget.

  5. Az Egyszerű kiválasztása területen keressen rá az ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 kifejezésre, és válassza a Microsoft.Azure.Frontdoor lehetőséget. Válassza a Tovább lehetőséget.

  6. Válassza a Tovább gombot az alkalmazásban.

  7. Válassza a Létrehozás a Véleményezés + létrehozás lehetőséget.

Feljegyzés

Ha a kulcstartó hálózati hozzáférési korlátozásokkal rendelkezik, engedélyezze a megbízható Microsoft-szolgáltatások számára a kulcstartó elérését.

Válassza ki az Azure Front Door által üzembe helyezendő tanúsítványt

  1. Lépjen vissza a Front Doorhoz a portálon.

  2. Válassza ki azt az egyéni tartományt, amelyhez engedélyezni szeretné a HTTPS-t.

  3. A Tanúsítványkezelés típusa csoportban válassza a Saját tanúsítvány használata lehetőséget.

  4. Válassza ki a kulcstartó, a titkos kulcs és a titkos kulcs verziót.

    Feljegyzés

    Az automatikus tanúsítványváltás engedélyezéséhez állítsa a titkos verziót a "Legújabb" értékre. Ha egy adott verzió van kiválasztva, manuálisan frissítenie kell a tanúsítvány elforgatásához.

    Figyelmeztetés

    Győződjön meg arról, hogy a szolgáltatásnév rendelkezik GET engedéllyel a Key Vaulton. A tanúsítvány portál legördülő listájának megtekintéséhez a felhasználói fióknak LIST és GET engedélyekkel kell rendelkeznie a Key Vaulton.

  5. Saját tanúsítvány használata esetén nincs szükség tartományérvényesítésre. Lépjen tovább a Várakozás a propagálásra részhez.

A tartomány érvényesítése

Ha az egyéni tartomány egy CNAME rekorddal van leképezve az egyéni végpontra, vagy saját tanúsítványt használ, folytassa az Egyéni tartomány leképezésével a Front Doorhoz. Ellenkező esetben kövesse az Egyéni tartomány utasításait , és ne rendelje hozzá a Front Doorhoz.

Az egyéni tartomány le van képezve a Front Doorra egy CNAME rekorddal

Ha a CNAME rekord továbbra is létezik, és nem tartalmazza az afdverify altartományt, a DigiCert automatikusan ellenőrzi az egyéni tartomány tulajdonjogát.

A CNAME rekordnak a következő formátumban kell lennie:

Név Típus Érték
<www.contoso.com> CNAME contoso.azurefd.net

A CNAME rekordokkal kapcsolatos további információért tekintse meg a CNAME DNS-rekord létrehozását ismertető részt.

Ha a CNAME rekord helyes, a DigiCert automatikusan ellenőrzi az egyéni tartományt, és létrehoz egy dedikált tanúsítványt. A tanúsítvány egy évig érvényes, és a lejárat előtt automatikusan megjelenik. Folytassa ezzel: Várakozás a propagálásra.

Feljegyzés

Ha van egy Hitelesítésszolgáltatói engedélyezési (CAA-) rekordja a DNS-szolgáltatónál, tartalmaznia kell a DigiCertet mint érvényes hitelesítésszolgáltatót. További információ: CAA-rekordok kezelése.

Az egyéni tartomány nincs leképezve a Front Doorra

Ha a végpont CNAME rekordbejegyzése már nem létezik vagy tartalmazza az afdverify altartományt, kövesse az alábbi utasításokat.

Miután engedélyezte a HTTPS-t az egyéni tartományon, a DigiCert ellenőrzi a tulajdonjogot a tartomány regisztrálójával a WHOIS-regisztrációban felsorolt e-mailen vagy telefonon keresztül. A tartományérvényesítést hat munkanapon belül el kell végeznie. A DigiCert-tartomány érvényesítése az altartomány szintjén működik.

A WHOIS-rekord képernyőképe.

A DigiCert az alábbi címekre is küld ellenőrző e-mailt, ha a WHOIS regisztrálójának adatai privátak:

  • admin@<az-ön-tartományneve.com>
  • administrator@<az-ön-tartományneve.com>
  • webmaster@<az-ön-tartományneve.com>
  • hostmaster@<az-ön-tartományneve.com>
  • postmaster@<az-ön-tartományneve.com>

Kapnia kell egy e-mailt, amely a kérés jóváhagyását kéri. Ha 24 órán belül nem kapja meg az e-mailt, lépjen kapcsolatba a Microsoft támogatási szolgálatával.

A jóváhagyás után a DigiCert befejezi a tanúsítvány létrehozását. A tanúsítvány egy évig érvényes, és automatikusan megjelenik, ha a CNAME rekord az Azure Front Door alapértelmezett állomásnevére van leképezve.

Feljegyzés

A felügyelt tanúsítvány autorenewal használatához az egyéni tartományt közvetlenül a Front Door alapértelmezett .azurefd.net állomásnevére kell leképezni egy CNAME rekorddal.

Várakozás a propagálásra

A tartományérvényesítés után akár 6–8 órát is igénybe vehet az egyéni tartomány HTTPS-funkciójának aktiválása. Ha elkészült, az Azure Portal egyéni HTTPS-állapota engedélyezve van.

Műveleti folyamat

Az alábbi táblázat a HTTPS engedélyezésekor a művelet előrehaladását mutatja be:

Műveleti lépés Műveleti allépés részletei
1. Kérelem beküldése Kérés elküldése
A HTTPS-kérés küldése folyamatban van.
A HTTPS-kérés elküldése sikeresen megtörtént.
2. Tartományérvényesítés A rendszer automatikusan ellenőrzi, hogy a CNAME megfelel-e az alapértelmezett .azurefd.net előtér-gazdagépnek. Ellenkező esetben a rendszer ellenőrző kérelmet küld a tartomány regisztrációs rekordjában (WHOIS-regisztráló) szereplő e-mailre. Minél hamarabb igazolja vissza a tartományt.
A tartomány tulajdonjogának ellenőrzése sikeresen megtörtént.
A tartomány tulajdonjogának érvényesítése iránti kérelem lejárt (az ügyfél valószínűleg hat napon belül nem válaszolt). A HTTPS nincs engedélyezve a tartományán. *
Az ügyfél elutasította a tartomány tulajdonjogának érvényesítési kérését. A HTTPS nincs engedélyezve a tartományán. *
3. Tanúsítványkiépítés A hitelesítésszolgáltató kiadja a HTTPS tartományon való engedélyezéséhez szükséges tanúsítványt.
A tanúsítványt kiadták, és üzembe helyezték a Front Doorhoz. Ez a folyamat akár több percet is igénybe vehet, akár egy órát is igénybe vehet.
A tanúsítvány sikeresen üzembe lett helyezve a Front Doorhoz.
4. Kész A HTTPS sikeresen engedélyezve lett a tartományban.

* Ez az üzenet csak akkor jelenik meg, ha hiba történik.

Ha a kérelem elküldése előtt hiba történik, a következő hibaüzenet jelenik meg:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Gyakori kérdések

  1. Ki a tanúsítványszolgáltató és milyen típusú tanúsítvány van használatban?

    A DigiCert által biztosított dedikált/önálló tanúsítvány az egyéni tartományhoz használatos.

  2. IP-címalapú vagy SNI TLS/SSL-t használ?

    Az Azure Front Door SNI TLS/SSL protokollt használ.

  3. Mi a teendő, ha nem kapok visszaigazolási e-mailt a DigiCerttől?

    Ha az egyéni tartományhoz olyan CNAME bejegyzést használ, amely közvetlenül a végpont állomásnevére mutat, és nem használja az afdverify altartománynevet, nem kap tartomány-ellenőrzési e-mailt. A hitelesítés automatikusan történik. Ellenkező esetben, ha nem rendelkezik CNAME bejegyzéssel, és 24 órán belül nem kapott e-mailt, forduljon a Microsoft ügyfélszolgálatához.

  4. A SAN tanúsítvány használata kevésbé biztonságos, mint egy dedikált tanúsítvány használata?

    A SAN-tanúsítvány ugyanolyan titkosítási és biztonsági előírásokat követ, mint a dedikált tanúsítvány. Minden kiadott TLS/SSL-tanúsítvány sha-256-ot használ a fokozott kiszolgálóbiztonság érdekében.

  5. Szükségem van hitelesítésszolgáltató engedélyezési rekordra a DNS szolgáltatómnál?

    Nem, jelenleg nincs szükség hitelesítésszolgáltatói engedélyezési rekordra. Viszont ha van ilyenje, mindenképpen tartalmaznia kell a DigiCertet mint érvényes CA-t.

Az erőforrások eltávolítása

A HTTPS letiltása az egyéni tartományon:

HTTPS szolgáltatás letiltása

  1. Az Azure Portalon nyissa meg az Azure Front Door konfigurációját.

  2. Válassza ki azt az egyéni tartományt, amelyhez le szeretné tiltani a HTTPS-t.

  3. Válassza a Letiltva lehetőséget, és válassza a Mentés lehetőséget.

Várakozás a propagálásra

Az egyéni tartomány HTTPS-funkciójának letiltása után akár 6–8 óra is eltarthat a érvénybe lépésig. Ha elkészült, az Azure Portal egyéni HTTPS-állapota le van tiltva.

Műveleti folyamat

Az alábbi táblázat a HTTPS letiltásakor a művelet előrehaladását mutatja be:

Műveleti folyamat Művelet részletei
1. Kérelem beküldése A kérelem elküldése folyamatban van
2. Tanúsítvány-leépítés Tanúsítvány törlése
3. Kész Tanúsítvány törölve

Következő lépések

Ha szeretné megtudni, hogyan állíthat be geoszűrési szabályzatot a Front Doorhoz, folytassa a következő oktatóanyagtal.