مشاركة عبر

تكوين HTTPS على مجال مخصص Azure Front Door (كلاسيكي)

ينطبق على: ✔️ Front Door (كلاسيكي)

Important

توضح هذه المقالة كيفية تمكين HTTPS لمجال مخصص مقترن ب Front Door (كلاسيكي). يضمن استخدام HTTPS على مجالك المخصص (على سبيل المثال، https://www.contoso.com) نقل البيانات الآمن عبر تشفير TLS/SSL. عندما يتصل مستعرض ويب بموقع ويب باستخدام HTTPS، فإنه يتحقق من صحة شهادة أمان موقع الويب ويتحقق من شرعيته، ويوفر الأمان ويحمي تطبيقات الويب الخاصة بك من الهجمات الضارة.

يدعم Azure Front Door HTTPS بشكل افتراضي على اسم المضيف الافتراضي الخاص به (على سبيل المثال، https://contoso.azurefd.net). ومع ذلك، تحتاج إلى تمكين HTTPS بشكل منفصل للمجالات المخصصة مثل www.contoso.com.

تتضمن السمات الرئيسية لميزة HTTPS المخصصة ما يلي:

  • لا توجد تكلفة إضافية: لا توجد تكاليف للحصول على الشهادة أو التجديد أو حركة مرور HTTPS.
  • التمكين البسيط: التزويد من تحديد واحد عبر مدخل Microsoft Azure أو واجهة برمجة تطبيقات REST أو أدوات المطور الأخرى.
  • إدارة الشهادات الكاملة: الشراء التلقائي للشهادات وتجديدها، مما يلغي خطر انقطاع الخدمة بسبب الشهادات منتهية الصلاحية.

ستتعرف في هذا البرنامج التعليمي على:

  • تمكين HTTPS على مجالك المخصص.
  • استخدم شهادة مدارة بواسطة AFD.
  • استخدم شهادة TLS/SSL الخاصة بك.
  • تحقق من المجال.
  • تعطيل HTTPS على مجالك المخصص.

Prerequisites

  • حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

  • Azure Front Door مع مجال مخصص واحد على الأقل تم إعداده. لمزيد من المعلومات، راجع البرنامج التعليمي: إضافة مجال مخصص إلى Front Door.

  • Azure Cloud Shell أو Azure PowerShell لتسجيل كيان خدمة Front Door في معرف Microsoft Entra عند استخدام الشهادة الخاصة بك.

    تعمل الخطوات الواردة في هذه المقالة على تشغيل أوامر Cmdlets Azure PowerShell بشكل تفاعلي في Azure Cloud Shell. لتشغيل cmdlets في Cloud Shell، حدد Open Cloud Shell في الزاوية العلوية اليسرى من كتلة التعليمات البرمجية. حدد نسخ لنسخ التعليمات البرمجية ثم لصقها في Cloud Shell لتشغيلها. يمكنك أيضا تشغيل Cloud Shell من داخل مدخل Microsoft Azure.

    يمكنك أيضا تثبيت Azure PowerShell محليا لتشغيل cmdlets. إذا قمت بتشغيل PowerShell محليا، فقم بتسجيل الدخول إلى Azure باستخدام Connect-AzAccount cmdlet.

شهادات TLS/SSL

لتمكين HTTPS على مجال مخصص ل Front Door (كلاسيكي)، تحتاج إلى شهادة TLS/SSL. يمكنك إما استخدام شهادة يديرها Azure Front Door أو الشهادة الخاصة بك.

الخيار 1 (افتراضي): استخدام شهادة يديرها Front Door

يتيح لك استخدام شهادة مدارة بواسطة Azure Front Door Classic تمكين HTTPS مع بعض تغييرات الإعدادات. يعالج Azure Front Door Classic جميع مهام إدارة الشهادات، بما في ذلك الشراء والتجديد. هذا مدعوم للمجالات المخصصة مع CNAME المباشر إلى نقطة نهاية Azure Front Door Classic.

Important

  • اعتبارا من 8 مايو 2025، لم يعد DigiCert يدعم أسلوب التحقق من صحة المجال المستند إلى WHOIS. إذا كان مجالك يستخدم تعيين CNAME غير مباشر إلى نقطة نهاية Azure Front Door Classic، فيجب عليك استخدام ميزة إحضار شهادتك الخاصة (BYOC).
  • نظرا للتغييرات في التحقق من صحة المجال المستند إلى WHOIS، لا يمكن تجديد الشهادات المدارة الصادرة باستخدام التحقق من صحة المجال المستند إلى WHOIS تلقائيا حتى يكون لديك CNAME مباشر يشير إلى Azure Front Door Classic.
  • لا تتوفر الشهادات المدارة لنطاقات الجذر أو القمة (على سبيل المثال، contoso.com). إذا كان المجال المخصص Azure Front Door Classic هو مجال جذر أو قمة، فيجب عليك استخدام ميزة إحضار شهادتك الخاصة (BYOC).
  • يتطلب التجديد التلقائي للشهادة المدارة تعيين مجالك المخصص مباشرة إلى نقطة نهاية Azure Front Door Classic باستخدام سجل CNAME.

لتمكين HTTPS على مجال مخصص:

  1. في مدخل Microsoft Azure، انتقل إلى ملف تعريف Front Door.

  2. حدد المجال المخصص الذي تريد تمكين HTTPS له من قائمة مضيفي الواجهة الأمامية.

  3. ضمن المجال المخصص HTTPS، حدد Enabled واختر Front Door managed كمصدر الشهادة.

  4. حدد حفظ.

  5. تابع للتحقق من صحة المجال.

Note

  • يتم فرض حد 64 حرفا ل DigiCert للشهادات المدارة بواسطة Azure Front Door. يفشل التحقق من الصحة إذا تم تجاوز هذا الحد.
  • تمكين HTTPS عبر الشهادة المدارة من Front Door غير مدعوم لمجالات الذروة/الجذر (على سبيل المثال، contoso.com). استخدم الشهادة الخاصة بك لهذا السيناريو (راجع الخيار 2).

الخيار 2: استخدم الشهادة الخاصة بك.

يمكنك استخدام شهادتك الخاصة من خلال التكامل مع Azure Key Vault. تأكد من أن شهادتك من قائمة المرجع المصدق الموثوق به من Microsoft وأن لها سلسلة شهادات كاملة.

قم بإعداد Key Vault والشهادة

  • إنشاء حساب key vault في نفس اشتراك Azure مثل Front Door الخاص بك.
  • قم بتكوين مخزن المفاتيح الخاص بك للسماح خدمات Microsoft الموثوقة بتجاوز جدار الحماية إذا تم تمكين قيود الوصول إلى الشبكة.
  • استخدم نموذج إذن نهج الوصول إلى Key Vault.
  • تحميل الشهادة ككائن شهادة، وليس سرا.

Note

لا يدعم Front Door الشهادات ذات خوارزميات تشفير المنحنى خوارزميات التشفير(EC). يجب أن تحتوي الشهادة على سلسلة شهادات كاملة مع شهادات طرفية ومتوسطة، ويجب أن يكون المرجع المصدق الجذر جزءا من قائمة المرجع المصدق الموثوق به من Microsoft.

سجّل Azure Front Door

تسجيل كيان خدمة Azure Front Door في معرف Microsoft Entra باستخدام Azure PowerShell أو Azure CLI.

استخدم New-AzADServicePrincipal cmdlet لتسجيل كيان خدمة Front Door في معرف Microsoft Entra الخاص بك.

New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"

امنح Azure Front Door الوصول إلى المخزن الرئيسي الخاصة بك

  1. حدد في Key Vault الخاصة بك في قسم الإعدادات"سياسات الوصول".

  2. لإنشاء قرص مدار جديد حدد"+ Create".

  3. في Secret permissions، حدد Get.

  4. في Certificate permissions، حدد Get.

  5. في Select principal، ابحث عن ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 وحدد Microsoft.Azure.Frontdoor. حدد التالي.

  6. حدد التالي في التطبيق.

  7. حدد إنشاء في مراجعة + إنشاء.

Note

إذا كان مخزن المفاتيح الخاص بك يحتوي على قيود الوصول إلى الشبكة، فاسمح خدمات Microsoft الموثوقة بالوصول إلى خزنة المفاتيح الخاصة بك.

حدد الشهادة الخاصة بـ Azure Front Door لنشرها

  1. العودة إلى Front Door الخاص بك في المدخل.

  2. حدد المجال المخصص الذي تريد تمكين HTTPS له.

  3. ضمن نوع إدارة الشهادات، حدد استخدام الشهادة الخاصة بي.

  4. حدد المخزن الرئيسي والسري والإصدار السري.

    Note

    لتمكين التدوير التلقائي للشهادة، قم بتعيين الإصدار السري إلى "الأحدث". إذا تم تحديد إصدار معين، يجب تحديثه يدويا لتدوير الشهادة.

    Warning

    تأكد من أن كيان الخدمة الخاص بك لديه إذن GET على Key Vault. لمشاهدة الشهادة في القائمة المنسدلة للمدخل، يجب أن يكون لدى حساب المستخدم الخاص بك أذونات LIST و GET على Key Vault.

  5. عند استخدام الشهادة الخاصة بك، لا يلزم التحقق من صحة المجال. تابع إلى انتظار النشر.

التحقق من صحة المجال

إذا كان سجل CNAME الخاص بك لا يزال موجودا ولا يحتوي على afdverify المجال الفرعي، فإن DigiCert يتحقق تلقائيا من ملكية المجال المخصص.

يجب أن يكون سجل CNAME الخاص بك بالتنسيق التالي:

Name Type Value
<www.contoso.com> CNAME contoso.azurefd.net

لمزيد من المعلومات حول سجلات CNAME، راجع إنشاء سجل DNS CNAME.

إذا كان سجل CNAME الخاص بك بالتنسيق الصحيح، يتحقق DigiCert تلقائيًا من اسم المجال المخصص الخاص بك وينشئ شهادة لمجالك. الشهادة صالحة لمدة عام واحد وسيتم تجديدها تلقائيًا قبل انتهاء صلاحيتها. يستغرق التحقق التلقائي عادةً بضع ساعات. إذا لم تتمكن من التحقق من صحة مجالك خلال 24 ساعة، فافتح تذكرة دعم.

تابع إلى انتظار النشر.

Note

إذا كان لديك سجل تفويض المرجع المصدق (CAA) مع مزود DNS الخاص بك، فإنه يجب أن يتضمن DigiCert باعتباره مرجعًا مصدقًا صالحًا. لمزيد من المعلومات، راجع إدارة سجلات CAA.

انتظر التكاثر

بعد التحقق من صحة المجال، قد يستغرق تنشيط ميزة HTTPS للمجال المخصص ما يصل إلى 6-8 ساعات. عند الاكتمال، يتم تعيين حالة HTTPS المخصصة في مدخل Microsoft Azure إلى ممكن.

تقدم العملية

يوضح الجدول التالي تقدم العملية عند تمكين HTTPS:

خطوة العملية تفاصيل العملية الفرعية
1. إرسال الطلب تقديم الطلب
يتم تقديم طلب HTTPS الخاص بك.
تم إرسال طلب HTTPS بنجاح.
2. التحقق من صحة المجال يتم التحقق من صحة المجال تلقائيا إذا تم تعيين CNAME إلى مضيف الواجهة الأمامية الافتراضي .azurefd.net.
تم التحقق من صحة ملكية المجال بنجاح.
انتهت صلاحية طلب التحقق من صحة ملكية المجال (من المحتمل أن العميل لم يستجب في غضون ستة أيام). لم يتم تمكين HTTPS على مجالك. *
رفض العميل طلب التحقق من صحة ملكية المجال. لم يتم تمكين HTTPS على مجالك. *
3. تزويد الشهادات يصدر المرجع المصدق الشهادة المطلوبة لتمكين HTTPS على مجالك.
تم إصدار الشهادة ويتم نشرها ل Front Door الخاص بك. قد تستغرق هذه العملية عدة دقائق إلى ساعة.
تم نشر الشهادة بنجاح ل Front Door الخاص بك.
4. إكمال تم تمكين HTTPS بنجاح على مجالك.

* تظهر هذه الرسالة فقط في حالة حدوث خطأ.

في حالة حدوث خطأ قبل إرسال الطلب، يتم عرض رسالة الخطأ التالية:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

الأسئلة الشائعة

  1. من هو موفر الشهادة ونوع الشهادة المستخدمة؟

    يتم استخدام شهادة مخصصة/واحدة، مقدمة من DigiCert، لمجالك المخصص.

  2. هل تستخدم بروتوكول الإنترنت أو SNI TLS/SSL؟

    يستخدم Azure Front Door SNI TLS/SSL.

  3. ماذا لو لم أتلقى البريد الإلكتروني للتحقق من المجال من DigiCert؟

    إذا كان لديك إدخال CNAME لمجالك المخصص يشير مباشرة إلى اسم مضيف نقطة النهاية ولا تستخدم اسم المجال الفرعي afdverify، فلن تتلقى بريدا إلكترونيا للتحقق من المجال. يتم التحقق من الصحة تلقائيًا. وإلا، إذا لم يكن لديك إدخال CNAME ولم تتلق رسالة بريد إلكتروني في غضون 24 ساعة، فاتصل بدعم Microsoft.

  4. هل استخدام شهادة SAN أقل أمانا من شهادة مخصصة؟

    تتبع شهادة SAN نفس معايير التشفير والأمان مثل الشهادة المخصصة. تستخدم جميع شهادات TLS/SSL الصادرة SHA-256 لتحسين أمان الخادم.

  5. هل أحتاج إلى سجل تخويل المرجع المصدق مع موفر DNS الخاص بي؟

    لا، سجل تفويض المرجع المصدق، غير مطلوب حاليًا. ومع ذلك، إذا كان لديك واحد، فإنه يجب أن يتضمن DigiCert كمرجع مصدق صالح.

تنظيف الموارد

لتعطيل HTTPS على مجالك المخصص:

قم بتعطيل ميزة HTTPS

  1. في مدخل Microsoft Azure، انتقل إلى تكوين Azure Front Door.

  2. حدد المجال المخصص الذي تريد تعطيل HTTPS له.

  3. حدد معطل وحدد حفظ.

انتظر التكاثر

بعد تعطيل ميزة HTTPS للمجال المخصص، قد يستغرق سريان مفعولها ما يصل إلى 6-8 ساعات. عند الاكتمال، يتم تعيين حالة HTTPS المخصصة في مدخل Microsoft Azure إلى معطل.

تقدم العملية

يعرض الجدول التالي تقدم العملية عند تعطيل HTTPS:

تقدم العملية تفاصيل العملية
1. إرسال الطلب تقديم طلبك
2. إلغاء تزويد الشهادة حذف الشهادة
3. إكمال تم حذف الشهادة

الخطوة التالية

إعداد نهج تصفية جغرافية

  • Last updated on