Kurz: Konfigurace HTTPS pro vlastní doménu Azure CDN

Important

• Od 15. srpna 2025 už Azure CDN od Microsoftu (klasického) nebude podporovat vytváření nových připojení k doméně ani profilu. Migrujte na AFD Standard a Premium , abyste vytvořili nové domény nebo profily a vyhnuli se přerušení služeb.  Další informace
• Od 15. srpna 2025 už Azure CDN od Microsoftu (classic) nebude podporovat spravované certifikáty. Abyste se vyhnuli přerušení služeb, přepněte buď na ByOC (Bring Your Own Certificate), nebo do tohoto data migrujte na AFD Standard a Premium . Stávající spravované certifikáty se automaticky obnoví před 15. srpnem 2025 a zůstanou platné až do 14. dubna 2026. Další informace
• 30. září 2027 bude vyřazena služba Azure CDN Standard od Microsoftu (Classic). Abyste se vyhnuli přerušení služeb, migrujte na AFD Standard nebo Premium. Zjistěte více.
• 15. ledna 2025 byla vyřazena služba Azure CDN z Edgio. Zjistěte více.

V tomto kurzu se dozvíte, jak povolit protokol HTTPS pro vlastní doménu přidruženou ke koncovému bodu Azure CDN.

Protokol HTTPS ve vaší vlastní doméně (například https://www.contoso.com) zajišťuje bezpečné doručení citlivých dat přes protokol TLS/SSL. Když je webový prohlížeč připojený přes PROTOKOL HTTPS, prohlížeč ověří certifikát webu. Prohlížeč ověří, že je vydaný legitimní certifikační autoritou. Tento proces zajišťuje zabezpečení a chrání vaše webové aplikace před útoky.

Azure CDN ve výchozím nastavení podporuje HTTPS pro hostname CDN koncového bodu. Pokud například vytvoříte koncový bod CDN (například https://contoso.azureedge.net), protokol HTTPS se automaticky povolí.

Mezi klíčové atributy vlastní funkce HTTPS patří mimo jiné:

• Žádné další náklady: Za získání nebo obnovení certifikátu nejsou žádné další poplatky a nejsou žádné další náklady za HTTPS provoz. Platíte pouze za odchozí přenos dat (GB) ze sítě CDN.

• Jednoduché povolení: Na webu Azure Portal je k dispozici zřízení jedním kliknutím. K povolení této funkce můžete použít také rozhraní REST API nebo jiné vývojářské nástroje.

• K dispozici je kompletní správa certifikátů:

  • Veškeré nákupy a správa certifikátů se za vás zpracují.
  • Certifikáty se automaticky zřizují a obnovují před vypršením platnosti.

V tomto kurzu se naučíte:

• Povolit protokol HTTPS pro vlastní doménu
• Použít certifikát spravovaný CDN
• Použít vlastní certifikát
• Ověření domény
• Zakázat protokol HTTPS pro vlastní doménu

Prerequisites

Note

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Než budete moct dokončit kroky v tomto kurzu, vytvořte profil CDN a alespoň jeden koncový bod CDN. Další informace najdete v tématu Rychlý start: Vytvoření profilu a koncového bodu Azure CDN.

Přidružte vlastní doménu Azure CDN ke koncovému bodu CDN. Další informace najdete v tématu Kurz: Přidání vlastní domény do koncového bodu Azure CDN.

---

Certifikáty TLS/SSL

Pokud chcete povolit HTTPS ve vlastní doméně Azure CDN, použijte certifikát TLS/SSL. Rozhodnete se použít certifikát spravovaný službou Azure CDN nebo použít váš certifikát.

1. možnost (výchozí): Povolení protokolu HTTPS s certifikátem spravovaným CDN

Použití certifikátu spravovaného službou Azure CDN umožňuje povolit HTTPS s několika změnami nastavení. Azure CDN zpracovává všechny úlohy správy certifikátů, včetně zajišťování a obnovení. To se podporuje u vlastních domén s přímým CNAME do koncového bodu Azure CDN.

Important

• Od 8. května 2025 už DigiCert nepodporuje metodu ověřování domény založenou na WHOIS. Pokud vaše doména používá nepřímé mapování CNAME na koncový bod Azure Front Door Classic, musíte použít funkci Přineste si vlastní certifikát (BYOC ).
• Kvůli změnám v ověřování domény založeného na WHOIS nemohou být spravované certifikáty vydané pomocí ověřování WHOIS automaticky obnovovány, dokud nebudete mít přímý záznam CNAME směřující na Azure Front Door Classic.
• Certifikáty spravované CDN nejsou k dispozici pro kořenové nebo vrcholové domény. Pokud je vlastní doména Azure CDN kořenovou nebo vrcholnou doménou, musíte použít funkci Přineste si vlastní certifikát (BYOC ).
• Automatické obnovení spravovaného certifikátu vyžaduje, aby vaše vlastní doména byla přímo namapována na koncový bod Azure CDN pomocí záznamu CNAME.

Pokud chcete povolit HTTPS pro vlastní doménu, postupujte následovně:

1. Přejděte na web Azure Portal a vyhledejte certifikát spravovaný vaším azure CDN. Vyhledejte a vyberte profily CDN.

2. Zvolte Azure CDN Standard od Microsoftu (classic).

3. V seznamu koncových bodů CDN vyberte koncový bod obsahující vaši vlastní doménu.

4. V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

   

   Zobrazí se stránka Vlastní doména.

5. V části Typ správy certifikátu vyberte Spravováno sítí CDN.

6. Výběrem možnosti Zapnuto povolte HTTPS.

   

7. Pokračujte a ověřte doménu.

2. možnost: Povolení protokolu HTTPS s vlastním certifikátem

K povolení funkce HTTPS můžete použít vlastní certifikát. Tento proces se provádí prostřednictvím integrace s Azure Key Vault, která vám umožní bezpečně ukládat vaše certifikáty. Azure CDN používá tento zabezpečený mechanismus k získání certifikátu a vyžaduje několik dalších kroků. Při vytváření certifikátu TLS/SSL musíte vytvořit úplný řetěz certifikátů s povolenou certifikační autoritou (CA), která je součástí seznamu důvěryhodných certifikačních autorit Microsoftu. Pokud použijete nepovolenou certifikační autoritu, vaše žádost se odmítne. Pokud je předložen certifikát bez úplného řetězu, požadavky týkající se tohoto certifikátu nemusí fungovat, jak se očekává.

Příprava účtu a certifikátu služby Azure Key Vault

1. Azure Key Vault: Musíte mít účet Azure Key Vault běžící v rámci stejného předplatného jako profil Azure CDN a koncové body CDN, pro které chcete vlastní HTTPS povolit. Pokud účet Azure Key Vault nemáte, vytvořte ho.

2. Certifikáty služby Azure Key Vault: Pokud máte certifikát, nahrajte ho přímo do svého účtu služby Azure Key Vault. Pokud certifikát nemáte, vytvořte nový certifikát přímo prostřednictvím služby Azure Key Vault.

Note

• Azure Content Delivery Network podporuje jenom certifikáty PFX.
• Certifikát musí mít úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty a kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačních autorit Microsoftu.

Nastavení spravované identity pro Azure CDN

Postupujte podle kroků v tématu Konfigurace spravované identity pro Azure CDN a povolte službě Azure CDN přístup k vašemu účtu služby Azure Key Vault.

Výběr certifikátu k nasazení pro Azure CDN

1. Vraťte se zpět na portál Azure CDN a vyberte profil a koncový bod CDN, pro které chcete vlastní HTTPS povolit.

2. V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

   Zobrazí se stránka Vlastní doména.

3. V části Typ správy certifikátu vyberte Použít vlastní certifikát.

   

4. Vyberte trezor klíčů, certifikát nebo tajný klíč a verzi certifikátu/tajného klíče.

   Azure CDN zobrazí následující informace:

   • Úložiště klíčů zahrnuje vaše ID předplatného.
   • Certifikáty nebo tajné kódy ve vybraném trezoru klíčů.
   • Dostupné verze certifikátu nebo tajného kódu.

   Note

   • Azure Content Delivery Network podporuje jenom certifikáty PFX.
   • Aby se certifikát automaticky otočil na nejnovější verzi, pokud je ve vašem trezoru klíčů k dispozici novější verze certifikátu, nastavte verzi certifikátu nebo tajného klíče na Nejnovější. Pokud je vybraná konkrétní verze, musíte novou verzi pro obměnu certifikátů znovu vybrat ručně. Nasazení nové verze certifikátu nebo tajného klíče trvá až 72 hodin. Automatickou obměnu certifikátů podporuje pouze verze Microsoft Standard.

5. Výběrem možnosti Zapnuto povolte HTTPS.

6. Pokud používáte certifikát, ověření domény se nevyžaduje. Pokračujte k části Čekání na rozšíření.

Ověření domény

Po přidání vlastní domény do koncového bodu jste vytvořili v registrátu DNS domény záznam CNAME, který je namapován na název hostitele vašeho koncového bodu CDN.

Pokud záznam CNAME stále existuje a neobsahuje subdoménu cdnverify, certifikační autorita DigiCert ho použije k automatickému ověření vlastnictví vaší vlastní domény.

Pokud používáte vlastní certifikát, ověření domény se nevyžaduje.

Váš záznam CNAME by měl být v následujícím formátu:

• Název je váš vlastní název domény.
• Hodnota je název hostitele uzlu vaší sítě pro doručování obsahu.

Name	Typ	Value
<www.contoso.com>	CNAME	contoso.azureedge.net

Další informace o záznamech CNAME najdete v tématu popisujícím vytvoření záznamu DNS CNAME.

Pokud je váš záznam CNAME ve správném formátu, DigiCert automaticky ověří váš vlastní název domény a vytvoří certifikát pro vaši doménu. Certifikát je platný po dobu jednoho roku a před vypršením platnosti se automaticky obnoví. Automatické ověřování obvykle trvá několik hodin. Pokud vaše doména není ověřena do 24 hodin, otevřete podpůrný tiket.

Pokračujte k části Čekání na rozšíření.

Note

Pokud máte záznam CAA (Certificate Authority Authorization) u svého poskytovatele DNS, musí obsahovat příslušné certifikační autority pro autorizaci. DigiCert je certifikační autorita pro profily Azure CDN. Informace o správě záznamů CAA najdete v tématu Správa záznamů CAA. Nástroj pro práci se záznamy CAA najdete tady: CAA Record Helper.

Čekání na rozšíření

Po ověření názvu domény může aktivace funkce HTTPS pro vlastní doménu trvat 6 až 8 hodin. Po dokončení procesu se vlastní stav HTTPS na webu Azure Portal změní na Povoleno. Čtyři kroky operace v dialogovém okně vlastní domény jsou označené jako dokončené. Vaše vlastní doména je teď připravená k použití HTTPS.

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při povolení HTTPS. Po povolení HTTPS se v dialogovém okně vlastní domény zobrazí čtyři kroky operace. Jakmile se jednotlivé kroky stanou aktivními, v průběhu kroku se zobrazí další podrobnosti dílčích kroků. Ne všechny tyto dílčí kroky se vyskytují. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Postup operace	Podrobnosti o dílčím kroku operace
1. Odesílání žádosti	Odesílání žádosti
	Vaše žádost o HTTPS se právě odesílá.
	Vaše žádost o HTTPS se úspěšně odeslala.
2. Ověření domény	Doména se automaticky ověřuje, pokud je namapovaná jako CNAME na koncový bod CDN. Jinak se na e-mail uvedený v registračním záznamu vaší domény (registrant WHOIS) odešle žádost o ověření.
	Vaše vlastnictví domény se úspěšně ověřilo.
	Platnost požadavku na ověření vlastnictví domény vypršela (zákazník pravděpodobně neodpověděl ve lhůtě 6 dní). HTTPS nebude ve vaší doméně povolené. *
	Požadavek na ověření vlastnictví domény byl zamítnut zákazníkem. HTTPS nebude ve vaší doméně povolené. *
3. Zřizování certifikátu	Certifikační autorita momentálně vystavuje certifikát nutný pro povolení HTTPS pro vaši doménu.
	Certifikát byl vystaven a momentálně se nasazuje do sítě CDN. Může to trvat až 6 hodin.
	Certifikát se úspěšně nasadil do sítě CDN.
4. Hotovo	Protokol HTTPS se ve vaší doméně úspěšně povolil.

* Tato zpráva se nezobrazí, pokud nedošlo k chybě.

Pokud před odesláním žádosti dojde k chybě, zobrazí se následující chybová zpráva:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Vyčištění prostředků – zakázání HTTPS

V této části se dozvíte, jak zakázat HTTPS pro vlastní doménu.

Zákaz funkce HTTPS

1. Na webu Azure Portal vyhledejte a vyberte profily CDN.

2. Vyberte svůj profil Azure CDN Standard od Microsoftu (classic).

3. V seznamu koncových bodů vyberte koncový bod obsahující vaši vlastní doménu.

4. Zvolte vlastní doménu, pro kterou chcete protokol HTTPS zakázat.

5. Zvolte Vypnuto, pokud chcete protokol HTTPS zakázat, a pak vyberte Použít.

   

Čekání na rozšíření

Po zákazu funkce HTTPS vlastní domény může trvat 6 až 8 hodin, než se změna projeví. Po dokončení procesu se vlastní stav HTTPS na webu Azure Portal změní na Zakázáno. Vaše vlastní doména už nemůže používat HTTPS.

Nejčastější dotazy

1. Kdo je poskytovatel certifikátu a jaký typ certifikátu se používá?

   Vyhrazený certifikát, který poskytuje Digicert, se používá pro vaši vlastní doménu pro Azure Content Delivery Network od Microsoftu (classic).

2. Používáte protokol TLS/SSL (SNI) na základě IP adresy nebo označení názvu serveru?

   Azure CDN Standard od Microsoftu (classic) používá protokol TLS/SSL SNI.

3. Co když neobdržím e-mail pro ověření domény od DigiCert?

   Pokud subdoménu cdnverify nepoužíváte a položka CNAME je určená pro název hostitele koncového bodu, nedostanete e-mail pro ověření domény.

   Ověření proběhne automaticky. Jinak, pokud záznam CNAME nemáte a neobdrželi jste e-mail během 24 hodin, kontaktujte podporu Microsoftu.

4. Je používání certifikátu SAN méně bezpečné než vyhrazený certifikát?

   Certifikát SAN využívá stejné standardy šifrování a zabezpečení jako vyhrazený certifikát. Všechny vydané certifikáty TLS/SSL používají sha-256 k lepšímu zabezpečení serveru.

5. Potřebuji záznam CAA (Certificate Authority Authorization) pro svého poskytovatele DNS?

   Záznam autorizace certifikační autority se v současné době nevyžaduje. Pokud ho však máte, musí jako platnou certifikační autoritu zahrnovat DigiCert.

6. Jak obnovení certifikátů funguje s přineste si vlastní certifikát?

   Pokud chcete zajistit nasazení novějšího certifikátu do infrastruktury POP, nahrajte nový certifikát do služby Azure Key Vault. V nastavení protokolu TLS ve službě Azure Content Delivery Network zvolte nejnovější verzi certifikátu a vyberte uložit. Azure Content Delivery Network pak rozšíří váš nový aktualizovaný certifikát.

Další kroky

V tomto kurzu jste se naučili, jak:

• Povolit protokol HTTPS pro vlastní doménu
• Použít certifikát spravovaný CDN
• Použít vlastní certifikát
• Ověřit doménu
• Zakázat protokol HTTPS pro vlastní doménu

V dalším kurzu se dozvíte, jak na koncovém bodu CDN nakonfigurovat ukládání do mezipaměti.

Kurz: Nastavení pravidel ukládání do mezipaměti Azure CDN