Domény ve službě Azure Front Door

  • Článek

Doména představuje vlastní název domény, který Azure Front Door používá k příjmu provozu vaší aplikace. Azure Front Door podporuje přidání tří typů názvů domén:

  • Subdomény jsou nejběžnějším typem vlastního názvu domény. Příkladem subdomény je myapplication.contoso.com.
  • Domény vrcholu neobsahují subdoménu. Příkladem vrcholu domény je contoso.com. Další informace o používání domén vrcholu se službou Azure Front Door najdete v tématu Domény vrcholu.
  • Zástupné domény umožňují přijímat přenosy pro libovolnou subdoménu. Příkladem zástupné domény je *.contoso.com. Další informace o používání zástupných domén se službou Azure Front Door najdete v tématu Zástupné dokumentace.

Domény se přidají do profilu služby Azure Front Door. Doménu můžete použít v několika trasách v rámci koncového bodu, pokud v každé trase používáte různé cesty.

Informace o přidání vlastní domény do profilu služby Azure Front Door najdete v tématu Konfigurace vlastní domény ve službě Azure Front Door pomocí webu Azure Portal.

Konfigurace DNS

Když do profilu služby Azure Front Door přidáte doménu, nakonfigurujete dva záznamy na serveru DNS:

  • Záznam DNS TXT, který se vyžaduje k ověření vlastnictví vašeho názvu domény. Další informace o záznamech DNS TXT najdete v tématu Ověření domény.
  • Záznam DNS CNAME, který řídí tok internetového provozu do služby Azure Front Door.

Tip

Před provedením jakýchkoli změn DNS můžete do profilu služby Azure Front Door přidat název domény. Tento přístup může být užitečný, pokud potřebujete nastavit konfiguraci služby Azure Front Door společně nebo pokud máte samostatný tým, který změní záznamy DNS.

Záznam DNS TXT můžete také přidat, abyste před přidáním záznamu CNAME ověřili vlastnictví domény, abyste mohli řídit tok provozu. Tento přístup může být užitečný, abyste se vyhnuli výpadkům migrace, pokud už máte aplikaci v produkčním prostředí.

Ověření domény

Všechny domény přidané do služby Azure Front Door se musí ověřit. Ověřování pomáhá chránit vás před náhodnou chybnou konfigurací a také pomáhá chránit ostatní uživatele před falšováním identity domény. V některých situacích můžou být domény předem zastaralé jinou službou Azure. V opačném případě musíte postupovat podle procesu ověření domény služby Azure Front Door a prokázat tak vlastnictví názvu domény.

  • Předem ověřené domény Azure jsou domény , které byly ověřeny jinou podporovanou službou Azure. Pokud nasadíte a ověříte doménu do jiné služby Azure a později nakonfigurujete Službu Azure Front Door, můžete pracovat s předem zastaralou doménou. Pokud používáte tento typ domény, nemusíte doménu ověřovat prostřednictvím služby Azure Front Door.

    Poznámka:

    Azure Front Door aktuálně přijímá pouze předem ověřené domény, které jsou nakonfigurované se službou Azure Static Web Apps.

  • Neověřené domény mimo Azure jsou domény , které nejsou ověřeny podporovanou službou Azure. Tento typ domény je možné hostovat s libovolnou službou DNS, včetně Azure DNS, a vyžaduje, aby služba Azure Front Door ověřila vlastnictví domény.

Ověření záznamu TXT

Pokud chcete ověřit doménu, musíte vytvořit záznam DNS TXT. Název záznamu TXT musí být ve formuláři _dnsauth.{subdomain}. Azure Front Door poskytuje jedinečnou hodnotu záznamu TXT, když začnete přidávat doménu do služby Azure Front Door.

Předpokládejme například, že chcete použít vlastní subdoménu myapplication.contoso.com se službou Azure Front Door. Nejprve byste měli přidat doménu do profilu služby Azure Front Door a poznamenejte si hodnotu záznamu TXT, kterou potřebujete použít. Potom byste měli nakonfigurovat záznam DNS s následujícími vlastnostmi:

Vlastnost Hodnota
Název záznamu _dnsauth.myapplication
Hodnota záznamu použití hodnoty poskytované službou Azure Front Door
TTL (Time to Live) 1 hodina

Po úspěšném ověření domény můžete záznam TXT bezpečně odstranit ze serveru DNS.

Další informace o přidání záznamu DNS TXT pro vlastní doménu najdete v tématu Konfigurace vlastní domény ve službě Azure Front Door pomocí webu Azure Portal.

Stavy ověření domény

V následující tabulce jsou uvedeny stavy ověření, které se můžou zobrazit v doméně.

Stav ověření domény Popis a akce
Probíhá odesílání Vytváří se vlastní doména.

Počkejte, až bude prostředek domény připravený.
Nevyřízeno Vygenerovala se hodnota záznamu DNS TXT a Služba Azure Front Door je připravená k přidání záznamu DNS TXT.

Přidejte záznam DNS TXT do svého poskytovatele DNS a počkejte na dokončení ověření. Pokud stav zůstane čekající i po aktualizaci záznamu TXT u poskytovatele DNS, vyberte Znovu vygenerovat záznam TXT a pak záznam TXT znovu přidejte do svého poskytovatele DNS.
Čeká se na obnovení Platnost spravovaného certifikátu je kratší než 45 dnů od vypršení platnosti.

Pokud už máte záznam CNAME odkazující na koncový bod služby Azure Front Door, pro prodloužení platnosti certifikátu se nevyžaduje žádná akce. Pokud je vlastní doména odkazovaná na jiný záznam CNAME, vyberte stav Čekající na opětovné ověření a pak na stránce Ověřit vlastní doménu vyberte Znovu vygenerovat. Nakonec vyberte Přidat , pokud používáte Azure DNS, nebo ručně přidejte záznam TXT se správou DNS vašeho vlastního poskytovatele DNS.
Aktualizace ověřovacího tokenu Doména přejde do stavu obnovovacího ověřovacího tokenu po krátkou dobu po výběru tlačítka Znovu vygenerovat . Jakmile se vystaví nová hodnota záznamu TXT, stav se změní na Čeká na vyřízení.
Není vyžadována žádná akce.
Schválený Doména byla úspěšně ověřena a Azure Front Door může přijímat provoz, který tuto doménu používá.

Není vyžadována žádná akce.
Zamítnuto Poskytovatel certifikátu nebo autorita odmítl vystavení spravovaného certifikátu. Název domény může být například neplatný.

Vyberte odkaz Odmítnuto a potom na stránce Ověřit vlastní doménu vyberte Znovu vygenerovat, jak je znázorněno na snímcích obrazovky pod touto tabulkou. Potom vyberte Přidat a přidejte záznam TXT ve zprostředkovateli DNS.
Timeout Záznam TXT nebyl do sedmi dnů přidán do vašeho poskytovatele DNS nebo byl přidán neplatný záznam DNS TXT.

Vyberte odkaz Časový limit a pak na stránce Ověřit vlastní doménu vyberte Znovu vygenerovat. Potom vyberte Přidat a přidejte do zprostředkovatele DNS nový záznam TXT. Ujistěte se, že používáte aktualizovanou hodnotu.
Vnitřní chyba Došlo k neznámé chybě.

Opakujte ověření výběrem tlačítka Aktualizovat nebo Znovu vygenerovat. Pokud stále dochází k problémům, odešlete žádost o podporu podpora Azure.

Poznámka:

  • Výchozí hodnota TTL pro záznamy TXT je 1 hodina. Pokud potřebujete znovu vygenerovat záznam TXT pro opětovné ověření, věnujte pozornost hodnotě TTL pro předchozí záznam TXT. Pokud nevyprší platnost, ověření se nezdaří, dokud nevyprší platnost předchozího záznamu TXT.
  • Pokud tlačítko Znovu vygenerovat nefunguje, odstraňte a znovu vytvořte doménu.
  • Pokud se stav domény nezobrazuje podle očekávání, vyberte tlačítko Aktualizovat .

HTTPS pro vlastní domény

Pomocí protokolu HTTPS ve vaší vlastní doméně zajistíte, že se citlivá data budou bezpečně doručovat pomocí šifrování TLS/SSL, když se posílají přes internet. Když je klient, například webový prohlížeč, připojený k webu pomocí protokolu HTTPS, ověří certifikát zabezpečení webu a zajistí, že ho vydala legitimní certifikační autorita. Tento proces zajišťuje zabezpečení a chrání vaše webové aplikace před útoky.

Azure Front Door podporuje použití HTTPS s vlastními doménami a přesměruje správu certifikátů TLS (Transport Layer Security) ze serverů původu. Pokud používáte vlastní domény, můžete buď použít certifikáty TLS spravované v Azure (doporučeno), nebo si můžete koupit a používat vlastní certifikáty TLS.

Další informace o tom, jak Služba Azure Front Door funguje s protokolem TLS, najdete v tématu Kompletní tls se službou Azure Front Door.

Certifikáty TLS spravované službou Azure Front Door

Azure Front Door může automaticky spravovat certifikáty TLS pro subdomény a vrcholové domény. Když používáte spravované certifikáty, nemusíte vytvářet klíče ani žádosti o podepisování certifikátů a nemusíte certifikáty nahrávat, ukládat ani instalovat. Kromě toho může Azure Front Door automaticky obměňovat (obnovovat) spravované certifikáty bez zásahu člověka. Tento proces zabraňuje výpadkům způsobeným selháním obnovení certifikátů TLS včas.

Dokončení procesu generování, vydávání a instalace spravovaného certifikátu TLS může trvat několik minut až hodinu a občas může trvat déle.

Poznámka:

Spravované certifikáty služby Azure Front Door (Standard a Premium) se automaticky obměňují, pokud záznam CNAME domény odkazuje přímo na koncový bod služby Front Door nebo nepřímo odkazuje na koncový bod Traffic Manageru. V opačném případě je potřeba znovu ověřit vlastnictví domény, aby se certifikáty obměnaly.

Typy domén

Následující tabulka shrnuje funkce, které jsou k dispozici se spravovanými certifikáty TLS při použití různých typů domén:

Situace Subdoména Doména vrcholu Zástupná doména
Dostupné spravované certifikáty TLS Ano Ano No
Spravované certifikáty TLS se automaticky obměňují. Ano Viz níže. No

Pokud používáte certifikáty TLS spravované službou Azure Front Door se vrcholovými doménami, může automatizované obměně certifikátů vyžadovat opětovné ověření vlastnictví domény. Další informace najdete v tématu Domény vrcholu ve službě Azure Front Door.

Vystavování spravovaných certifikátů

Certifikáty služby Azure Front Door vydává naše certifikační autorita partnera DigiCert. U některých domén musíte digiCert explicitně povolit jako vystavitele certifikátu vytvořením záznamu domény CAA s hodnotou: 0 issue digicert.com.

Azure plně spravuje certifikáty vaším jménem, takže jakýkoli aspekt spravovaného certifikátu, včetně kořenového vystavitele, se může kdykoli změnit. Tyto změny jsou mimo váš ovládací prvek. Nezapomeňte se vyhnout pevným závislostem na jakémkoli aspektu spravovaného certifikátu, například kontrole kryptografického otisku certifikátu nebo připnutí ke spravovanému certifikátu nebo jakékoli části hierarchie certifikátů. Pokud potřebujete připnout certifikáty, měli byste použít certifikát TLS spravovaný zákazníkem, jak je vysvětleno v další části.

Certifikáty TLS spravované zákazníkem

Někdy může být potřeba zadat vlastní certifikáty TLS. Mezi běžné scénáře poskytování vlastních certifikátů patří:

  • Vaše organizace vyžaduje, abyste používali certifikáty vydané konkrétní certifikační autoritou.
  • Chcete, aby služba Azure Key Vault vystavovat certifikát pomocí certifikační autority partnera.
  • Potřebujete použít certifikát TLS, který klientská aplikace rozpozná.
  • Musíte použít stejný certifikát TLS ve více systémech.
  • Používáte zástupné domény. Azure Front Door neposkytuje spravované certifikáty pro zástupné domény.

Poznámka:

  • Od září 2023 podporuje Azure Front Door pro ověřování vlastnictví domény vlastní certifikáty (BYOC). Služba Front Door schválí vlastnictví domény, pokud název certifikátu (CN) nebo alternativní název subjektu (SAN) certifikátu odpovídá vlastní doméně. Pokud vyberete spravovaný certifikát Azure, ověření domény použije záznam DNS TXT.
  • U vlastních domén vytvořených před ověřením na základě funkce BYOC a stav ověření domény není schválen, musíte aktivovat automatické schválení ověření vlastnictví domény tak, že vyberete Stav ověření ověření a kliknete na tlačítko Znovu ověřit na portálu. Pokud používáte nástroj příkazového řádku, můžete aktivovat ověření domény odesláním prázdného požadavku PATCH do rozhraní API domény.

Požadavky na certifikáty

Pokud chcete certifikát používat se službou Azure Front Door, musí splňovat následující požadavky:

  • Úplný řetěz certifikátů: Při vytváření certifikátu TLS/SSL musíte vytvořit úplný řetěz certifikátů s povolenou certifikační autoritou (CA), která je součástí seznamu důvěryhodných certifikačních autorit Microsoftu. Pokud použijete nepovolenou certifikační autoritu, vaše žádost se odmítne. Kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačních autorit Společnosti Microsoft. Pokud se zobrazí certifikát bez úplného řetězu, není zaručeno, že žádosti, které tento certifikát zahrnují, budou fungovat podle očekávání.
  • Běžný název: Běžný název certifikátu (CN) musí odpovídat doméně nakonfigurované ve službě Azure Front Door.
  • Algoritmus: Azure Front Door nepodporuje certifikáty pomocí kryptografických algoritmů se třemi tečkami (EC).
  • Typ souboru (obsahu): Certifikát se musí nahrát do trezoru klíčů ze souboru PFX, který používá application/x-pkcs12 tento typ obsahu.

Import certifikátu do služby Azure Key Vault

Než ho budete moct používat se službou Azure Front Door, musíte do služby Azure Key Vault importovat vlastní certifikáty TLS. Informace o importu certifikátu do trezoru klíčů najdete v tématu Kurz: Import certifikátu ve službě Azure Key Vault.

Trezor klíčů musí být ve stejném předplatném Azure jako profil služby Azure Front Door.

Upozorňující

Azure Front Door podporuje pouze trezory klíčů ve stejném předplatném jako profil služby Front Door. Pokud zvolíte trezor klíčů v jiném předplatném, než je váš profil služby Azure Front Door, dojde k chybě.

Certifikáty musí být nahrány jako objekt certifikátu , nikoli jako tajný klíč.

Udělení přístupu ke službě Azure Front Door

Azure Front Door potřebuje přístup k trezoru klíčů pro čtení certifikátu. Musíte nakonfigurovat síťovou bránu firewall trezoru klíčů i řízení přístupu trezoru.

Pokud je v rámci trezoru klíčů povoleno omezení přístupu k síti, je nutné nakonfigurovat trezor klíčů tak, aby umožňoval důvěryhodným službám společnosti Microsoft obcházet bránu firewall.

V trezoru klíčů můžete nakonfigurovat řízení přístupu dvěma způsoby:

  • Azure Front Door může pro přístup k trezoru klíčů použít spravovanou identitu. Tento přístup můžete použít, když trezor klíčů používá ověřování Microsoft Entra. Další informace najdete v tématu Použití spravovaných identit se službou Azure Front Door Standard/Premium.
  • Případně můžete instančnímu objektu služby Azure Front Door udělit přístup k trezoru klíčů. Tento přístup můžete použít při použití zásad přístupu k trezoru.

Přidání vlastního certifikátu do služby Azure Front Door

Po importu certifikátu do trezoru klíčů vytvořte tajný prostředek služby Azure Front Door, což je odkaz na certifikát, který jste přidali do trezoru klíčů.

Pak nakonfigurujte svoji doménu tak, aby pro svůj certifikát TLS používala tajný klíč služby Azure Front Door.

Průvodce těmito kroky najdete v tématu Konfigurace HTTPS pro vlastní doménu služby Azure Front Door pomocí webu Azure Portal.

Přepínání mezi typy certifikátů

Doménu můžete změnit mezi použitím certifikátu spravovaného službou Azure Front Door a certifikátem spravovaným uživatelem.

  • Při přepínání mezi typy certifikátů může trvat až hodinu, než se nový certifikát nasadí.
  • Pokud je váš stav domény schválený, přepnutí typu certifikátu mezi uživatelem spravovaným a spravovaným certifikátem nezpůsobí žádný výpadek.
  • Když přejdete na spravovaný certifikát, Azure Front Door bude dál používat předchozí certifikát, dokud se vlastnictví domény znovu neaktualizované a stav domény se schválí.
  • Pokud přepnete z FUNKCE BYOC na spravovaný certifikát, vyžaduje se obnovení domény. Pokud přepnete ze spravovaného certifikátu na BYOC, nemusíte doménu znovu používat.

Obnovení certifikátu

Obnovení certifikátů spravovaných službou Azure Front Door

U většiny vlastních domén Azure Front Door automaticky obnoví (obměna) spravované certifikáty, když se blíží vypršení platnosti, a nemusíte nic dělat.

Azure Front Door ale nebude automaticky obměňovat certifikáty v následujících scénářích:

  • Záznam CNAME vlastní domény ukazuje na jiný záznam DNS, než je doména koncového bodu služby Azure Front Door.
  • Vlastní doména odkazuje na koncový bod služby Azure Front Door prostřednictvím řetězu. Pokud například váš záznam DNS odkazuje na Azure Traffic Manager, který se zase přeloží na Azure Front Door, řetězec CNAME je contoso.com CNAME v CNAME v contoso.trafficmanager.net CNAME v contoso.z01.azurefd.net. Azure Front Door nemůže ověřit celý řetězec.
  • Vlastní doména používá záznam A. Ke směrování na Azure Front Door doporučujeme vždy použít záznam CNAME.
  • Vlastní doména je vrcholová doména a používá zploštěné CNAME.

Pokud některý z výše uvedených scénářů platí pro vaši vlastní doménu, 45 dní před vypršením platnosti spravovaného certifikátu se stav ověření domény změní na čekající opětovné ověření. Stav čekání na obnovení znamená, že je potřeba vytvořit nový záznam DNS TXT, aby se znovu aktualizovalo vlastnictví domény.

Poznámka:

Platnost záznamů DNS TXT vyprší po sedmi dnech. Pokud jste do serveru DNS přidali záznam TXT pro ověření domény, musíte ho nahradit novým záznamem TXT. Ujistěte se, že použijete novou hodnotu, jinak proces ověření domény selže.

Pokud se vaše doména nedá ověřit, stav ověření domény se zamítne. Tento stav označuje, že certifikační autorita zamítla žádost o opětovné použití spravovaného certifikátu.

Další informace o stavech ověření domény najdete v tématu Stavy ověření domény.

Prodloužení platnosti certifikátů spravovaných Azure pro domény předvalidované jinými službami Azure

Certifikáty spravované Azure se automaticky obměňují službou Azure, která doménu ověřuje.

Obnovení certifikátů TLS spravovaných zákazníkem

Když aktualizujete certifikát ve svém trezoru klíčů, Azure Front Door dokáže automaticky rozpoznat a používat aktualizovaný certifikát. Aby tato funkce fungovala, nastavte při konfiguraci certifikátu ve službě Azure Front Door verzi tajného kódu na Nejnovější.

Pokud vyberete konkrétní verzi certifikátu, při aktualizaci certifikátu musíte novou verzi znovu vybrat ručně.

Automatické nasazení nové verze certifikátu nebo tajného kódu trvá až 72 hodin.

Pokud chcete změnit verzi tajného kódu z nejnovější verze na zadanou verzi nebo naopak, přidejte nový certifikát.

Zásady zabezpečení

Firewall webových aplikací (WAF) služby Azure Front Door můžete použít ke kontrole požadavků na vaši aplikaci na hrozby a k vynucování dalších požadavků na zabezpečení.

Pokud chcete použít WAF s vlastní doménou, použijte prostředek zásad zabezpečení služby Azure Front Door. Zásady zabezpečení přidružují doménu k zásadám WAF. Volitelně můžete vytvořit více zásad zabezpečení, abyste mohli používat různé zásady WAF s různými doménami.

Další kroky