Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: ✔️ Front Door (classic)
Important
- Od 15. srpna 2025 už Azure Front Door (classic) nebude podporovat nové onboardingy domén. Migrujte na AFD Standard a Premium , abyste vytvořili nové domény nebo profily a vyhnuli se přerušení služeb. Další informace
- Od 15. srpna 2025 už Azure Front Door (classic) nebude podporovat spravované certifikáty. Abyste se vyhnuli přerušení služeb, přepněte buď na ByOC (Bring Your Own Certificate), nebo migrujte na AFD Standard a Premium do 15. srpna 2025. Stávající spravované certifikáty se automaticky obnoví před 15. srpnem 2025 a zůstanou platné až do 14. dubna 2026. Další informace
- Služba Azure Front Door (Classic) bude vyřazena 31. března 2027. Abyste se vyhnuli přerušení služeb, migrujte na AFD Standard nebo Premium. Další informace
Tento článek vysvětluje, jak povolit HTTPS pro vlastní doménu přidruženou k vaší službě Front Door (classic). Použití PROTOKOLU HTTPS ve vlastní doméně (například https://www.contoso.com) zajišťuje zabezpečený přenos dat prostřednictvím šifrování TLS/SSL. Když se webový prohlížeč připojí k webu pomocí protokolu HTTPS, ověří certifikát zabezpečení webu a ověří jeho pravost, zajišťuje zabezpečení a ochranu webových aplikací před škodlivými útoky.
Azure Front Door ve výchozím nastavení podporuje https ve výchozím názvu hostitele (například https://contoso.azurefd.net). Pro vlastní domény, jako je www.contoso.comnapříklad , ale musíte https povolit samostatně.
Mezi klíčové atributy vlastní funkce HTTPS patří:
- Žádné další náklady: Žádné náklady na získání certifikátu, obnovení nebo provoz HTTPS.
- Jednoduché zprovoznění: Zřizování s jedním výběrem prostřednictvím portálu Azure, rozhraní REST API nebo jiných vývojářských nástrojů.
- Úplná správa certifikátů: Automatické zajišťování certifikátů a obnovení, což eliminuje riziko přerušení služby kvůli prošlým certifikátům.
V tomto kurzu se naučíte:
- Povolte HTTPS ve vlastní doméně.
- Použijte certifikát spravovaný službou AFD.
- Použijte vlastní certifikát TLS/SSL.
- Ověřit doménu
- Zakažte HTTPS ve vlastní doméně.
Prerequisites
Účet Azure s aktivním předplatným. Vytvořte si bezplatný účet.
Azure Front Door s alespoň jednou vlastní doménou nastavenou. Další informace najdete v kurzu přidání vlastní domény do Front Dooru.
Azure Cloud Shell nebo Azure PowerShell pro registraci aplikačního objektu Front Door ve vašem Microsoft Entra ID při použití vlastního certifikátu.
Kroky v tomto článku spouští rutiny Azure PowerShellu interaktivně ve službě Azure Cloud Shell. Pokud chcete spustit rutiny v Cloud Shellu, vyberte Otevřít Cloud Shell v pravém horním rohu bloku kódu. Výběrem možnosti Kopírovat zkopírujte kód a vložte ho do Cloud Shellu a spusťte ho. Cloud Shell můžete spustit také z webu Azure Portal.
Ke spuštění rutin můžete také nainstalovat Azure PowerShell místně . Pokud powershell spouštíte místně, přihlaste se k Azure pomocí rutiny Connect-AzAccount .
Certifikáty TLS/SSL
Pokud chcete povolit HTTPS ve vlastní doméně služby Front Door (Classic), potřebujete certifikát TLS/SSL. Můžete použít certifikát spravovaný službou Azure Front Door nebo vlastní certifikát.
Možnost 1 (výchozí): Použití certifikátu spravovaného službou Front Door
Použití certifikátu spravovaného službou Azure Front Door Classic umožňuje povolit HTTPS s několika změnami nastavení. Azure Front Door Classic zpracovává všechny úlohy správy certifikátů, včetně zajišťování a obnovení. To se podporuje u vlastních domén s přímým CNAME do koncového bodu Azure Front Door Classic.
Important
- Od 8. května 2025 už DigiCert nepodporuje metodu ověřování domény založenou na WHOIS. Pokud vaše doména používá nepřímé mapování CNAME na koncový bod Azure Front Door Classic, musíte použít funkci Přineste si vlastní certifikát (BYOC ).
- Kvůli změnám ověřování domény založeného na WHOIS se spravované certifikáty vydané pomocí ověřování domény založeného na WHOIS nedají automaticky opakovat, dokud nebudete mít přímý název CNAME odkazující na Azure Front Door Classic.
- Spravované certifikáty nejsou k dispozici pro kořenové nebo vrcholové domény (například
contoso.com). Pokud je vaše vlastní doména Azure Front Door Classic kořenovou nebo vrcholovou doménou, musíte použít funkci Přineste si vlastní certifikát (BYOC). - Autorenewal spravovaného certifikátu vyžaduje, aby vaše vlastní doména byla přímo namapována na koncový bod Azure Front Door Classic pomocí záznamu CNAME.
Povolení HTTPS ve vlastní doméně:
Na webu Azure Portal přejděte do svého profilu služby Front Door .
V seznamu hostitelů front-endu vyberte vlastní doménu, pro kterou chcete povolit PROTOKOL HTTPS.
V části HTTPS vlastní domény vyberte Povoleno a zvolte Front Door spravovaný jako zdroj certifikátu.
Vyberte Uložit.
Pokračujte k části Ověření domény.
Note
- Pro certifikáty spravované službou Azure Front Door se vynucuje limit 64 znaků společnosti DigiCert. Ověření selže, pokud je tento limit překročen.
- Povolení HTTPS prostřednictvím spravovaného certifikátu služby Front Door se nepodporuje pro vrcholové a kořenové domény (například contoso.com). Pro tento scénář použijte vlastní certifikát (viz možnost 2).
Možnost 2: Použití vlastního certifikátu
Vlastní certifikát můžete použít prostřednictvím integrace se službou Azure Key Vault. Ujistěte se, že váš certifikát pochází ze seznamu důvěryhodných certifikačních autorit Microsoftu a má úplný řetěz certifikátů.
Připravte si trezor klíčů a certifikát
- Vytvořte účet trezoru klíčů ve stejném předplatném Azure jako front Door.
- Nakonfigurujte trezor klíčů tak, aby umožňoval důvěryhodné služby Microsoft obejít bránu firewall, pokud jsou povolená omezení přístupu k síti.
- Použijte model oprávnění přístupových zásad ke službě Key Vault.
- Nahrajte certifikát jako objekt certifikátu , nikoli tajný kód.
Note
Služba Front Door nepodporuje certifikáty s kryptografickými algoritmy založenými na eliptických křivkách (EC). Certifikát musí mít úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty a kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačních autorit Microsoftu.
Registrace služby Azure Front Door Service
Pomocí Azure PowerShellu nebo Azure CLI zaregistrujte instanční objekt služby Azure Front Door ve svém ID Microsoft Entra.
Pomocí rutiny New-AzADServicePrincipal zaregistrujte instanční objekt služby Front Door ve vašem ID Microsoft Entra.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Udělte službě Azure Front Door přístup k vašemu klíčovému trezoru.
V účtu trezoru klíčů vyberte Zásady přístupu.
Vyberte Vytvořit a vytvořte novou zásadu přístupu.
V Tajné oprávnění vyberte Získat.
V Oprávnění certifikátu vyberte Získat.
V části Vybrat hlavní objekt vyhledejte ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 a vyberte Microsoft.Azure.Frontdoor. Vyberte Další.
V aplikaci vyberte Další.
Vyberte Vytvořit v Zkontrolovat a vytvořit.
Note
Pokud má váš trezor klíčů omezení přístupu k síti, povolte důvěryhodným služby Microsoft přístup k trezoru klíčů.
Vyberte certifikát pro nasazení službou Azure Front Door.
Vraťte se ke Front Door v portálu.
Vyberte vlastní doménu, pro kterou chcete povolit HTTPS.
V části Typ správy certifikátů vyberte Použít vlastní certifikát.
Vyberte trezor klíčů, tajný kód a verzi tajného kódu.
Note
Pokud chcete povolit automatické obměně certifikátů, nastavte verzi tajného kódu na Nejnovější. Pokud je vybraná konkrétní verze, musíte ji ručně aktualizovat pro obměnu certifikátů.
Warning
Ujistěte se, že má služební principál oprávnění GET na službě Key Vault. Pokud chcete zobrazit certifikát v rozevíracím seznamu portálu, musí mít váš uživatelský účet oprávnění LIST a GET ve službě Key Vault.
Při použití vlastního certifikátu se ověření domény nevyžaduje. Pokračujte k části Čekání na rozšíření.
Ověření domény
Pokud váš záznam CNAME stále existuje a neobsahuje subdoménu afdverify , DigiCert automaticky ověří vlastnictví vaší vlastní domény.
Váš záznam CNAME by měl být v následujícím formátu:
| Name | Typ | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Další informace o záznamech CNAME najdete v tématu popisujícím vytvoření záznamu DNS CNAME.
Pokud je váš záznam CNAME ve správném formátu, DigiCert automaticky ověří váš vlastní název domény a vytvoří certifikát pro vaši doménu. Certifikát je platný po dobu jednoho roku a před vypršením platnosti se automaticky obnoví. Automatické ověřování obvykle trvá několik hodin. Pokud vaše doména není ověřena do 24 hodin, otevřete podpůrný tiket.
Pokračujte k části Čekání na rozšíření.
Note
Pokud máte záznam CAA (Certificate Authority Authorization) pro vašeho poskytovatele DNS, musí jako platnou certifikační autoritu zahrnovat DigiCert. Další informace naleznete v Správa záznamů CAA.
Čekání na rozšíření
Po ověření domény může aktivace funkce HTTPS vlastní domény trvat až 6 až 8 hodin. Po dokončení je vlastní stav HTTPS na webu Azure Portal nastavený na Povoleno.
Průběh operace
Následující tabulka ukazuje průběh operace při povolování PROTOKOLU HTTPS:
| Postup operace | Podrobnosti o dílčím kroku operace |
|---|---|
| 1. Odeslání žádosti | Odesílání žádosti |
| Vaše žádost o HTTPS se právě odesílá. | |
| Váš požadavek HTTPS byl úspěšně odeslán. | |
| 2. Ověření domény | Doména se automaticky ověří, pokud je CNAME namapovaný na výchozího hostitele front-endu .azurefd.net. |
| Vaše vlastnictví domény bylo úspěšně ověřeno. | |
| Platnost žádosti o ověření vlastnictví domény vypršela (zákazník pravděpodobně neodpověděl do šesti dnů). HTTPS není ve vaší doméně povolené. * | |
| Žádost o ověření vlastnictví domény zamítnutá zákazníkem HTTPS není ve vaší doméně povolené. * | |
| 3. Zřizování certifikátů | Certifikační autorita vydává certifikát potřebný k povolení HTTPS ve vaší doméně. |
| Certifikát byl vydán a je nasazován pro službu Front Door. Tento proces může trvat několik minut až hodinu. | |
| Certifikát byl úspěšně nasazen pro službu Front Door. | |
| 4. Dokončeno | Protokol HTTPS byl ve vaší doméně úspěšně povolený. |
* Tato zpráva se zobrazí pouze v případě, že dojde k chybě.
Pokud před odesláním žádosti dojde k chybě, zobrazí se následující chybová zpráva:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Nejčastější dotazy
Kdo je poskytovatel certifikátu a jaký typ certifikátu se používá?
Pro vaši vlastní doménu se používá vyhrazený nebo jeden certifikát, který poskytuje DigiCert.
Používáte protokol TLS/SSL založený na IP nebo SNI?
Azure Front Door používá protokol TLS/SSL SNI.
Co když neobdržím e-mail pro ověření domény od DigiCert?
Pokud máte položku CNAME pro vlastní doménu, která odkazuje přímo na název hostitele koncového bodu a nepoužíváte název subdomény afdverify, neobdržíte ověřovací e-mail domény. Ověření proběhne automaticky. Jinak pokud nemáte záznam CNAME a neobdržíte e-mail do 24 hodin, obraťte se na podporu Microsoftu.
Je používání certifikátu SAN méně bezpečné než vyhrazený certifikát?
Certifikát SAN využívá stejné standardy šifrování a zabezpečení jako vyhrazený certifikát. Všechny vydané certifikáty TLS/SSL používají sha-256 k lepšímu zabezpečení serveru.
Potřebuji záznam CAA (Certificate Authority Authorization) pro svého poskytovatele DNS?
Ne, záznam autorizace certifikační autority se v současné době nevyžaduje. Pokud ho však máte, musí jako platnou certifikační autoritu zahrnovat DigiCert.
Vyčistit zdroje
Zakázání HTTPS ve vlastní doméně:
Zákaz funkce HTTPS
Na webu Azure Portal přejděte do konfigurace služby Azure Front Door .
Vyberte vlastní doménu, pro kterou chcete protokol HTTPS zakázat.
Vyberte Zakázáno a vyberte Uložit.
Čekání na rozšíření
Po zakázání funkce HTTPS vlastní domény může trvat až 6 až 8 hodin, než se projeví. Po dokončení je vlastní stav HTTPS na webu Azure Portal nastavený na Zakázáno.
Průběh operace
Následující tabulka ukazuje průběh operace při zakazování PROTOKOLU HTTPS:
| Průběh operace | Podrobnosti o operaci |
|---|---|
| 1. Odeslání žádosti | Odesílání vaší žádosti |
| 2. Zrušení zřízení certifikátu | Odstraňování certifikátu |
| 3. Dokončeno | Certifikát odstraněn |