Konfigurace HTTPS pro vlastní doménu služby Azure Front Door pomocí webu Azure Portal

Azure Front Door ve výchozím nastavení umožňuje zabezpečené doručování tls (Transport Layer Security) do vašich aplikací, když používáte vlastní domény. Další informace o vlastních doménách, včetně toho, jak vlastní domény fungují s HTTPS, najdete v tématu Domény ve službě Azure Front Door.

Azure Front Door podporuje certifikáty spravované v Azure a certifikáty spravované zákazníkem. V tomto článku se dozvíte, jak nakonfigurovat oba typy certifikátů pro vlastní domény služby Azure Front Door.

Požadavky

• Než budete moct nakonfigurovat HTTPS pro vlastní doménu, musíte nejprve vytvořit profil služby Azure Front Door. Další informace najdete v tématu Vytvoření profilu služby Azure Front Door.
• Pokud ještě nemáte vlastní doménu, musíte si ji nejdřív koupit u poskytovatele domény. Příklad najdete v tématu Nákup vlastního názvu domény.
• Pokud k hostování domén DNS používáte Azure, musíte delegovat dns (Domain Name System) poskytovatele domény do Azure DNS. Další informace najdete v tématu Delegování domény do DNS Azure. Pokud pro správu domény DNS používáte poskytovatele domény, musíte doménu ověřit ručně zadáním požadovaných záznamů TXT DNS.

Certifikáty spravované službou Azure Front Door pro předpřipravené domény mimo Azure

Pokud máte vlastní doménu a doména ještě není přidružená k jiné službě Azure, která předem vyřadí domény pro Azure Front Door, postupujte takto:

1. V části Nastavení vyberte Domény pro profil služby Azure Front Door. Pak vyberte + Přidat a přidejte novou doménu.

   

2. V podokně Přidat doménu zadejte nebo vyberte následující informace. Potom vyberte Přidat a připojte vlastní doménu.

   

   Nastavení	Hodnota
   Typ domény	Vyberte předově ověřenou doménu mimo Azure.
   Správa DNS	Vyberte Azure Managed DNS (doporučeno).
   Zóna DNS	Vyberte zónu Azure DNS, která je hostitelem vlastní domény.
   Vlastní doména	Vyberte existující doménu nebo přidejte novou doménu.
   HTTPS	Vyberte spravovanou službu AFD (doporučeno).

3. Pomocí postupu povolení vlastní domény ověřte a přidružte vlastní doménu ke koncovému bodu.

4. Jakmile se vlastní doména úspěšně přidružuje ke koncovému bodu, Azure Front Door vygeneruje certifikát a nasadí ho. Dokončení tohoto procesu může trvat několik minut až hodinu.

Certifikáty spravované Azure pro předvalidované domény Azure

Pokud máte vlastní doménu a doména je přidružená k jiné službě Azure, která předem vyřadí domény pro Azure Front Door, postupujte takto:

1. V části Nastavení vyberte Domény pro profil služby Azure Front Door. Pak vyberte + Přidat a přidejte novou doménu.

   

2. V podokně Přidat doménu zadejte nebo vyberte následující informace. Potom vyberte Přidat a připojte vlastní doménu.

   

   Nastavení	Hodnota
   Typ domény	Vyberte předem ověřenou doménu Azure.
   Předověděné vlastní domény	V rozevíracím seznamu služeb Azure vyberte vlastní název domény.
   HTTPS	Vyberte spravovanou službu Azure.

3. Pomocí postupu povolení vlastní domény ověřte a přidružte vlastní doménu ke koncovému bodu.

4. Po úspěšném přidružení vlastní domény ke koncovému bodu se do služby Azure Front Door nasadí certifikát spravovaný službou Azure Front Door. Dokončení tohoto procesu může trvat několik minut až hodinu.

Použít vlastní certifikát

Můžete také použít vlastní certifikát TLS. Váš certifikát TLS musí splňovat určité požadavky. Další informace najdete v tématu Požadavky na certifikáty.

Připravte si trezor klíčů a certifikát

Vytvořte samostatnou instanci služby Azure Key Vault, do které ukládáte certifikáty TLS služby Azure Front Door. Další informace najdete v tématu Vytvoření instance služby Key Vault. Pokud už certifikát máte, můžete ho nahrát do nové instance služby Key Vault. V opačném případě můžete vytvořit nový certifikát prostřednictvím služby Key Vault z některého z partnerů certifikační autority (CA).

Pro přístup ke službě Key Vault aktuálně existují dva způsoby ověřování služby Azure Front Door:

• Spravovaná identita: Azure Front Door používá spravovanou identitu k ověření ve službě Key Vault. Tato metoda se doporučuje, protože je bezpečnější a nevyžaduje správu přihlašovacích údajů. Další informace najdete v tématu Použití spravovaných identit ve službě Azure Front Door. Pokud používáte tuto metodu, přeskočte k výběru certifikátu pro Azure Front Door, který se má nasadit .
• Registrace aplikace: Azure Front Door používá k ověření ve službě Key Vault registraci aplikace. Tato metoda je zastaralá a bude vyřazena v budoucnu. Další informace najdete v tématu Použití registrace aplikace ve službě Azure Front Door.

Upozorňující

*Azure Front Door v současné době podporuje pouze službu Key Vault ve stejném předplatném. Výběr služby Key Vault v jiném předplatném způsobí selhání.

• Azure Front Door nepodporuje certifikáty pomocí kryptografických algoritmů se třemi tečkami. Certifikát musí mít také úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty. Kořenová certifikační autorita musí být také součástí seznamu důvěryhodných certifikačních autorit Společnosti Microsoft.

Registrace služby Azure Front Door Service

Pomocí Microsoft Graph PowerShellu nebo Azure CLI zaregistrujte instanční objekt pro Azure Front Door jako aplikaci ve svém ID Microsoft Entra.

Poznámka:

• Tato akce vyžaduje, abyste měli v Microsoft Entra ID oprávnění správce uživatelských přístupů. Registraci je potřeba provést pouze jednou pro tenanta Microsoft Entra.
• ID aplikací 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a d4631ece-daab-479b-be77-ccb713491fc0 jsou předdefinované v Azure pro Azure Front Door Standard a Premium napříč všemi tenanty a předplatnými Azure. Azure Front Door (Classic) má jiné ID aplikace.

Microsoft Graph PowerShell

1. V případě potřeby nainstalujte Prostředí Microsoft Graph PowerShell v PowerShellu na místní počítač.

2. Pomocí PowerShellu spusťte následující příkaz:

   Veřejný cloud Azure:

   New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
   

   Cloud Azure Government:

    New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
   

Azure CLI

1. V případě potřeby nainstalujte Azure CLI na místní počítač.

2. Pomocí Azure CLI spusťte následující příkaz:

   Veřejný cloud Azure:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

   Cloud Azure Government:

    az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
   

Udělení přístupu k trezoru účtů službě Azure Front Door

Udělte službě Azure Front Door oprávnění pro přístup k certifikátům v novém účtu služby Key Vault, který jste vytvořili speciálně pro Azure Front Door. Abyste mohli certifikát načíst, musíte k certifikátu a tajnému klíči udělit GET oprávnění jenom službě Azure Front Door.

1. V účtu služby Key Vault vyberte zásady přístupu.

2. Vyberte Přidat novou nebo Vytvořit a vytvořte novou zásadu přístupu.

3. V části Oprávnění k tajným kódům vyberte Získat a povolte službě Azure Front Door načtení certifikátu.

4. V části Oprávnění k certifikátu vyberte Získat a povolte službě Azure Front Door načtení certifikátu.

5. V části Vybrat objekt zabezpečení vyhledejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a vyberte Microsoft.AzureFrontDoor-Cdn. Vyberte Další.

6. V části Aplikace vyberte Další.

7. V části Zkontrolovat a vytvořit vyberte Vytvořit.

Poznámka:

Pokud je trezor klíčů chráněný omezením přístupu k síti, nezapomeňte povolit důvěryhodným služby Microsoft přístup k trezoru klíčů.

Azure Front Door teď má přístup k tomuto trezoru klíčů a certifikátům, které obsahuje.

Vyberte certifikát, který má služba Azure Front Door nasadit

1. Vraťte se zpět k vaší službě Azure Front Door Standard nebo Premium na portálu.

2. V části Nastavení přejděte na Tajné kódy a vyberte + Přidat certifikát.

   

3. V podokně Přidat certifikát zaškrtněte políčko pro certifikát, který chcete přidat do služby Azure Front Door Standard/Premium.

4. Když vyberete certifikát, musíte vybrat verzi certifikátu. Pokud vyberete Nejnovější, Azure Front Door se automaticky aktualizuje při každé obměně certifikátu (prodloužení). Pokud chcete spravovat obměnu certifikátů sami, můžete také vybrat konkrétní verzi certifikátu.

   Ponechte výběr verze jako Nejnovější a vyberte Přidat.

   

5. Jakmile se certifikát úspěšně zřídí, můžete ho použít při přidání nové vlastní domény.

   

6. V části Nastavení přejděte na Domény a vyberte + Přidat a přidejte novou vlastní doménu. V podokně Přidat doménu vyberte pro HTTPS možnost Přineste si vlastní certifikát (BYOC). V rozevíracím seznamu vyberte certifikát, který chcete použít.

   Poznámka:

   Běžný název vybraného certifikátu se musí shodovat s přidanou vlastní doménou.

   

7. Podle pokynů na obrazovce certifikát ověřte. Potom přidružte nově vytvořenou vlastní doménu ke koncovému bodu, jak je uvedeno v části Konfigurace vlastní domény.

Přepínání mezi typy certifikátů

U domény si můžete zvolit mezi použitím certifikátu spravovaného službou Azure Front Door a certifikátu spravovaného zákazníkem. Další informace najdete v tématu Domény ve službě Azure Front Door.

1. Výběrem stavu certifikátu otevřete podokno Podrobnosti o certifikátu.

   

2. V podokně Podrobností o certifikátu můžete změnit mezi spravovanými službami Azure Front Door a BYOC (Bring Your Own Certificate).

   Pokud vyberete Možnost Přineste si vlastní certifikát (BYOC), vyberte certifikát podle předchozích kroků.

3. Vyberte Aktualizovat a změňte certifikát přidružený k doméně.

   

Další kroky

• Přečtěte si o ukládání do mezipaměti s využitím služby Azure Front Door Standard/Premium.
• Seznamte se s vlastními doménami ve službě Azure Front Door.
• Přečtěte si o kompletním protokolu TLS se službou Azure Front Door.