Konfigurace HTTPS pro vlastní doménu služby Azure Front Door pomocí webu Azure Portal
Článek
Azure Front Door ve výchozím nastavení umožňuje zabezpečené doručování tls (Transport Layer Security) do vašich aplikací, když používáte vlastní domény. Další informace o vlastních doménách, včetně toho, jak vlastní domény fungují s HTTPS, najdete v tématu Domény ve službě Azure Front Door.
Azure Front Door podporuje certifikáty spravované v Azure a certifikáty spravované zákazníkem. V tomto článku se dozvíte, jak nakonfigurovat oba typy certifikátů pro vlastní domény služby Azure Front Door.
Požadavky
Než budete moct nakonfigurovat HTTPS pro vlastní doménu, musíte nejprve vytvořit profil služby Azure Front Door. Další informace najdete v tématu Vytvoření profilu služby Azure Front Door.
Pokud ještě nemáte vlastní doménu, musíte si ji nejdřív koupit u poskytovatele domény. Příklad najdete v tématu Nákup vlastního názvu domény.
Pokud k hostování domén DNS používáte Azure, musíte delegovat dns (Domain Name System) poskytovatele domény do Azure DNS. Další informace najdete v tématu Delegování domény do DNS Azure. Pokud pro správu domény DNS používáte poskytovatele domény, musíte doménu ověřit ručně zadáním požadovaných záznamů TXT DNS.
Certifikáty spravované službou Azure Front Door pro předpřipravené domény mimo Azure
Jakmile se vlastní doména úspěšně přidružuje ke koncovému bodu, Azure Front Door vygeneruje certifikát a nasadí ho. Dokončení tohoto procesu může trvat několik minut až hodinu.
Certifikáty spravované Azure pro předvalidované domény Azure
Po úspěšném přidružení vlastní domény ke koncovému bodu se do služby Azure Front Door nasadí certifikát spravovaný službou Azure Front Door. Dokončení tohoto procesu může trvat několik minut až hodinu.
Použít vlastní certifikát
Můžete také použít vlastní certifikát TLS. Váš certifikát TLS musí splňovat určité požadavky. Další informace najdete v tématu Požadavky na certifikáty.
Připravte si trezor klíčů a certifikát
Vytvořte samostatnou instanci služby Azure Key Vault, do které ukládáte certifikáty TLS služby Azure Front Door. Další informace najdete v tématu Vytvoření instance služby Key Vault. Pokud už certifikát máte, můžete ho nahrát do nové instance služby Key Vault. V opačném případě můžete vytvořit nový certifikát prostřednictvím služby Key Vault z některého z partnerů certifikační autority (CA).
Pro přístup ke službě Key Vault aktuálně existují dva způsoby ověřování služby Azure Front Door:
Registrace aplikace: Azure Front Door používá k ověření ve službě Key Vault registraci aplikace. Tato metoda je zastaralá a bude vyřazena v budoucnu. Další informace najdete v tématu Použití registrace aplikace ve službě Azure Front Door.
Upozornění
*Azure Front Door v současné době podporuje pouze službu Key Vault ve stejném předplatném. Výběr služby Key Vault v jiném předplatném způsobí selhání.
Azure Front Door nepodporuje certifikáty pomocí kryptografických algoritmů se třemi tečkami. Certifikát musí mít také úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty. Kořenová certifikační autorita musí být také součástí seznamu důvěryhodných certifikačních autorit Společnosti Microsoft.
Registrace služby Azure Front Door Service
Pomocí Microsoft Graph PowerShellu nebo Azure CLI zaregistrujte instanční objekt pro Azure Front Door jako aplikaci ve svém ID Microsoft Entra.
Poznámka
Tato akce vyžaduje, abyste měli v Microsoft Entra ID oprávnění správce uživatelských přístupů. Registraci je potřeba provést pouze jednou pro tenanta Microsoft Entra.
ID aplikací 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a d4631ece-daab-479b-be77-ccb713491fc0 jsou předdefinované v Azure pro Azure Front Door Standard a Premium napříč všemi tenanty a předplatnými Azure. Azure Front Door (Classic) má jiné ID aplikace.
V případě potřeby nainstalujte Azure CLI na místní počítač.
Pomocí Azure CLI spusťte následující příkaz:
Veřejný cloud Azure:
az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
Cloud Azure Government:
az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
Udělení přístupu k trezoru účtů službě Azure Front Door
Udělte službě Azure Front Door oprávnění pro přístup k certifikátům v novém účtu služby Key Vault, který jste vytvořili speciálně pro Azure Front Door. Abyste mohli certifikát načíst, musíte k certifikátu a tajnému klíči udělit GET oprávnění jenom službě Azure Front Door.
V účtu služby Key Vault vyberte zásady přístupu.
Vyberte Přidat novou nebo Vytvořit a vytvořte novou zásadu přístupu.
V části Oprávnění k tajným kódům vyberte Získat a povolte službě Azure Front Door načtení certifikátu.
V části Oprávnění k certifikátu vyberte Získat a povolte službě Azure Front Door načtení certifikátu.
V části Vybrat objekt zabezpečení vyhledejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a vyberte Microsoft.AzureFrontDoor-Cdn. Vyberte Další.
V části Aplikace vyberte Další.
V části Zkontrolovat a vytvořit vyberte Vytvořit.
Poznámka
Pokud je trezor klíčů chráněný omezením přístupu k síti, nezapomeňte povolit důvěryhodným služby Microsoft přístup k trezoru klíčů.
Azure Front Door teď má přístup k tomuto trezoru klíčů a certifikátům, které obsahuje.
Vyberte certifikát, který má služba Azure Front Door nasadit
Vraťte se zpět k vaší službě Azure Front Door Standard nebo Premium na portálu.
V části Nastavení přejděte na Tajné kódy a vyberte + Přidat certifikát.
V podokně Přidat certifikát zaškrtněte políčko pro certifikát, který chcete přidat do služby Azure Front Door Standard/Premium.
Když vyberete certifikát, musíte vybrat verzi certifikátu. Pokud vyberete Nejnovější, Azure Front Door se automaticky aktualizuje při každé obměně certifikátu (prodloužení). Pokud chcete spravovat obměnu certifikátů sami, můžete také vybrat konkrétní verzi certifikátu.
Ponechte výběr verze jako Nejnovější a vyberte Přidat.
Jakmile se certifikát úspěšně zřídí, můžete ho použít při přidání nové vlastní domény.
V části Nastavení přejděte na Domény a vyberte + Přidat a přidejte novou vlastní doménu. V podokně Přidat doménu vyberte pro HTTPS možnost Přineste si vlastní certifikát (BYOC).V rozevíracím seznamu vyberte certifikát, který chcete použít.
Poznámka
Běžný název vybraného certifikátu se musí shodovat s přidanou vlastní doménou.
Podle pokynů na obrazovce certifikát ověřte. Potom přidružte nově vytvořenou vlastní doménu ke koncovému bodu, jak je uvedeno v části Konfigurace vlastní domény.
Přepínání mezi typy certifikátů
U domény si můžete zvolit mezi použitím certifikátu spravovaného službou Azure Front Door a certifikátu spravovaného zákazníkem. Další informace najdete v tématu Domény ve službě Azure Front Door.
Výběrem stavu certifikátu otevřete podokno Podrobnosti o certifikátu.
V podokně Podrobností o certifikátu můžete změnit mezi spravovanými službami Azure Front Door a BYOC (Bring Your Own Certificate).
Pokud vyberete Možnost Přineste si vlastní certifikát (BYOC), vyberte certifikát podle předchozích kroků.
Vyberte Aktualizovat a změňte certifikát přidružený k doméně.
Předveďte dovednosti potřebné k implementaci kontrolních mechanismů zabezpečení, udržování stavu zabezpečení organizace a identifikaci a nápravě ohrožení zabezpečení.