Konfigurace HTTPS pro vlastní doménu služby Azure Front Door pomocí webu Azure Portal

  • Článek

Azure Front Door ve výchozím nastavení umožňuje zabezpečené doručování tls (Transport Layer Security) do vašich aplikací, když používáte vlastní domény. Další informace o vlastních doménách, včetně toho, jak vlastní domény fungují s HTTPS, najdete v tématu Domény ve službě Azure Front Door.

Azure Front Door podporuje certifikáty spravované v Azure a certifikáty spravované zákazníkem. V tomto článku se dozvíte, jak nakonfigurovat oba typy certifikátů pro vlastní domény služby Azure Front Door.

Požadavky

  • Než budete moct nakonfigurovat HTTPS pro vlastní doménu, musíte nejprve vytvořit profil služby Azure Front Door. Další informace najdete v tématu Vytvoření profilu služby Azure Front Door.
  • Pokud ještě nemáte vlastní doménu, musíte si ji nejdřív koupit u poskytovatele domény. Příklad najdete v tématu Nákup vlastního názvu domény.
  • Pokud k hostování domén DNS používáte Azure, musíte delegovat dns (Domain Name System) poskytovatele domény do Azure DNS. Další informace najdete v tématu Delegování domény do DNS Azure. Pokud pro správu domény DNS používáte poskytovatele domény, musíte doménu ověřit ručně zadáním požadovaných záznamů TXT DNS.

Certifikáty spravované službou Azure Front Door pro předpřipravené domény mimo Azure

Pokud máte vlastní doménu a doména ještě není přidružená k jiné službě Azure, která předem vyřadí domény pro Azure Front Door, postupujte takto:

  1. V části Nastavení vyberte Domény pro profil služby Azure Front Door. Pak vyberte + Přidat a přidejte novou doménu.

    Snímek obrazovky znázorňující cílové podokno konfigurace domény

  2. V podokně Přidat doménu zadejte nebo vyberte následující informace. Potom vyberte Přidat a připojte vlastní doménu.

    Snímek obrazovky znázorňující podokno Přidat doménu s vybranou možností Azure Managed DNS

    Nastavení Hodnota
    Typ domény Vyberte předově ověřenou doménu mimo Azure.
    Správa DNS Vyberte Azure Managed DNS (doporučeno).
    Zóna DNS Vyberte zónu Azure DNS, která je hostitelem vlastní domény.
    Vlastní doména Vyberte existující doménu nebo přidejte novou doménu.
    HTTPS Vyberte spravovanou službu AFD (doporučeno).

  3. Pomocí postupu povolení vlastní domény ověřte a přidružte vlastní doménu ke koncovému bodu.

  4. Jakmile se vlastní doména úspěšně přidružuje ke koncovému bodu, Azure Front Door vygeneruje certifikát a nasadí ho. Dokončení tohoto procesu může trvat několik minut až hodinu.

Certifikáty spravované Azure pro předvalidované domény Azure

Pokud máte vlastní doménu a doména je přidružená k jiné službě Azure, která předem vyřadí domény pro Azure Front Door, postupujte takto:

  1. V části Nastavení vyberte Domény pro profil služby Azure Front Door. Pak vyberte + Přidat a přidejte novou doménu.

    Snímek obrazovky znázorňující cílové podokno Domény

  2. V podokně Přidat doménu zadejte nebo vyberte následující informace. Potom vyberte Přidat a připojte vlastní doménu.

    Snímek obrazovky znázorňující podokno Přidat doménu s předem zastaralou doménou

    Nastavení Hodnota
    Typ domény Vyberte předem ověřenou doménu Azure.
    Předověděné vlastní domény V rozevíracím seznamu služeb Azure vyberte vlastní název domény.
    HTTPS Vyberte spravovanou službu Azure.

  3. Pomocí postupu povolení vlastní domény ověřte a přidružte vlastní doménu ke koncovému bodu.

  4. Po úspěšném přidružení vlastní domény ke koncovému bodu se do služby Azure Front Door nasadí certifikát spravovaný službou Azure Front Door. Dokončení tohoto procesu může trvat několik minut až hodinu.

Použít vlastní certifikát

Můžete také použít vlastní certifikát TLS. Váš certifikát TLS musí splňovat určité požadavky. Další informace najdete v tématu Požadavky na certifikáty.

Připravte si trezor klíčů a certifikát

Doporučujeme vytvořit samostatnou instanci služby Azure Key Vault, do které se mají ukládat certifikáty TLS služby Azure Front Door. Další informace najdete v tématu Vytvoření instance služby Key Vault. Pokud už certifikát máte, můžete ho nahrát do nové instance služby Key Vault. V opačném případě můžete vytvořit nový certifikát prostřednictvím služby Key Vault z některého z partnerů certifikační autority (CA).

Upozorňující

Azure Front Door v současné době podporuje pouze službu Key Vault ve stejném předplatném. Výběr služby Key Vault v jiném předplatném způsobí selhání.

Další body k poznámce o certifikátech:

  • Azure Front Door nepodporuje certifikáty pomocí kryptografických algoritmů se třemi tečkami. Certifikát musí mít také úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty. Kořenová certifikační autorita musí být také součástí seznamu důvěryhodných certifikačních autorit Společnosti Microsoft.
  • Doporučujeme použít spravovanou identitu , abyste povolili přístup k certifikátům služby Key Vault, protože registrace aplikace se v budoucnu vyřadí z provozu.

Registrace služby Azure Front Door Service

Pomocí Azure PowerShellu nebo Azure CLI zaregistrujte instanční objekt pro Azure Front Door jako aplikaci ve svém ID Microsoft Entra.

Poznámka:

  • Tato akce vyžaduje, abyste v ID Microsoft Entra měli oprávnění globálního Správa istratoru. Registraci je potřeba provést pouze jednou pro tenanta Microsoft Entra.
  • ID aplikací 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a d4631ece-daab-479b-be77-ccb713491fc0 jsou předdefinované v Azure pro Azure Front Door Standard a Premium napříč všemi tenanty a předplatnými Azure. Azure Front Door (Classic) má jiné ID aplikace.

  1. V případě potřeby nainstalujte Azure PowerShell v PowerShellu na místním počítači.

  2. Pomocí PowerShellu spusťte následující příkaz:

    Veřejný cloud Azure:

    New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'

    Cloud Azure Government:

     New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'

Udělení přístupu k trezoru účtů službě Azure Front Door

Udělte službě Azure Front Door oprávnění pro přístup k certifikátům v účtu služby Key Vault. Abyste mohli certifikát načíst, musíte k certifikátu a tajnému klíči udělit GET oprávnění jenom službě Azure Front Door.

  1. V účtu služby Key Vault vyberte zásady přístupu.

  2. Vyberte Přidat novou nebo Vytvořit a vytvořte novou zásadu přístupu.

  3. V části Oprávnění k tajným kódům vyberte Získat a povolte službě Azure Front Door načtení certifikátu.

  4. V části Oprávnění k certifikátu vyberte Získat a povolte službě Azure Front Door načtení certifikátu.

  5. V části Vybrat objekt zabezpečení vyhledejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a vyberte Microsoft.AzureFrontDoor-Cdn. Vyberte Další.

  6. V části Aplikace vyberte Další.

  7. V části Zkontrolovat a vytvořit vyberte Vytvořit.

Poznámka:

Pokud je trezor klíčů chráněný omezením přístupu k síti, nezapomeňte povolit důvěryhodným služby Microsoft přístup k trezoru klíčů.

Azure Front Door teď má přístup k tomuto trezoru klíčů a certifikátům, které obsahuje.

Vyberte certifikát, který má služba Azure Front Door nasadit

  1. Vraťte se zpět k vaší službě Azure Front Door Standard nebo Premium na portálu.

  2. V části Nastavení přejděte na Tajné kódy a vyberte + Přidat certifikát.

    Snímek obrazovky znázorňující cílové podokno tajných kódů služby Azure Front Door

  3. V podokně Přidat certifikát zaškrtněte políčko pro certifikát, který chcete přidat do služby Azure Front Door Standard/Premium.

  4. Když vyberete certifikát, musíte vybrat verzi certifikátu. Pokud vyberete Nejnovější, Azure Front Door se automaticky aktualizuje při každé obměně certifikátu (prodloužení). Pokud chcete spravovat obměnu certifikátů sami, můžete také vybrat konkrétní verzi certifikátu.

    Ponechte výběr verze jako Nejnovější a vyberte Přidat.

    Snímek obrazovky s podoknem Přidat certifikát

  5. Jakmile se certifikát úspěšně zřídí, můžete ho použít při přidání nové vlastní domény.

    Snímek obrazovky znázorňující úspěšně přidaný certifikát do tajných kódů

  6. V části Nastavení přejděte na Domény a vyberte + Přidat a přidejte novou vlastní doménu. V podokně Přidat doménu vyberte pro HTTPS možnost Přineste si vlastní certifikát (BYOC). V rozevíracím seznamu vyberte certifikát, který chcete použít.

    Poznámka:

    Běžný název vybraného certifikátu se musí shodovat s přidanou vlastní doménou.

    Snímek obrazovky znázorňující podokno Přidat vlastní doménu pomocí protokolu HTTPS

  7. Podle pokynů na obrazovce certifikát ověřte. Potom přidružte nově vytvořenou vlastní doménu ke koncovému bodu, jak je uvedeno v části Konfigurace vlastní domény.

Přepínání mezi typy certifikátů

U domény si můžete zvolit mezi použitím certifikátu spravovaného službou Azure Front Door a certifikátu spravovaného zákazníkem. Další informace najdete v tématu Domény ve službě Azure Front Door.

  1. Výběrem stavu certifikátu otevřete podokno Podrobnosti o certifikátu.

    Snímek obrazovky znázorňující stav certifikátu v cílovém podokně Domény

  2. V podokně Podrobností o certifikátu můžete změnit mezi spravovanými službami Azure Front Door a BYOC (Bring Your Own Certificate).

    Pokud vyberete Možnost Přineste si vlastní certifikát (BYOC), vyberte certifikát podle předchozích kroků.

  3. Vyberte Aktualizovat a změňte certifikát přidružený k doméně.

    Snímek obrazovky znázorňující podokno podrobností o certifikátu

Další kroky