Konfigurieren eines benutzerdefinierten Domänennamens für Ihre Azure API Management-Instanz

GILT FÜR: Alle API Management-Ebenen

Wenn Sie eine Azure API Management-Dienstinstanz in der Azure Cloud erstellen, weist Azure sie einer unterdomäne azure-api.net zu (z. B. apim-service-name.azure-api.net). Sie können Ihre API Management-Endpunkte auch unter Ihrem eigenen benutzerdefinierten Domänennamen verfügbar machen (z. B. contoso.com). In diesem Artikel erfahren Sie, wie Sie Endpunkten, die durch eine API Management-Instanz verfügbar gemacht werden, einen vorhandenen benutzerdefinierten DNS-Namen zuordnen.

Important

API Management akzeptiert nur Anforderungen, bei denen der Hostheaderwert mit einem der folgenden Werte übereinstimmt:

• Standarddomänenname des Gateways
• Beliebiger benutzerdefinierter Domänenname, der für das Gateway konfiguriert ist

Note

Derzeit werden benutzerdefinierte Domänennamen in einem Arbeitsbereichs-Gateway nicht unterstützt.

Important

Änderungen an der Infrastruktur Ihres API-Verwaltungsdiensts (z. B. Konfigurieren von benutzerdefinierten Domänen, Hinzufügen von Zertifizierungsstellenzertifikaten, Skalierung, Konfiguration virtueller Netzwerke, Änderungen der Verfügbarkeitszone und Regionszufügungen) können je nach Dienstebene und Größe der Bereitstellung 15 Minuten oder länger dauern. Instanzen mit einer größeren Anzahl von Skalierungseinheiten oder Konfigurationen mit mehreren Regionen (Gateways an mehreren Standorten) benötigen mehr Zeit. Laufende Änderungen an der API-Verwaltung werden sorgfältig ausgeführt, um Kapazität und Verfügbarkeit zu bewahren.

Während der Dienst aktualisiert wird, können andere Änderungen an der Dienstinfrastruktur nicht vorgenommen werden. Sie können jedoch APIs, Produkte, Richtlinien und Benutzereinstellungen konfigurieren. Der Dienst erlebt keine Ausfallzeiten des Gateways, und die API-Verwaltung wird weiterhin API-Anforderungen ohne Unterbrechung (mit Ausnahme der Entwicklerebene) dienstieren.

Prerequisites

• Eine API Management-Instanz. Weitere Informationen finden Sie unter Create an Azure API Management instance.

• Einen benutzerdefinierten Domänennamen, der sich in Ihrem Besitz oder im Besitz Ihrer Organisation befindet. Dieser Artikel enthält keine Anleitung zum Erwerben eines benutzerdefinierten Domänennamens.

• Optional: Ein gültiges Zertifikat mit einem öffentlichen und privaten Schlüssel (.pfx). Der Antragstellername oder der alternative Antragstellername (Subject Alternative Name, SAN) muss dem Domänennamen entsprechen, damit die API Management-Instanz auf sichere Weise URLs über TLS verfügbar machen kann.

  Siehe Domänenzertifikatoptionen.

• DNS-Einträge, die auf einem DNS-Server gehostet werden, der den benutzerdefinierten Domänennamen dem Standarddomänennamen Ihrer API Management-Instanz zuordnet. Dieser Artikel enthält keine Anleitung zum Hosten der DNS-Einträge.

  Weitere Informationen zu den erforderlichen Einträgen finden Sie weiter unten in diesem Artikel unter DNS-Konfiguration.

Endpunkte für benutzerdefinierte Domänen

Es gibt verschiedene API Management-Endpunkte, denen Sie einen benutzerdefinierten Domänennamen zuweisen können. Derzeit sind folgende Endpunkte verfügbar:

Endpoint	Default
Gateway	Der Standardwert ist <apim-service-name>.azure-api.net. Gateway ist der einzige Endpunkt, der zur Konfiguration im Tarif „Verbrauch“ verfügbar ist. Die Standardkonfiguration des Gatewayendpunkts bleibt verfügbar, nachdem eine benutzerdefinierte Gatewaydomäne hinzugefügt wurde.
Entwicklerportal (alle Ebenen mit Ausnahme des Verbrauchs)	Der Standardwert ist <apim-service-name>.developer.azure-api.net.
Verwaltung (nur klassische Ebenen)	Der Standardwert ist <apim-service-name>.management.azure-api.net.
Selbst gehostete Gatewaykonfigurations-API (v2)	Der Standardwert ist <apim-service-name>.configuration.azure-api.net.
SCM (nur klassische Ebenen)	Der Standardwert ist <apim-service-name>.scm.azure-api.net.

Considerations

• Sie können jeden der Endpunkte aktualisieren, die in Ihrer Dienstebene unterstützt werden. In der Regel aktualisieren Kunden Gateway (diese URL wird zum Aufrufen der über API Management verfügbar gemachten API verwendet) und Entwicklerportal (die URL des Entwicklerportals).
• Der Standardendpunkt Gateway ist noch verfügbar, nachdem Sie einen benutzerdefinierten Gatewaydomänennamen konfiguriert haben, und kann nicht gelöscht werden. Für andere API Management-Endpunkte (z. B. Entwicklerportal), die Sie mit einem benutzerdefinierten Domänennamen konfigurieren, ist der Standardendpunkt nicht mehr verfügbar.
• Nur API Management-Instanzbesitzer können Verwaltungs- und SCM-Endpunkte intern verwenden. Diesen Endpunkten wird seltener ein benutzerdefinierter Domänenname zugewiesen.
• In den Tarifen Premium und Developer können mehrere Hostnamen für den Endpunkt Gateway festgelegt werden.
• Platzhalterdomänennamen wie *.contoso.com werden in allen Tarifen mit Ausnahme des Tarifs „Verbrauch“ unterstützt. Ein spezifisches Unterdomänen-Zertifikat (z. B. api.contoso.com) hätte Vorrang vor einem Platzhalterzertifikat (*.contoso.com) für Anforderungen an api.contoso.com.
• Beim Konfigurieren einer benutzerdefinierten Domäne für das Entwicklerportal können Sie CORS für den neuen Domänennamen aktivieren. Dies ist für Entwicklerportalbesucher erforderlich, um die interaktive Konsole auf den API-Referenzseiten zu verwenden.

Domänenzertifikatoptionen

DIE API-Verwaltung unterstützt benutzerdefinierte TLS-Zertifikate oder Zertifikate, die aus Azure Key Vault importiert wurden. Sie können auch ein kostenloses, verwaltetes Zertifikat aktivieren.

Warning

Wenn Sie eine Zertifikatanheftung benötigen, verwenden Sie bitte einen benutzerdefinierten Domänennamen und entweder ein benutzerdefiniertes oder Key Vault Zertifikat, nicht das Standardzertifikat oder das kostenlose, verwaltete Zertifikat. Es wird davon abgeraten, eine feste Abhängigkeit von einem Zertifikat zu definieren, das Sie nicht verwalten.

Custom

Wenn Sie bereits über ein privates Zertifikat von einem Drittanbieter verfügen, können Sie es in Ihre API Management-Instanz hochladen. Es muss die folgenden Anforderungen erfüllen. (Wenn Sie das kostenlose Zertifikat aktivieren, das von API Management verwaltet wird, erfüllt es diese Anforderungen bereits.)

• Exportiert als PFX-Datei, mit Triple DES verschlüsselt und optional kennwortgeschützt
• Enthält einen privaten Schlüssel mit mindestens 2048 Bit
• Enthält alle Zwischenzertifikate und das Stammzertifikat in der Zertifikatkette.

Key Vault

Es wird empfohlen, Azure Key Vault zum Manage Ihrer Zertifikate zu verwenden und sie auf autorenew festzulegen.

Wenn Sie Azure Key Vault zum Verwalten eines benutzerdefinierten TLS-Domänenzertifikats verwenden, stellen Sie sicher, dass das Zertifikat in Key Vault as a certificate und nicht in ein secret eingefügt wird.

Caution

Wenn Sie in API Management ein Zertifikat aus einem Schlüsseltresor verwenden, dürfen Sie auf keinen Fall das Zertifikat, den Schlüsseltresor oder die verwaltete Identität löschen, die für den Zugriff auf den Schlüsseltresor verwendet wird.

Um ein TLS/SSL-Zertifikat abzurufen, muss die API-Verwaltung über die Liste verfügen und geheime Berechtigungen für die Azure Key Vault abrufen, die das Zertifikat enthalten.

• Wenn Sie das Azure Portal zum Importieren des Zertifikats verwenden, werden alle erforderlichen Konfigurationsschritte automatisch ausgeführt.

• Wenn Sie Befehlszeilentools oder eine Verwaltungs-API nutzen, müssen diese Berechtigungen manuell in zwei Schritten erteilt werden:

  1. Aktivieren Sie auf der Seite Verwaltete Identitäten für Ihre API Management-Instanz eine system- oder benutzerseitig zugewiesene verwaltete Identität. Notieren Sie sich die auf dieser Seite angezeigte Prinzipal-ID.
  2. Weisen Sie der verwalteten Identität Berechtigungen für den Zugriff auf den Schlüsseltresor zu. Führen Sie die Schritte im folgenden Abschnitt aus.

  Konfigurieren des Zugriffs auf den Schlüsseltresor

  1. Wechseln Sie im Azure-Portal zu Ihrem Schlüsselarchiv.
  2. Wählen Sie im linken Menü die Konfiguration "Einstellungen>" aus. Notieren Sie sich das konfigurierte Berechtigungsmodell.
  3. Konfigurieren Sie je nach Berechtigungsmodell entweder eine key Vault-Zugriffsrichtlinie oder Azure RBAC-Zugriff für eine verwaltete API-Identität.

  Um eine Zugriffsrichtlinie für den Key Vault hinzuzufügen:

  1. Wählen Sie im Menü auf der linken Seite Zugriffsrichtlinien aus.
  2. Wählen Sie auf der Seite Zugriffsrichtlinien die Option + Erstellen aus.
  3. Wählen Sie auf der Registerkarte "Berechtigungen " unter "Geheime Berechtigungen" die Option " Abrufen und Liste" und dann " Weiter" aus.
  4. Suchen Sie auf der Registerkarte "Prinzipal " nach dem Ressourcennamen Ihrer verwalteten Identität, und wählen Sie dann "Weiter" aus. Wenn Sie eine systemseitig zugewiesene Identität verwenden, ist der Prinzipal der Name der API Management-Instanz.
  5. Wählen Sie erneut Weiter aus. Wählen Sie auf der Registerkarte Überprüfen + erstellen die Option Erstellen aus.

  Um den Azure RBAC-Zugriff zu konfigurieren:

  1. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.
  2. Wählen Sie auf der Seite Zugriffssteuerung (IAM) die Option Rollenzuweisung hinzufügen aus.
  3. Wählen Sie auf der Registerkarte RoleKey Vault Zertifikat-Benutzer aus.
  4. Wählen Sie auf der Registerkarte Mitglieder die Option Verwaltete Identität>+ Mitglieder auswählen aus.
  5. Wählen Sie im Fenster "Verwaltete Identitäten auswählen " die vom System zugewiesene verwaltete Identität oder eine vom Benutzer zugewiesene verwaltete Identität aus, die Ihrer API-Verwaltungsinstanz zugeordnet ist, und klicken Sie dann auf "Auswählen".
  6. Wählen Sie Überprüfen und zuweisen aus.

Wenn für das Zertifikat autorenew eingerichtet ist und Ihr API Management-Tarif eine SLA aufweist (dies trifft auf alle Tarife mit Ausnahme des Developer-Tarifs zu), wählt API Management automatisch die neuste Version aus, ohne Downtime für den Dienst.

Hilfe zur Problembehandlung bei Azure Key Vault Zertifikatzugriffsproblemen finden Sie unter Certificate-Synchronisierung und Problembehandlung für Azure Key Vault gesicherte Zertifikate weiter unten in diesem Artikel.

Managed

API Management stellt ein kostenloses, verwaltetes TLS-Zertifikat für Ihre Domäne bereit, wenn Sie kein eigenes Zertifikat erwerben und verwalten möchten. Das Zertifikat wird automatisch erneuert.

Important

Die Erstellung von verwalteten Zertifikaten für benutzerdefinierte Domänen in der API-Verwaltung ist vorübergehend vom 15. August 2025 bis zum 30. Juni 2026 nicht verfügbar. Unsere Zertifizierungsstelle ( CA), DigiCert, wird zu einer neuen Validierungsplattform migriert, um die Anforderungen der Multi-Perspective Issuance Corroboration (MPIC) für die Ausstellung von Zertifikaten zu erfüllen. Diese Migration erfordert, dass die Erstellung von verwalteten Zertifikaten für benutzerdefinierte Domänen vorübergehend angehalten wird. Weitere Informationen

Vorhandene verwaltete Zertifikate werden neu verwaltet und bleiben unberührt.

Während die Erstellung von verwalteten Zertifikaten angehalten wird, verwenden Sie andere Zertifikatoptionen zum Konfigurieren von benutzerdefinierten Domänen.

Note

Das kostenlose, verwaltete TLS-Zertifikat befindet sich in der Vorschau.

Limitations

• Derzeit nur mit dem Gatewayendpunkt Ihres API Management-Diensts verwendbar
• In den v2-Ebenen nicht unterstützt
• Keine Unterstützung mit dem selbst gehosteten Gateway
• Nicht unterstützt in den folgenden Azure Regionen: Frankreich Süd- und Südafrika West
• Derzeit nur in der Azure Cloud verfügbar
• Keine Unterstützung von Stammdomänennamen (z. B. contoso.com) Erfordert einen vollqualifizierten Namen wie beispielsweise api.contoso.com
• Unterstützt nur öffentliche Domänennamen
• Kann nur beim Aktualisieren einer vorhandenen API Management-Instanz und nicht beim Erstellen einer Instanz konfiguriert werden

Zugriff auf DigiCert-IP-Adressen zulassen

Ab Januar 2026 benötigt Azure API Management eingehenden Zugriff auf Port 80 zu bestimmten DigiCert-IP-Adressen, um Ihr verwaltetes Zertifikat zu verlängern (erneuern).

Wenn Ihre API-Verwaltungsinstanz eingehende IP-Adressen einschränkt, empfiehlt es sich, vorhandene IP-Einschränkungen mithilfe einer der folgenden Methoden basierend auf Ihrer Bereitstellungsarchitektur zu entfernen oder zu ändern.

Note

Wenn Sie Änderungen an Richtlinienkonfigurationen, Netzwerksicherheitsgruppen oder Firewallregeln vornehmen, wird empfohlen, den Zugriff auf Ihre APIs zu testen, um zu bestätigen, dass die Einschränkungen wie beabsichtigt entfernt wurden.

Entfernen oder Bearbeiten von IP-Filterrichtlinien in der API-Verwaltung

Wenn Sie IP-Adressbeschränkungen mithilfe integrierter Richtlinien wie ip-Filter implementiert haben:

1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Ihrer API-Verwaltungsinstanz.
2. Wählen Sie unter APIs die API aus, in der die Richtlinie gilt (oder alle APIs für eine globale Änderung).
3. Wählen Sie auf der Registerkarte "Entwurf " in der eingehenden Verarbeitung das Code-Editorsymbol (</>) aus.
4. Suchen Sie die Richtlinienanweisung für IP-Einschränkungen.
5. Führen Sie eines der folgenden Verfahren aus:
   • Löschen Sie den gesamten XML-Codeausschnitt, um die Einschränkung vollständig zu entfernen.
   • Bearbeiten Sie die Elemente, um bestimmte IP-Adressen oder Bereiche nach Bedarf einzuschließen oder zu entfernen. Es wird empfohlen, der Zulassungsliste die DigiCert-IP-Adressen hinzuzufügen.
6. Wählen Sie "Speichern " aus, um Änderungen sofort auf das Gateway anzuwenden.

Ändern von Regeln für Netzwerksicherheitsgruppen (Bereitstellung externer virtueller Netzwerke)

Wenn Sie Ihre API-Verwaltungsinstanz in einem virtuellen Netzwerk im externen Modus bereitstellen, werden eingehende IP-Einschränkungen in der Regel mithilfe von Netzwerksicherheitsgruppenregeln im Subnetz verwaltet.

So ändern Sie die Netzwerksicherheitsgruppe, die Sie im Subnetz konfiguriert haben:

1. Wechseln Sie im Azure-Portal zu Network-Sicherheitsgruppen.
2. Wählen Sie die Netzwerksicherheitsgruppe aus, die Ihrem API-Verwaltungssubnetz zugeordnet ist.
3. Suchen Sie unter "Einstellungen>eingehende Sicherheitsregeln" Nach Regeln, die die IP-Einschränkung erzwingen (z. B. Regeln mit einem bestimmten Quell-IP-Bereich oder Diensttag, den Sie entfernen oder erweitern möchten).
4. Führen Sie eines der folgenden Verfahren aus:
   • Löschen Sie die restriktive Regel: Wählen Sie die Regel aus, und wählen Sie die Option "Löschen " aus.
   • Bearbeiten Sie die Regel: Quelle zuIP-Adressen ändern und fügen Sie die DigiCert-IP-Adressen zur Zulassungsliste auf Port 80 hinzu.
5. Wählen Sie Speichern aus.

Interne Bereitstellung virtueller Netzwerke

Wenn Ihre API-Verwaltungsinstanz in einem virtual-Netzwerk im internen Modus bereitgestellt wird und mit Azure Application Gateway, Azure Front Door oder Azure Traffic Manager verbunden ist, müssen Sie die folgende Architektur implementieren:

Azure Front Door/ Traffic Manager → Anwendungsgateway → API-Verwaltung (internes virtuelles Netzwerk)

Sowohl die Anwendungsgateway- als auch die API-Verwaltungsinstanzen müssen in dasselbe virtuelle Netzwerk eingefügt werden. Erfahren Sie mehr über die Integration des Anwendungsgateways in die API-Verwaltung.

Schritt 1: Konfigurieren des Anwendungsgateways vor der API-Verwaltung und Zulassen von DigiCert-IP-Adressen in der Netzwerksicherheitsgruppe

1. Wechseln Sie im Azure-Portal zu Network-Sicherheitsgruppen und wählen Sie die Netzwerksicherheitsgruppe für Ihr API-Verwaltungssubnetz aus.
2. Suchen Sie unter "Einstellungen>eingehende Sicherheitsregeln" Nach Regeln, die die IP-Einschränkung erzwingen (z. B. Regeln mit einem bestimmten Quell-IP-Bereich oder Diensttag, den Sie entfernen oder erweitern möchten).
3. Führen Sie eines der folgenden Verfahren aus:
   • Löschen Sie die restriktive Regel: Wählen Sie die Regel aus, und wählen Sie die Option "Löschen " aus.
   • Bearbeiten Sie die Regel: Quelle zuIP-Adressen ändern und fügen Sie die DigiCert-IP-Adressen zur Zulassungsliste auf Port 80 hinzu.
4. Wählen Sie Speichern aus.

Schritt 2: Beibehalten von benutzerdefinierten Zieldomänen/Hostnamen vom Datenverkehrs-Manager bis zur API-Verwaltungsinstanz

Führen Sie je nach Bereitstellung eine oder mehrere der folgenden Aktionen aus:

• Konfigurieren Sie Azure Front Door, um den Hostheader beizubehalten (den ursprünglichen Hostheader weiterleiten).

  • Azure Front Door (klassisch):Backend-Hostheader festlegen auf den API-Verwaltungshostnamen (nicht den Anwendungsgateway-FQDN) oder Preserve des eingehenden Hostheaders auswählen, wenn benutzerdefinierte Domänen verwendet werden.
  • Azure Front Door Standard/Premium: In Route > Origin > Origin settings, aktivieren Sie Forward Host Header und wählen Sie Original Hostheader aus.

• Konfigurieren Sie das Anwendungsgateway, um den Hostheader beizubehalten.

  Führen Sie in DEN HTTP-Einstellungen eine der folgenden Aktionen aus, um sicherzustellen, dass das Anwendungsgateway als Reverseproxy fungiert, ohne den Hostheader neu zu schreiben:

  • Setzen Sie Hostname überschreiben auf Nein.
  • Wenn Sie die Außerkraftsetzung des Hostnamens verwenden, legen Sie fest "Hostname aus der eingehenden Anfrage auswählen" (empfohlen).

• Stellen Sie sicher, dass die API-Verwaltung über eine übereinstimmende benutzerdefinierte Domäne verfügt.

  Die API-Verwaltung im internen virtuellen Netzwerkmodus erfordert weiterhin den eingehenden Hostnamen, um einer von Ihnen konfigurierten benutzerdefinierten API-Verwaltungsdomäne zu entsprechen.

  Beispiel:

  Ebene	Hostheader
  Client → Azure Front Door	api.contoso.com
  Azure Front Door → Anwendungsgateway	api.contoso.com
  Anwendungsgateway → API-Verwaltung	api.contoso.com

  API-Verwaltung lehnt Anforderungen ab, wenn der eingehende Hostname nicht mit einer konfigurierten benutzerdefinierten Domäne übereinstimmt.

  Important

  Wenn Sie ein kostenloses, verwaltetes Zertifikat für Azure Front Door in derselben Domäne api.contoso.com konfiguriert haben, können Sie das kostenlose, verwaltete Zertifikatfeature der API-Verwaltung nicht verwenden. Stattdessen empfehlen wir, Ihr eigenes Zertifikat mitzubringen und es in API Management für die benutzerdefinierte Domäne hochzuladen.

Ändern von Azure Firewall Regeln bei Verwendung

Wenn eine Azure Firewall Ihre API-Verwaltungsinstanz schützt, ändern Sie die Netzwerkregeln der Firewall, um den eingehenden Zugriff von DigiCert-IP-Adressen auf Port 80 zuzulassen:

1. Wechseln Sie zu Ihrer Azure FirewallInstanz.
2. Suchen Sie unter "Einstellungsregeln"> (oder "Netzwerkregeln") nach der Regelsammlung und der spezifischen Regel, die den eingehenden Zugriff auf die API-Verwaltungsinstanz einschränkt.
3. Bearbeiten oder löschen Sie die Regel, um die DigiCert-IP-Adressen zur Zulassungsliste am Port 80 hinzuzufügen.
4. Wählen Sie "Api-Zugriff speichern und testen" aus.

Festlegen eines benutzerdefinierten Domänennamens – Portal

Wählen Sie die Schritte gemäß Domänenzertifikat aus, das Sie verwenden möchten.

Custom

1. Navigieren Sie im Azure-Portal zu Ihrer API-Verwaltungsinstanz.
2. Wählen Sie im linken Navigationsbereich die Option Benutzerdefinierte Domänen aus.
3. Klicken Sie auf +Hinzufügen, oder wählen Sie einen vorhandenen Endpunkt aus, den Sie aktualisieren möchten.
4. Wählen Sie im Fenster auf der rechten Seite den Typ des Endpunkts für die benutzerdefinierte Domäne aus.
5. Geben Sie im Feld Hostname den gewünschten Namen an. Beispiel: api.contoso.com.
6. Wählen Sie unter Zertifikat die Option Benutzerdefinierte aus.
7. Wählen Sie Zertifikatdatei aus, um ein Zertifikat auszuwählen und hochzuladen.
8. Wenn das Zertifikat mit einem Kennwort geschützt ist, laden Sie eine gültige PFX-Datei hoch, und geben Sie deren Kennwort an.
9. Wählen Sie beim Konfigurieren eines Gatewayendpunkts nach Bedarf weitere Optionen aus, bzw. deaktivieren Sie sie, z. B. Clientzertifikat aushandeln oder Standard-SSL-Bindung.
10. Klicken Sie auf +Hinzufügen, oder wählen Sie für einen vorhandenen Endpunkt Aktualisieren aus.
11. Wählen Sie Speichern aus.

Key Vault

1. Navigieren Sie im Azure-Portal zu Ihrer API-Verwaltungsinstanz.
2. Wählen Sie im linken Navigationsbereich die Option Benutzerdefinierte Domänen aus.
3. Klicken Sie auf +Hinzufügen, oder wählen Sie einen vorhandenen Endpunkt aus, den Sie aktualisieren möchten.
4. Wählen Sie im Fenster auf der rechten Seite den Typ des Endpunkts für die benutzerdefinierte Domäne aus.
5. Geben Sie im Feld Hostname den gewünschten Namen an. Beispiel: api.contoso.com.
6. Wählen Sie unter CertificateKey Vault und dann Select aus.
   1. Wählen Sie in der Dropdownliste Abonnement aus.
   2. Wählen Sie in der Dropdownliste den Schlüsseltresor aus.
   3. Nachdem die Zertifikate geladen wurden, wählen Sie das Zertifikat aus der Dropdownliste aus. Klicken Sie auf "Auswählen".
   4. Wählen Sie in Clientidentität eine systemseitig zugewiesene Identität oder eine benutzerseitig zugewiesene verwaltete Identität aus, die in der Instanz für den Zugriff auf den Schlüsseltresor aktiviert ist.
7. Wählen Sie beim Konfigurieren eines Gatewayendpunkts nach Bedarf weitere Optionen aus, bzw. deaktivieren Sie sie, z. B. Clientzertifikat aushandeln oder Standard-SSL-Bindung. Konfigurieren Sie die Gateway-Domäne mit Key Vault Zertifikat
8. Klicken Sie auf +Hinzufügen, oder wählen Sie für einen vorhandenen Endpunkt Aktualisieren aus.
9. Wählen Sie Speichern aus.

Managed

1. Navigieren Sie im Azure-Portal zu Ihrer API-Verwaltungsinstanz.
2. Wählen Sie im linken Navigationsbereich die Option Benutzerdefinierte Domänen aus.
3. Klicken Sie auf +Hinzufügen, oder wählen Sie einen vorhandenen Endpunkt aus, den Sie aktualisieren möchten.
4. Wählen Sie im Fenster auf der rechten Seite den Typ des Endpunkts für die benutzerdefinierte Domäne aus.
5. Geben Sie im Feld Hostname den gewünschten Namen an. Beispiel: api.contoso.com.
6. Wählen Sie unter Zertifikat die Option Verwaltet aus, um ein kostenloses Zertifikat zu aktivieren, das von API Management verwaltet wird. Das verwaltete Zertifikat ist nur in der Vorschau für den Gatewayendpunkt verfügbar.
7. Kopieren Sie die folgenden Werte, und verwenden Sie sie zum Konfigurieren von DNS:
   • TXT-Eintrag
   • CNAME-Eintrag
8. Wählen Sie beim Konfigurieren eines Gatewayendpunkts nach Bedarf weitere Optionen aus, bzw. deaktivieren Sie sie, z. B. Clientzertifikat aushandeln oder Standard-SSL-Bindung.
9. Klicken Sie auf +Hinzufügen, oder wählen Sie für einen vorhandenen Endpunkt Aktualisieren aus.
10. Wählen Sie Speichern aus.

DNS-Konfiguration

Konfigurieren Sie Ihren DNS-Anbieter, um Ihren benutzerdefinierten Domänennamen dem Standarddomänennamen Ihrer API-Verwaltungsinstanz zuzuordnen.

Custom

CNAME record

Konfigurieren Sie einen CNAME-Eintrag, der von Ihrem benutzerdefinierten Domänennamen (z. B. api.contoso.com) auf Ihren API Management-Diensthostnamen verweist (z. B. yourapim-service-name.azure-api.net). Ein CNAME-Eintrag ist stabiler als ein A-Eintrag, falls sich die IP-Adresse ändert. Weitere Informationen finden Sie unter IP-Adressen von Azure API Management und den häufig gestellten Fragen zur API-Verwaltung.

Note

Bei einigen Domänenregistrierungsstellen dürfen Sie Unterdomänen nur mit einem CNAME-Eintrag wie www.contoso.com zuweisen und nicht mit einem Stammnamen wie contoso.com. Weitere Informationen zu CNAME-Einträgen finden Sie in der von Ihrer Registrierungsstelle zur Verfügung gestellten Dokumentation oder unter IETF Domain Names – Implementation and Specification.

Key Vault

CNAME record

Konfigurieren Sie einen CNAME-Eintrag, der von Ihrem benutzerdefinierten Domänennamen (z. B. api.contoso.com) auf Ihren API Management-Diensthostnamen verweist (z. B. yourapim-service-name.azure-api.net). Ein CNAME-Eintrag ist stabiler als ein A-Eintrag, falls sich die IP-Adresse ändert. Weitere Informationen finden Sie unter IP-Adressen von Azure API Management und den häufig gestellten Fragen zur API-Verwaltung.

Note

Bei einigen Domänenregistrierungsstellen dürfen Sie Unterdomänen nur mit einem CNAME-Eintrag wie www.contoso.com zuweisen und nicht mit einem Stammnamen wie contoso.com. Weitere Informationen zu CNAME-Einträgen finden Sie in der von Ihrer Registrierungsstelle zur Verfügung gestellten Dokumentation oder unter IETF Domain Names – Implementation and Specification.

Managed

CNAME record

Konfigurieren Sie einen CNAME-Eintrag, der von Ihrem benutzerdefinierten Domänennamen (z. B. api.contoso.com) auf Ihren API Management-Diensthostnamen verweist (z. B. yourapim-service-name.azure-api.net). Ein CNAME-Eintrag ist stabiler als ein A-Eintrag, falls sich die IP-Adresse ändert. Weitere Informationen finden Sie unter IP-Adressen von Azure API Management und den häufig gestellten Fragen zur API-Verwaltung.

Note

Bei einigen Domänenregistrierungsstellen dürfen Sie Unterdomänen nur mit einem CNAME-Eintrag wie www.contoso.com zuweisen und nicht mit einem Stammnamen wie contoso.com. Weitere Informationen zu CNAME-Einträgen finden Sie in der von Ihrer Registrierungsstelle zur Verfügung gestellten Dokumentation oder unter IETF Domain Names – Implementation and Specification.

Caution

Wenn Sie das kostenlose verwaltete Zertifikat verwenden und einen CNAME-Eintrag mit Ihrem DNS-Anbieter konfigurieren, stellen Sie sicher, dass er in den Standardhostnamen des API Management-Diensts (<apim-service-name>.azure-api.net) aufgelöst wird. Derzeit erneuert API Management das Zertifikat nicht automatisch, wenn der CNAME-Eintrag nicht in den Standardhostnamen von API Management aufgelöst wird. Wenn Sie beispielsweise das kostenlose verwaltete Zertifikat verwenden und Cloudflare als DNS-Anbieter verwenden, stellen Sie sicher, dass der DNS-Proxy für den CNAME-Eintrag nicht aktiviert ist.

TXT record

Wenn Sie das kostenlose, verwaltete Zertifikat für API Management aktivieren, konfigurieren Sie auch einen TXT-Eintrag in Ihrer DNS-Zone, um den Besitz des Domänennamens festzulegen.

• Der Name des Eintrags ist ihr benutzerdefinierter Domänenname mit dem Präfix apimuid. Beispiel: apimuid.api.contoso.com.
• Der Wert ist ein Domänenbesitzbezeichner, der von Ihrer API Management-Instanz bereitgestellt wird.

Wenn Sie das kostenlose, verwaltete Zertifikat für Ihre benutzerdefinierte Domäne mit dem Portal konfigurieren, werden der Name und der Wert des erforderlichen TXT-Eintrags automatisch angezeigt.

Sie können auch einen Domänenbesitzbezeichner abrufen, indem Sie die REST-API zum Abrufen eines Domänenbesitzbezeichners aufrufen.

Zertifikatsynchronisierung und Problembehandlung für Azure Key Vault gesicherte Zertifikate

Wenn Sie ein Azure Key Vault gesichertes Zertifikat für eine benutzerdefinierte Domäne verwenden, stellt die API-Verwaltung Steuerelemente und Diagnose bereit, um Zertifikate synchron zu halten und Zugriffsprobleme schnell zu beheben.

Aufgrund eines Konfigurationsänderungs- oder Konnektivitätsproblems kann Ihre API-Verwaltungsinstanz beispielsweise kein Hostnamenzertifikat von Azure Key Vault abrufen, nachdem ein Zertifikat aktualisiert oder dort gedreht wurde. In diesem Fall verwendet Ihre API-Verwaltungsinstanz weiterhin ein zwischengespeichertes Zertifikat, bis es ein aktualisiertes Zertifikat empfängt. Wenn das zwischengespeicherte Zertifikat abläuft, wird der Laufzeitdatenverkehr an das Gateway blockiert. Jeder upstream-Dienst, z. B. Anwendungsgateway, das die Konfiguration des Hostnamenzertifikats verwendet, kann auch den Laufzeitdatenverkehr an das Gateway blockieren, wenn ein abgelaufenes zwischengespeichertes Zertifikat verwendet wird.

Verwenden Sie die folgenden Steuerelemente und Diagnosen, um Ihre Zertifikate synchron zu halten und Ausfallzeiten zu verhindern oder zu minimieren.

Synchronisieren von Zertifikaten

Wählen Sie " Zertifikate synchronisieren" auf der Befehlsleiste aus, um die Zertifikatsynchronisierung manuell zu starten, wenn sich Zertifikatfingerabdrücke geändert haben. Mit dieser Option können Sie vermeiden, auf den automatisierten Synchronisierungsauftrag zu warten, der in der Regel alle 3 bis 4 Stunden ausgeführt wird.

Anzeigen von Synchronisierungsprotokollen

Wählen Sie " Synchronisierungsprotokolle anzeigen " auf der Befehlsleiste aus, um ein Panel mit detaillierten Ursacheninformationen zu öffnen, wenn die Zertifikatsynchronisierung fehlschlägt. Diese Protokolle helfen Ihnen, Synchronisierungsprobleme schneller zu diagnostizieren und zu beheben.

Wiederherstellen des Zugriffs auf den Schlüsseltresor

Die API-Verwaltung zeigt proaktive Warnungen an, wenn Sie Zugriffsprobleme zwischen Ihrer API-Verwaltungsinstanz und dem von der benutzerdefinierten Domäne verwendeten Schlüsseltresor erkennen. Diese Zugriffsprobleme verursachen häufig Fehler bei der Zertifikatsynchronisierung.

Wenn eine Warnung angezeigt wird, wählen Sie "Wiederherstellen" aus, um den Zugriff basierend auf Ihrem Schlüsseltresor-Autorisierungsmodell automatisch zu beheben. Je nach Modell führt die API-Verwaltung eine der folgenden Aktionen aus, um den Zugriff wiederherzustellen:

• Weist die Rolle Key Vault Secrets User einem Azure RBAC-basierten Schlüsseltresor zu.
• Gewährt die GET-Berechtigung für einen zugriffsrichtlinienbasierten Schlüsseltresor.

Weitere Tipps zur Problembehandlung für fehlerhafte Zertifikatrotation von Azure Key Vault

• Vergewissern Sie sich, dass die verwaltete Identität, die für den Zugriff auf den Schlüsseltresor verwendet wird, vorhanden ist.

• Wenn Ihre API-Verwaltungsinstanz in einem virtuellen Netzwerk bereitgestellt wird, bestätigen Sie die ausgehende Verbindung mit dem AzureKeyVault-Diensttag.

Antworten des API Management-Proxyservers mit SSL-Zertifikaten beim TLS-Handshake

Beim Konfigurieren einer benutzerdefinierten Domäne für den Gatewayendpunkt können Sie über zusätzliche Eigenschaften bestimmen, wie API Management abhängig von der Clientanforderung mit einem Serverzertifikat antwortet.

Aufrufen von Clients mit dem SNI-Header (Server Name Indication, Servernamensanzeige)

Wenn Sie eine oder mehrere benutzerdefinierte Domänen für den Gatewayendpunkt konfiguriert haben, kann API Management auf HTTPS-Anforderungen aus folgenden beiden Domänen antworten:

• Benutzerdefinierte Domäne (z. B. contoso.com)
• Standarddomäne (z. B. apim-service-name.azure-api.net)

Basierend auf den Informationen im SNI-Header antwortet API Management mit dem entsprechenden Serverzertifikat.

Aufrufen von Clients ohne den SNI-Header

Wenn Sie einen Client verwenden, der den SNI-Header nicht sendet, erstellt API Management Antworten gemäß der folgenden Logik:

• Wenn der Dienst nur eine für das Gateway konfigurierte benutzerdefinierte Domäne enthält, ist das Standardzertifikat das Zertifikat, das für die benutzerdefinierte Gatewaydomäne ausgestellt wurde.

• Wenn im Dienst mehrere benutzerdefinierte Domänen für das Gateway konfiguriert sind (unterstützt in den Tarifen Developer und Premium), können Sie das Standardzertifikat definieren, indem Sie die Eigenschaft defaultSslBinding auf TRUE festlegen ("defaultSslBinding":"true"). Aktivieren Sie im Portal das Kontrollkästchen Standard-SSL-Bindung.

  Wenn Sie die Eigenschaft nicht festlegen, ist das Standardzertifikat das Zertifikat, das für die unter *.azure-api.net gehostete Gatewaystandarddomäne ausgestellt wird.

Unterstützung für PUT/POST-Anforderung mit großer Nutzlast

Der API Management-Proxyserver unterstützt Anforderungen mit großen Nutzdaten (> 40 KB) bei der Verwendung von clientseitigen Zertifikaten in HTTPS. Um zu verhindern, dass die Serveranforderung blockiert wird, können Sie die Eigenschaft negotiateClientCertificate für den Gatewayhostnamen auf TRUE ("negotiateClientCertificate": "true") festlegen. Aktivieren Sie im Portal das Kontrollkästchen Clientzertifikat aushandeln.

Wenn die Eigenschaft auf „true“ festgelegt ist, wird vor jedem Austausch von HTTP-Anforderungen zum Zeitpunkt der SSL/TLS-Verbindung das Clientzertifikat angefordert. Da die Einstellung auf der Ebene Gatewayhostname gilt, wird bei allen Verbindungsanforderungen das Clientzertifikat angefordert. Sie können diese Einschränkung umgehen und bis zu 20 benutzerdefinierte Domänen für das Gateway konfigurieren (nur im Premium-Tarif unterstützt).

Einschränkung für benutzerdefinierten Domänennamen in v2-Ebenen

Derzeit erfordert die API-Verwaltung in den Ebenen Standard v2 und Premium v2 einen öffentlich aufgelösten DNS-Namen, um den Datenverkehr an den Gatewayendpunkt zuzulassen. Wenn Sie einen benutzerdefinierten Domänennamen für den Gatewayendpunkt konfigurieren, muss dieser Name öffentlich aufgelöst werden können, nicht auf eine private DNS-Zone beschränkt.

Als Problemumgehung in Szenarien, in denen Sie den öffentlichen Zugriff auf das Gateway einschränken und einen privaten Domänennamen konfigurieren, können Sie das Anwendungsgateway so einrichten, dass Datenverkehr über den privaten Domänennamen empfangen und an den Gatewayendpunkt der API-Verwaltungsinstanz weitergeleitet wird. Eine Beispielarchitektur finden Sie in diesem GitHub-Repository.

Verwandte Inhalte

• Upgrade and scale an API Management instance (Upgraden und Skalieren einer API Management-Instanz)
• Verwenden Sie verwaltete Identitäten in Azure API Management.