Tutorial: Konfigurieren von HTTPS in einer benutzerdefinierten Azure CDN-Domäne
Wichtig
Azure CDN Standard von Microsoft (klassisch) wird am 30. September 2027 eingestellt. Um Dienstunterbrechungen zu vermeiden, ist es wichtig, dass Sie Ihre Profile von Azure CDN Standard von Microsoft (klassisch) bis zum 30. September 2027 auf die Dienstebene Azure Front Door Standard oder Premium migrieren. Weitere Informationen finden Sie unter Einstellung von Azure CDN Standard von Microsoft (klassisch).
Azure CDN von Edgio wird am 4. November 2025 eingestellt. Sie müssen Ihre Workload vor diesem Datum zu Azure Front Door migrieren, um Dienstunterbrechungen zu vermeiden. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung von Azure CDN von Edgio.
In diesem Tutorial erfahren Sie, wie Sie das HTTPS-Protokoll für eine benutzerdefinierte Domäne aktivieren, die einem Azure CDN-Endpunkt zugeordnet ist.
Das HTTPS-Protokoll in Ihrer benutzerdefinierten Domäne (zum Beispiel https://www.contoso.com
) stellt sicher, dass Ihre vertraulichen Daten sicher über TLS/SSL übermittelt werden. Bei Verwendung einer HTTPS-Verbindung überprüft der Webbrowser das Zertifikat der Website. Dadurch wird sichergestellt, dass es von einer legitimen Zertifizierungsstelle stammt. Dieser Prozess sorgt für Sicherheit und schützt Ihre Webanwendungen vor Angriffen.
Azure CDN unterstützt HTTPS standardmäßig für einen CDN-Endpunkt-Hostnamen. Wenn Sie also etwa einen CDN-Endpunkt erstellen (beispielsweise https://contoso.azureedge.net
), ist HTTPS automatisch aktiviert.
Zu den wichtigsten Attributen des benutzerdefinierten HTTPS-Features zählen unter anderem folgende:
Keine zusätzlichen Kosten: Zertifikatabruf und -verlängerung sind kostenlos, und für HTTPS-Datenverkehr fallen keine zusätzlichen Kosten an. Sie zahlen nur für den ausgehenden Datenverkehr des CDNs (nach GB).
Unkomplizierte Aktivierung: Über das Azure-Portal ist die Bereitstellung mit einem einzelnen Klick möglich. Das Feature kann aber auch per REST-API oder mithilfe anderer Entwicklertools aktiviert werden.
Umfassende Zertifikatverwaltung:
- Die gesamte Zertifikatbeschaffung und -verwaltung wird für Sie erledigt.
- Zertifikate werden automatisch bereitgestellt und verlängert, bevor sie ablaufen.
In diesem Tutorial lernen Sie Folgendes:
- Aktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
- Verwenden eines CDN-verwalteten Zertifikats
- Verwenden Ihres eigenen Zertifikats
- Überprüfen der Domäne
- Deaktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
Voraussetzungen
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Erstellen Sie ein CDN-Profil und mindestens einen CDN-Endpunkt, bevor Sie die Schritte in diesem Tutorial ausführen. Weitere Informationen finden Sie unter Quickstart: Erstellen eines Azure CDN-Profils und -Endpunkts.
Ordnen Sie Ihrem CDN-Endpunkt eine benutzerdefinierte Azure CDN-Domäne zu. Weitere Informationen finden Sie im Tutorial: Hinzufügen einer benutzerdefinierten Domäne zum Azure CDN-Endpunkt.
Wichtig
CDN-verwaltete Zertifikate sind für Stamm- oder Apex-Domänen nicht verfügbar. Wenn Ihre benutzerdefinierte Azure CDN-Domäne eine Stamm- oder Apex-Domäne ist, müssen Sie die Funktion „Bereitstellen eines eigenen Zertifikats“ verwenden.
TLS-/SSL-Zertifikate
Wenn Sie HTTPS für eine benutzerdefinierte Azure CDN-Domäne aktivieren möchten, müssen Sie ein TLS/SSL-Zertifikat verwenden. Sie haben die Wahl zwischen einem von Azure CDN verwalteten Zertifikat oder einem eigenen Zertifikat.
- Option 1 (Standard): Aktivieren von HTTPS mit einem CDN-verwalteten Zertifikat
- Option 2: Aktivieren von HTTPS mit Ihrem eigenen Zertifikat
Azure CDN übernimmt Zertifikatverwaltungsaufgaben wie Beschaffung und Verlängerung. Der Prozess wird umgehend nach der Aktivierung des Features gestartet.
Wenn die benutzerdefinierte Domäne bereits dem CDN-Endpunkt zugeordnet ist, ist keine weitere Aktion erforderlich. Azure CDN durchläuft die Schritte und schließt Ihre Anforderung automatisch ab.
Sollte Ihre benutzerdefinierte Domäne an anderer Stelle zugeordnet sein, bestätigen Sie per E-Mail, dass Sie der Besitzer der Domäne sind.
Um HTTPS für eine benutzerdefinierte Domäne zu aktivieren, führen Sie die folgenden Schritte aus:
Rufen Sie das Azure-Portal auf, um ein von Ihrer Azure CDN-Instanz verwaltetes Zertifikat zu ermitteln. Suchen Sie nach CDN-Profile, und wählen Sie diese Option aus.
Wählen Sie Ihr Profil aus:
- Azure CDN Standard von Microsoft
- Azure CDN Standard von Edgio
- Azure CDN Premium von Edgio
Wählen Sie in der Liste mit den CDN-Endpunkten den Endpunkt aus, der Ihre benutzerdefinierte Domäne enthält.
Die Seite Endpunkt wird angezeigt.
Wählen Sie in der Liste mit den benutzerdefinierten Domänen die benutzerdefinierte Domäne aus, für die Sie HTTPS aktivieren möchten.
Die Seite Benutzerdefinierte Domäne wird angezeigt.
Wählen Sie unter „Zertifikatverwaltungstyp“ die Option CDN verwaltet aus.
Klicken Sie auf Ein, um HTTPS zu aktivieren.
Fahren Sie mit Überprüfen der Domäne fort.
Überprüfen der Domäne
Wenn Sie eine benutzerdefinierte Domäne verwenden, die Ihrem benutzerdefinierten Endpunkt mit einem CNAME-Eintrag zugeordnet ist, oder wenn Sie Ihr eigenes Zertifikat verwenden, fahren Sie mit Benutzerdefinierte Domäne, die Ihrem Content Delivery Network-Endpunkt zugeordnet ist fort.
Sollte der CNAME-Eintrag für Ihren Endpunkt nicht mehr vorhanden sein oder die Unterdomäne „cdnverify“ enthalten, fahren Sie mit Benutzerdefinierte Domäne ist Ihrem CDN-Endpunkt nicht zugeordnet fort.
Benutzerdefinierte Domäne ist Ihrem CDN-Endpunkt mit einem CNAME-Eintrag zugeordnet
Wenn Sie Ihrem Endpunkt eine benutzerdefinierte Domäne hinzugefügt haben, haben Sie einen CNAME-Eintrag in der DNS-Domänenregistrierungsstelle erstellt, der dem Hostnamen Ihres CDN-Endpunkts zugeordnet ist.
Wenn dieser CNAME-Eintrag noch vorhanden ist und die Unterdomäne „cdnverify“ nicht enthält, wird er von der DigiCert-Zertifizierungsstelle zur automatischen Überprüfung des Besitzes Ihrer benutzerdefinierten Domäne verwendet.
Wenn Sie Ihr eigenes Zertifikat verwenden, ist keine Domänenüberprüfung erforderlich.
Ihr CNAME-Eintrag muss das folgende Format aufweisen:
- Name ist Ihr benutzerdefinierter Domänenname.
- Der Wert ist der Hostname des Endpunkts für die Inhaltsübermittlung.
Name | type | Wert |
---|---|---|
<www.contoso.com> | CNAME | contoso.azureedge.net |
Weitere Informationen über CNAME-Einträge finden Sie unter Erstellen Sie die CNAME-DNS-Einträge.
Wenn Ihr CNAME-Eintrag im korrekten Format vorliegt, überprüft DigiCert automatisch Ihren benutzerdefinierten Domänennamen und erstellt ein Zertifikat für Ihre Domäne. DigitCert sendet Ihnen keine E-Mail zur Verifizierung, und Sie müssen Ihre Anforderung nicht genehmigen. Das Zertifikat ist ein Jahr gültig und wird automatisch verlängert, bevor es abläuft. Fahren Sie mit Warten auf die Weitergabe fort.
Die automatische Überprüfung dauert normalerweise einige Stunden. Öffnen Sie ein Supportticket, falls Ihre Domäne nicht innerhalb von 24 Stunden validiert wurde.
Hinweis
Wenn Sie einen Certificate Authority Authorization (CAA)-Eintrag bei Ihrem DNS-Anbieter haben, muss dieser die entsprechenden CAs für die Autorisierung enthalten. DigiCert ist die Zertifizierungsstelle für Microsoft- und Edgio-Profile. Informationen zum Verwalten von CAA-Einträgen finden Sie unter Manage CAA records (Verwalten von CAA-Einträgen). Ein Tool für CAA-Einträge finden Sie unter CAA Record Helper (Hilfsprogramm für CAA-Einträge).
Benutzerdefinierte Domäne ist Ihrem CDN-Endpunkt nicht zugeordnet
Wenn der CNAME-Eintrag die cdnverify-Unterdomäne enthält, folgen Sie den weiteren Anweisungen in diesem Schritt.
DigiCert sendet zur Überprüfung eine E-Mail an die folgenden E-Mail-Adressen. Vergewissern Sie sich, dass Sie die Bestätigung direkt über eine der folgenden Adressen vornehmen können:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
Nach wenigen Minuten sollten Sie eine E-Mail erhalten, in der Sie die Anforderung genehmigen können. Falls Sie einen Spamfilter verwenden, fügen Sie verification@digicert.com der Zulassungsliste hinzu. Sollten Sie nach 24 Stunden noch keine E-Mail erhalten haben, setzen Sie sich mit dem Microsoft-Support in Verbindung.
Wenn Sie den Genehmigungslink auswählen, werden Sie zum folgenden Onlineformular für die Genehmigung weitergeleitet:
Befolgen Sie die Anweisungen im Formular. Sie haben zwei Möglichkeiten zur Genehmigung:
Sie können alle zukünftigen Aufträge genehmigen, die über dasselbe Konto und für dieselbe Stammdomäne (beispielsweise „contoso.com“) getätigt werden. Dies empfiehlt sich, wenn Sie planen, weitere benutzerdefinierte Domänen für die gleiche Stammdomäne hinzuzufügen.
Sie können lediglich den spezifischen Hostnamen aus dieser Anforderung genehmigen. Für spätere Anforderungen ist eine weitere Genehmigung erforderlich.
Nach der Genehmigung führt DigiCert die Erstellung des Zertifikats für Ihren benutzerdefinierten Domänennamen durch. Das Zertifikat ist ein Jahr lang gültig. Wenn der CNAME-Eintrag für Ihre benutzerdefinierte Domain nach der Überprüfung hinzugefügt oder aktualisiert wird, um Ihrem Endpunkt-Hostnamen zu entsprechen, wird er automatisch erneuert, bevor er abläuft.
Hinweis
Verwaltete Zertifikatserneuerung erfordert, dass Ihre benutzerdefinierte Domain durch einen CNAME-Eintrag direkt Ihrem CDN-Endpunkt zugeordnet wird.
Warten auf die Weitergabe
Nach der Überprüfung des Domänennamens dauert es maximal 6 bis 8 Stunden, bis das HTTPS-Feature für die benutzerdefinierte Domäne aktiviert wird. Nach Abschluss des Prozesses ändert sich im Azure-Portal der HTTPS-Status für benutzerdefinierte Domänen in Ein. Die vier Schritte im Dialogfeld der benutzerdefinierten Domäne werden als abgeschlossen markiert. Die benutzerdefinierte Domäne ist jetzt bereit zur Verwendung von HTTPS.
Vorgangsstatus
Die folgende Tabelle zeigt den Status des Vorgangs zum Aktivieren von HTTPS. Nach der Aktivierung von HTTPS werden im Dialogfeld der benutzerdefinierten Domäne vier Schritte angezeigt. Beim Durchlaufen der einzelnen Schritte werden weitere Details zum jeweiligen Teilschritt angezeigt. Nicht alle diese Teilschritte müssen durchgeführt werden. Nachdem ein Schritt erfolgreich abgeschlossen wurde, wird neben diesem ein grünes Häkchen angezeigt.
Vorgangsschritt | Details zum Teilschritt des Vorgangs |
---|---|
1: Übermitteln der Anforderung | Übermitteln der Anforderung |
Die HTTPS-Anforderung wird übermittelt. | |
Die HTTPS-Anforderung wurde erfolgreich übermittelt. | |
2: Überprüfen der Domäne | Die Domäne wird automatisch überprüft, wenn sie per CNAME dem CDN-Endpunkt zugeordnet ist. Andernfalls wird eine Überprüfungsanforderung an die E-Mail-Adresse gesendet, die im Registrierungsdatensatz (WHOIS-Registrant) Ihrer Domäne angegeben ist. |
Der Besitz der Domäne wurde erfolgreich bestätigt. | |
Die Überprüfungsanforderung für den Domänenbesitz ist abgelaufen (Kunde hat wahrscheinlich nicht innerhalb von 6 Tagen reagiert). HTTPS wird für Ihre Domäne nicht aktiviert. * | |
Die Überprüfungsanforderung für den Domänenbesitz wurde vom Kunden zurückgewiesen. HTTPS wird für Ihre Domäne nicht aktiviert. * | |
3: Zertifikatbereitstellung | Die Zertifizierungsstelle stellt zurzeit das Zertifikat aus, das zum Aktivieren von HTTPS für Ihre Domäne erforderlich ist. |
Das Zertifikat wurde ausgegeben und wird derzeit im CDN-Netzwerk bereitgestellt. Dies kann bis zu sechs Stunden dauern. | |
Das Zertifikat wurde erfolgreich im CDN-Netzwerk bereitgestellt. | |
4: Abschließen | HTTPS wurde in Ihrer Domäne erfolgreich aktiviert. |
* Diese Meldung wird nur bei einem Fehler angezeigt.
Sollte vor dem Übermitteln der Anforderung ein Fehler auftreten, wird die folgende Fehlermeldung angezeigt:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Bereinigen von Ressourcen – Deaktivieren von HTTPS
In diesem Abschnitt erfahren Sie, wie Sie HTTPS für Ihre benutzerdefinierte Domäne deaktivieren.
Deaktivieren des HTTPS-Features
Suchen Sie im Azure-Portal nach CDN-Profile, und wählen Sie den Eintrag aus.
Wählen Sie das Profil Azure CDN Standard von Microsoft, Azure CDN Standard von Edgio oder Azure CDN Premium von Edgio aus.
Wählen Sie in der Liste mit den Endpunkten den Endpunkt aus, der Ihre benutzerdefinierte Domäne enthält.
Wählen Sie die benutzerdefinierte Domäne aus, für die Sie HTTPS deaktivieren möchten.
Klicken Sie auf Aus, um HTTPS zu deaktivieren, und wählen Sie dann Anwenden aus.
Warten auf die Weitergabe
Nachdem das HTTPS-Feature für die benutzerdefinierte Domäne deaktiviert wurde, dauert es maximal 6 bis 8 Stunden, bis die Änderung wirksam wird. Nach Abschluss des Prozesses ändert sich im Azure-Portal der HTTPS-Status für benutzerdefinierte Domänen in Aus. Die benutzerdefinierte Domäne kann HTTPS nicht mehr verwenden.
Häufig gestellte Fragen
Wer ist der Zertifikatanbieter, und welche Art von Zertifikat wird verwendet?
In folgenden Fällen wird für Ihre benutzerdefinierte Domäne ein dediziertes Zertifikat von DigiCert verwendet:
- Azure Content Delivery Network von Edgio
- Azure Content Delivery Network von Microsoft
Verwenden Sie IP-basierte oder Servernamensanzeige (SNI) TLS/SSL?
Sowohl für Azure CDN von Edgio als auch für Azure CDN Standard von Microsoft wird SNI-basiertes TLS/SSL verwendet.
Was passiert, wenn ich die Domänenüberprüfungs-E-Mail von DigiCert nicht erhalte?
Wenn Sie die Unterdomäne cdnverify nicht verwenden und Ihr CNAME-Eintrag für den Hostnamen Ihres Endpunkts gilt, erhalten Sie keine Domänenüberprüfungs-E-Mail.
Die Bestätigung erfolgt automatisch. Wenden Sie sich andernfalls an den Microsoft-Support, falls Sie nicht über einen CNAME-Eintrag verfügen und innerhalb von 24 Stunden keine E-Mail erhalten.
Ist ein SAN-Zertifikat weniger sicher als ein dediziertes Zertifikat?
Ein SAN-Zertifikat bietet die gleichen Verschlüsselungs- und Sicherheitsstandards wie ein dediziertes Zertifikat. Zur Verbesserung der Serversicherheit verwenden alle ausgestellten TLS-/SSL-Zertifikate SHA-256.
Benötige ich einen CAA-Datensatz (Certificate Authority Authorization) bei meinem DNS-Anbieter?
Aktuell wird kein CAA-Datensatz benötigt. Wenn Sie allerdings über einen solchen Datensatz verfügen, muss er DigiCert als gültige Zertifizierungsstelle enthalten.
Am 20. Juni 2018 wurde für Azure CDN von Edgio mit der standardmäßigen Nutzung eines dedizierten Zertifikats mit SNI-basiertem TLS/SSL begonnen. Was passiert mit meinen vorhandenen benutzerdefinierten Domänen, für die ein Zertifikat vom Typ „Alternativer Antragstellername“ (Subject Alternative Names, SAN) und IP-basiertes TLS/SSL verwendet wird?
Ihre vorhandenen Domänen werden in den kommenden Monaten nach und nach zur Verwendung eines einzelnen Zertifikats migriert, wenn von Microsoft analysiert wird, dass nur SNI-Clientanforderungen für Ihre Anwendung erfolgen.
Wenn SNI-fremde Clients erkannt werden, bleiben Ihre Domänen im SAN-Zertifikat mit IP-basiertem TLS/SSL. Anforderungen an Ihren Dienst oder an SNI-fremde Clients bleiben unberührt.
Wie werden eigene Zertifikate verlängert?
Um sicherzustellen, dass ein neueres Zertifikat in der POP-Infrastruktur bereitgestellt wird, laden Sie Ihr neues Zertifikat in Azure Key Vault hoch. Wählen Sie in Ihren TLS-Einstellungen im Azure Content Delivery Network die neueste Zertifikatversion aus, und wählen Sie „Speichern“ aus. Das Azure Content Delivery Network verteilt dann Ihr neues aktualisiertes Zertifikat.
Wichtig
- Ab dem 20. Juni 2024 unterstützt Azure CDN Standard und Premium von Edgio das Feature Eigene Zertifikate verwenden nicht. Dieses Feature wird Anfang 2025 wieder eingeführt.
- Welche Aktionen sind bei benutzerdefinierten Domänen erforderlich, die dieses Feature verwenden? BYOC-Zertifikate, die bereits auf der Edgio-Plattform bereitgestellt wurden, bleiben bis zum Ablaufdatum gültig. Für Zertifikate, die im Jahr 2025 ablaufen, ist keine Aktion erforderlich. Wir empfehlen Ihnen, für Zertifikate, die ein Update erfordern oder dieses Jahr ablaufen, zu CDN Managed zu wechseln. Wenn Sie zusätzliche Unterstützung benötigen, übermitteln Sie eine Supportanfrage, um mit einem Supporttechniker zu arbeiten.
Nächste Schritte
In diesem Tutorial haben Sie Folgendes gelernt:
- Aktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
- Verwenden eines CDN-verwalteten Zertifikats
- Verwenden Ihres eigenen Zertifikats
- Validieren der Domäne
- Deaktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
Fahren Sie mit dem nächsten Tutorial fort, um zu erfahren, wie Sie das Caching auf Ihrem CDN-Endpunkt konfigurieren.