Freigeben über


Konfigurieren von HTTPS in einer benutzerdefinierten Domäne für Front Door (klassisch)

Wichtig

Azure Front Door (klassisch) wird am 31. März 2027 eingestellt. Um Dienstunterbrechungen zu vermeiden, ist es wichtig, dass Sie Ihre (klassischen) Azure Front Door-Profile bis März 2027 zur Azure Front Door Standard- oder Premium-Stufe migrieren. Weitere Informationen finden Sie unter Einstellung von Azure Front Door (klassisch).

In diesem Artikel erfahren Sie, wie Sie im Abschnitt mit den Front-End-Hosts das HTTPS-Protokoll für eine benutzerdefinierte Domäne aktivieren, die Ihrer Front Door-Instanz (klassisch) zugeordnet ist. Durch die Verwendung des HTTPS-Protokolls in Ihrer benutzerdefinierten Domäne (Beispiel: https://www.contoso.com) stellen Sie sicher, dass Ihre vertraulichen Daten per TLS/SSL-Verschlüsselung sicher zugestellt werden, wenn diese über das Internet gesendet werden. Wenn Ihr Webbrowser über HTTPS mit einer Website verbunden ist, überprüft er das Sicherheitszertifikat der Website und überprüft, ob es von einer legitimen Zertifizierungsstelle ausgestellt wurde. Dieser Prozess bietet Sicherheit und schützt Ihre Anwendungen vor Angriffen.

Azure Front Door unterstützt HTTPS standardmäßig für einen Front Door-Standardhostnamen. Wenn Sie beispielsweise eine Front Door-Instanz erstellen (z. B. https://contoso.azurefd.net), wird HTTPS automatisch für Anforderungen an https://contoso.azurefd.net aktiviert. Sobald Sie jedoch die benutzerdefinierte Domäne www.contoso.com einrichten, müssen Sie zusätzlich HTTPS für diesen Front-End-Host aktivieren.

Zu den wichtigsten Attributen des benutzerdefinierten HTTPS-Features zählen unter anderem folgende:

  • Keine zusätzlichen Kosten: Zertifikatabruf und -verlängerung sind kostenlos, und für HTTPS-Datenverkehr fallen keine zusätzlichen Kosten an.

  • Unkomplizierte Aktivierung: Über das Azure-Portal ist die Bereitstellung mit einem einzelnen Klick möglich. Das Feature kann aber auch per REST-API oder mithilfe anderer Entwicklertools aktiviert werden.

  • Umfassende Zertifikatverwaltung: Die gesamte Zertifikatbeschaffung und -verwaltung wird für Sie erledigt. Zertifikate werden automatisch bereitgestellt und vor Ablauf verlängert. Dadurch ist gewährleistet, dass keine Dienstunterbrechungen aufgrund eines abgelaufenen Zertifikats auftreten.

In diesem Tutorial lernen Sie Folgendes:

  • Aktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
  • Verwenden eines AFD-verwalteten Zertifikats
  • Verwenden Ihres eigenen Zertifikats (ein benutzerdefiniertes TLS-/SSL-Zertifikat)
  • Überprüfen der Domäne
  • Deaktivieren des HTTPS-Protokolls in Ihrer benutzerdefinierten Domäne

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Voraussetzungen

Bevor Sie die Schritte in diesem Tutorial ausführen können, müssen Sie zunächst eine Front Door-Instanz und mindestens eine integrierte benutzerdefinierte Domäne erstellen. Weitere Informationen finden Sie im Tutorial: Hinzufügen einer benutzerdefinierten Domäne für Ihre „Front Door“.

TLS-/SSL-Zertifikate

Sie müssen ein TLS-/SSL-Zertifikat verwenden, um das HTTPS-Protokoll für die sichere Übermittlung von Inhalten in einer benutzerdefinierten Front Door-Domäne (klassisch) zu aktivieren. Sie können ein von Azure Front Door verwaltetes Zertifikat oder ein eigenes Zertifikat verwenden.

Option 1 (Standard): Verwenden eines von Azure Front Door Service verwalteten Zertifikats

Wenn Sie ein von Azure Front Door verwaltetes Zertifikat verwenden, kann das HTTPS-Feature mit einigen wenigen Einstellungsänderungen aktiviert werden. Azure Front Door übernimmt sämtliche Zertifikatverwaltungsaufgaben wie etwa Beschaffung und Verlängerung. Der Prozess wird umgehend nach der Aktivierung des Features gestartet. Wenn die benutzerdefinierte Domäne bereits dem standardmäßigen Front-End-Host von Front Door ({hostname}.azurefd.net) zugeordnet ist, ist keine weitere Aktion erforderlich. Front Door durchläuft die Schritte und schließt Ihre Anforderung automatisch ab. Sollte Ihre benutzerdefinierte Domäne an anderer Stelle zugeordnet sein, müssen Sie per E-Mail bestätigen, dass Sie der Besitzer der Domäne sind.

Um HTTPS für eine benutzerdefinierte Domäne zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie im Azure-Portal zu Ihrem Front Door-Profil.

  2. Wählen Sie in der Liste der Front-End-Hosts die benutzerdefinierte Domäne aus, für die Sie HTTPS aktivieren möchten.

  3. Wählen Sie im Abschnitt HTTPS für benutzerdefinierte Domänen die Option Aktiviert und als Zertifikatquelle Mit Front Door verwaltet aus.

  4. Wählen Sie „Speichern“ aus.

  5. Fahren Sie mit Überprüfen der Domäne fort.

Hinweis

  • Bei von Azure Front Door verwalteten Zertifikaten wird der Grenzwert von 64 Zeichen von DigiCert erzwungen. Bei der Überprüfung tritt ein Fehler auf, wenn dieser Grenzwert überschritten wird.
  • Die Aktivierung von HTTPS über ein durch Front Door verwaltetes Zertifikat wird für Apex-/Stammdomänen (Beispiel: contoso.com) nicht unterstützt. Sie können Ihr eigenes Zertifikat für dieses Szenario verwenden. Fahren Sie mit Option 2 fort, um weitere Informationen zu erhalten.

Option 2: Verwenden Ihres eigenen Zertifikats

Sie können das HTTPS-Feature mit Ihrem eigenen Zertifikat aktivieren. Dabei erfolgt eine Integration in Azure Key Vault, was eine sichere Speicherung Ihrer Zertifikate ermöglicht. Azure Front Door nutzt diesen sicheren Mechanismus zum Abrufen Ihres Zertifikats, und es sind einige zusätzliche Schritte erforderlich. Wenn Sie Ihr TLS/SSL-Zertifikat erstellen, müssen Sie eine vollständige Zertifikatkette mit einer zulässigen Zertifizierungsstelle erstellen, die in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten ist. Wenn Sie eine nicht zugelassene Zertifizierungsstelle verwenden, wird Ihre Anforderung abgelehnt. Wenn ein Zertifikat ohne vollständige Kette präsentiert wird, funktionieren die in diesem Zertifikat enthaltenen Anforderungen nicht wie erwartet.

Vorbereiten von Schlüsseltresor und Zertifikat

  • Sie müssen über ein Azure Key Vault-Konto im gleichen Azure-Abonnement wie Ihre Front Door-Instanz verfügen. Erstellen Sie bei Bedarf ein Azure Key Vault-Konto.

    Warnung

    Azure Front Door unterstützt derzeit nur Key Vault-Konten im selben Abonnement wie die Front Door-Konfiguration. Das Auswählen eines Schlüsseltresors in einem anderen Abonnement als Ihre Front Door-Konfiguration führt zu einem Fehler.

  • Wenn für Ihren Schlüsseltresor Netzwerkzugriffseinschränkungen aktiviert sind, müssen Sie Ihren Schlüsseltresor so konfigurieren, dass vertrauenswürdige Microsoft-Dienste die Firewall umgehen können.

  • Ihr Schlüsseltresor muss für die Verwendung der Azure Key Vault-Zugriffsrichtlinie konfiguriert werden.

  • Falls Sie bereits über ein Zertifikat verfügen, können Sie es direkt in Ihren Schlüsseltresor hochladen. Andernfalls können Sie ein neues Zertifikat direkt über Azure Key Vault von einer der Partnerzertifizierungsstellen erstellen, in die Azure Key Vault integriert wird. Laden Sie Ihr Zertifikat nicht als Geheimnis, sondern als Objekt vom Typ Zertifikat hoch.

Hinweis

Front Door unterstützt keine Zertifikate mit Elliptische-Kurven-Kryptografiealgorithmen (EC). Das Zertifikat muss über eine vollständige Zertifikatkette mit Blatt- und Zwischenzertifikaten verfügen, und die Stammzertifizierungsstelle muss in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten sein.

Registrieren von Azure Front Door

Registrieren Sie den Dienstprinzipal für Azure Front Door als App in Microsoft Entra ID mithilfe von Azure PowerShell oder Azure CLI.

Hinweis

  • Für diese Aktion sind mindestens die Rollenberechtigungen des Anwendungsadministrators in Microsoft Entra ID erforderlich. Die Registrierung muss nur einmal pro Microsoft Entra-Mandant ausgeführt werden.
  • Die Anwendungs-ID wird von Azure speziell für Azure Front Door (klassisch) zugewiesen.
  • Azure Front Door (klassisch) verfügt über eine andere Anwendungs-ID als die Azure Front Door Standard/Premium-Ebene.
  • Die zugewiesene Rolle gilt nur für das ausgewählte Abonnement, es sei denn, Sie definieren einen anderen Bereich.
Azure PowerShell
  1. Installieren Sie bei Bedarf auf dem lokalen Computer Azure PowerShell in PowerShell.

  2. Führen Sie in PowerShell den folgenden Befehl aus:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
    
Azure CLI
  1. Wenn nötig, installieren Sie Azure CLI auf Ihrem lokalen Rechner.

  2. Führen Sie dann in Azure CLI den folgenden Befehl aus:

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
    

Gewähren von Zugriff auf Ihren Schlüsseltresor für Azure Front Door

Gewähren Sie Azure Front Door Berechtigungen für den Zugriff auf die Zertifikate in Ihrem Azure Key Vault-Konto.

  1. Wählen Sie in Ihrem Azure Key Vault-Konto Zugriffsrichtlinien aus.

  2. Wählen Sie Erstellen aus, um eine neue Zugriffsrichtlinie zu erstellen.

  3. Wählen Sie unter Berechtigungen für Geheimnis die Option Abrufen aus, um Front Door das Abrufen des Zertifikats zu ermöglichen.

  4. Wählen Sie unter Zertifikatberechtigungen die Option Abrufen aus, um Front Door das Abrufen des Zertifikats zu ermöglichen.

  5. Suchen Sie in Prinzipal auswählen nach ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037, und wählen Sie Microsoft.Azure.Frontdoor aus. Wählen Sie Weiter aus.

  6. Wählen Sie in Anwendung die Option Weiter aus.

  7. Wählen Sie unter Überprüfen + erstellen die Option Erstellen aus.

Hinweis

Wenn Ihr Schlüsseltresor mit Netzwerkzugriffseinschränkungen geschützt ist, stellen Sie sicher, dass vertrauenswürdige Microsoft-Dienste auf Ihren Schlüsseltresor zugreifen können.

Azure Front Door kann nun auf diesen Schlüsseltresor und auf die darin gespeicherten Zertifikate zugreifen.

Auswählen des bereitzustellenden Zertifikats für Azure Front Door

  1. Kehren Sie im Portal zu Front Door zurück.

  2. Wählen Sie in der Liste mit den benutzerdefinierten Domänen die benutzerdefinierte Domäne aus, für die Sie HTTPS aktivieren möchten.

    Die Seite Benutzerdefinierte Domäne wird angezeigt.

  3. Wählen Sie unter „Zertifikatverwaltungstyp“ die Option Eigenes Zertifikat verwenden aus.

  4. Azure Front Door erfordert, dass das Abonnement des Key Vault-Kontos mit dem von Front Door identisch ist. Wählen Sie einen Schlüsseltresor, ein Geheimnis und eine Geheimnisversion aus.

    Azure Front Door führt die folgenden Informationen auf:

    • Die Schlüsseltresorkonten für Ihre Abonnement-ID
    • Die Geheimnisse unter dem ausgewählten Schlüsseltresor
    • Die verfügbaren Geheimnisversionen

    Hinweis

    Legen Sie die Geheimnisversion auf „Neueste“ fest, damit das Zertifikat automatisch zur neuesten Version rotiert wird, wenn eine neuere Version des Zertifikats in Ihrer Key Vault-Instanz verfügbar ist. Wenn eine bestimmte Version ausgewählt ist, müssen Sie die neue Version für die Zertifikatrotation manuell erneut auswählen. Es dauert 72 bis 96 Stunden, bis die neue Version des Zertifikats/Geheimnisses bereitgestellt wird.

    Screenshot des Auswählens der Geheimnisversion auf der Seite „Benutzerdefinierte Domäne aktualisieren“.

    Warnung

    Dies ist spezifische Warnung für das Azure-Portal. Sie müssen Ihren Dienstprinzipal so konfigurieren, dass er über die GET-Berechtigung für Key Vault verfügt. Damit ein Benutzer das Zertifikat in der Dropdownliste des Portals anzeigen kann, muss das Benutzerkonto über die Berechtigungen LIST und GET für Key Vault verfügen. Wenn ein Benutzer nicht über diese Berechtigungen verfügt, wird im Portal eine Fehlermeldung angezeigt, dass kein Zugriff möglich ist. Eine Fehlermeldung mit dem Hinweis, dass kein Zugriff möglich ist, hat keine Auswirkungen auf die automatische Zertifikatrotation oder eine HTTPS-Funktion. Für diese Fehlermeldung sind keine Aktionen erforderlich, wenn Sie keine Änderungen am Zertifikat oder an der Version vornehmen möchten. Wenn Sie die Informationen auf dieser Seite ändern möchten, lesen Sie die Informationen unter Gewähren des Zugriffs auf Key Vault-Schlüssel, -Zertifikate und -Geheimnisse mit der rollenbasierten Zugriffssteuerung in Azure, um Ihrem Konto LIST- und GET-Berechtigungen für Key Vault hinzuzufügen.

  5. Wenn Sie Ihr eigenes Zertifikat verwenden, ist keine Domänenüberprüfung erforderlich. Fahren Sie mit Warten auf die Weitergabe fort.

Überprüfen der Domäne

Wenn Sie bereits eine benutzerdefinierte Domäne verwenden, die Ihrem benutzerdefinierten Endpunkt mit einem CNAME-Eintrag zugeordnet ist, oder Sie Ihr eigenes Zertifikat verwenden, können Sie mit Benutzerdefinierte Domäne ist Front Door zugeordnet fortfahren. Andernfalls, wenn der CNAME-Eintrag für Ihre Domäne nicht mehr vorhanden ist oder die Unterdomäne „afdverify“ enthält, fahren Sie mit Benutzerdefinierte Domäne ist Front Door nicht zugeordnet fort.

Benutzerdefinierte Domäne ist Front Door mit einem CNAME-Eintrag zugeordnet

Beim Hinzufügen einer benutzerdefinierten Domäne zu den Front Door-Front-End-Hosts haben Sie einen CNAME-Eintrag in der DNS-Tabelle Ihrer Domänenregistrierungsstelle erstellt, um ihn dem Standardhostnamen „.azurefd.net“ von Front Door zuzuordnen. Wenn dieser CNAME-Eintrag noch vorhanden ist und die afdverify-Unterdomäne nicht enthält, wird er von der DigiCert-Zertifizierungsstelle verwendet, um den Besitz Ihrer benutzerdefinierten Domäne automatisch zu überprüfen.

Wenn Sie Ihr eigenes Zertifikat verwenden, ist keine Domänenüberprüfung erforderlich.

Ihr CNAME-Eintrag sollte im folgenden Format vorliegen, wobei Name Ihr benutzerdefinierter Domänenname und Wert der Standardhostname „.azurefd.net“ von Front Door ist:

Name type Wert
<www.contoso.com> CNAME contoso.azurefd.net

Weitere Informationen über CNAME-Einträge finden Sie unter Erstellen Sie die CNAME-DNS-Einträge.

Wenn Ihr CNAME-Eintrag im richtigen Format vorliegt, überprüft DigiCert automatisch Ihren benutzerdefinierten Domänennamen und erstellt ein dediziertes Zertifikat für Ihren Domänennamen. DigitCert sendet Ihnen keine E-Mail zur Verifizierung, und Sie müssen Ihre Anforderung nicht genehmigen. Das Zertifikat ist ein Jahr lang gültig und wird automatisch erneuert, bevor es abläuft. Fahren Sie mit Warten auf die Weitergabe fort.

Die automatische Überprüfung dauert normalerweise einige Minuten. Öffnen Sie ein Supportticket, falls Ihre Domäne nicht innerhalb einer Stunde validiert wurde.

Hinweis

Wenn Sie über einen CAA-Datensatz (Certificate Authority Authorization) bei Ihrem DNS-Anbieter verfügen, muss dieser DigiCert als gültige Zertifizierungsstelle enthalten. Ein CAA-Datensatz ermöglicht es Domänenbesitzern, ihrem jeweiligen DNS-Anbieter mitzuteilen, welche Zertifizierungsstellen zum Ausstellen von Zertifikaten für ihre Domäne autorisiert sind. Wenn eine Zertifizierungsstelle einen Auftrag für ein Zertifikat für eine Domäne empfängt, für die ein CAA-Datensatz vorliegt und die Zertifizierungsstelle nicht als autorisierter Aussteller angegeben ist, darf sie das Zertifikat für die Domäne oder Unterdomäne nicht ausstellen. Informationen zum Verwalten von CAA-Einträgen finden Sie unter Manage CAA records (Verwalten von CAA-Einträgen). Ein Tool für CAA-Einträge finden Sie unter CAA Record Helper (Hilfsprogramm für CAA-Einträge).

Benutzerdefinierte Domäne ist Front Door nicht zugeordnet

Wenn der CNAME-Eintrag für Ihren Endpunkt nicht mehr vorhanden ist oder die afdverify-Unterdomäne enthält, folgen Sie den weiteren Anweisungen in diesem Schritt.

Nach der Aktivierung von HTTPS für Ihre benutzerdefinierte Domäne überprüft die DigiCert-CA, ob die Domäne wirklich Ihnen gehört. Hierzu setzt sich DigiCert mit dem Registranten der Domäne in Verbindung, der in den WHOIS-Registranteninformationen der Domäne angegeben ist. Der Kontakt wird über die E-Mail-Adresse (Standardverfahren) oder die Telefonnummer in der WHOIS-Registrierung hergestellt. HTTPS wird für Ihre benutzerdefinierte Domäne erst nach Abschluss der Domänenüberprüfung aktiviert. Die Genehmigung der Domäne muss innerhalb von sechs Werktagen erfolgen. Anforderungen, die nicht innerhalb von sechs Werktagen genehmigt werden, werden automatisch abgebrochen. Die DigiCert-Domänenüberprüfung funktioniert auf Unterdomänenebene. Sie müssen den Besitz jeder Unterdomäne separat nachweisen.

Screenshot: WHOIS-Eintrag

DigiCert sendet zur Überprüfung auch eine E-Mail an andere E-Mail-Adressen. Falls die WHOIS-Registranteninformationen privat sind, vergewissern Sie sich, dass Sie die Bestätigung direkt über eine der folgenden Adressen vornehmen können:

admin@<Name-Ihrer-Domäne.com> administrator@<Name-Ihrer-Domäne.com> webmaster@<Name-Ihrer-Domäne.com> hostmaster@<Name-Ihrer-Domäne.com> postmaster@<Name-Ihrer-Domäne.com>

Sie sollten ähnlich wie im folgenden Beispiel nach wenigen Minuten eine E-Mail-Nachricht erhalten, in der Sie aufgefordert werden, die Anforderung zu genehmigen. Wenn Sie einen Spamfilter verwenden, fügen Sie no-reply@digitalcertvalidation.com der Positivliste hinzu. In bestimmten Szenarien kann DigiCert die Domänenkontakte möglicherweise nicht aus den WHOIS-Registranteninformationen abrufen, um Ihnen eine E-Mail zu senden. Sollten Sie nach 24 Stunden noch keine E-Mail erhalten haben, setzen Sie sich mit dem Microsoft-Support in Verbindung.

Wenn Sie den Genehmigungslink auswählen, werden Sie zu einem Onlineformular für die Genehmigung weitergeleitet. Befolgen Sie die Anweisungen im Formular. Sie haben zwei Möglichkeiten zur Genehmigung:

  • Sie können alle zukünftigen Aufträge genehmigen, die über dasselbe Konto und für dieselbe Stammdomäne (beispielsweise „contoso.com“) getätigt werden. Dies empfiehlt sich, wenn Sie planen, weitere benutzerdefinierte Domänen für die gleiche Stammdomäne hinzuzufügen.

  • Sie können lediglich den spezifischen Hostnamen aus dieser Anforderung genehmigen. Für nachfolgende Anforderungen ist eine zusätzliche Genehmigung erforderlich.

Nach der Genehmigung führt DigiCert die Erstellung des Zertifikats für Ihren benutzerdefinierten Domänennamen durch. Das Zertifikat ist ein Jahr lang gültig. Wenn der CNAME-Eintrag für Ihre benutzerdefinierte Domain nach der Überprüfung hinzugefügt oder aktualisiert wird, um dem Standardhostnamen von Azure Front Door zu entsprechen, wird er automatisch erneuert, bevor er abläuft.

Hinweis

Verwaltete automatische Zertifikatserneuerung erfordert, dass Ihre benutzerdefinierte Domain durch einen CNAME-Eintrag direkt dem Front Door-Standardhostnamen „.azurefd.net“ zugeordnet wird.

Warten auf die Weitergabe

Nach der Überprüfung des Domänennamens dauert es maximal 6 bis 8 Stunden, bis das HTTPS-Feature für die benutzerdefinierte Domäne aktiviert wird. Wenn der Prozess abgeschlossen ist, wird der HTTP-Status für benutzerdefinierte Domänen im Azure-Portal auf Aktiviert festgelegt, und die vier Schritte im Dialogfeld der benutzerdefinierten Domäne werden als abgeschlossen markiert. Die benutzerdefinierte Domäne ist jetzt bereit zur Verwendung von HTTPS.

Vorgangsstatus

Die folgende Tabelle zeigt den Status des Vorgangs zum Aktivieren von HTTPS. Nach der Aktivierung von HTTPS werden im Dialogfeld der benutzerdefinierten Domäne vier Schritte angezeigt. Beim Durchlaufen der einzelnen Schritte werden weitere Details zum jeweiligen Teilschritt angezeigt. Nicht alle diese Teilschritte müssen durchgeführt werden. Nachdem ein Schritt erfolgreich abgeschlossen wurde, wird neben diesem ein grünes Häkchen angezeigt.

Vorgangsschritt Details zum Teilschritt des Vorgangs
1. Übermitteln der Anforderung Übermitteln der Anforderung
Die HTTPS-Anforderung wird übermittelt.
Die HTTPS-Anforderung wurde erfolgreich übermittelt.
2. Domänenüberprüfung Die Domäne wird automatisch überprüft, wenn der CNAME-Eintrag dem standardmäßigen Front-End-Host „.azurefd.net“ von Front Door zugeordnet ist. Andernfalls wird eine Überprüfungsanforderung an die E-Mail-Adresse gesendet, die im Registrierungsdatensatz (WHOIS-Registrant) Ihrer Domäne angegeben ist. Überprüfen Sie die Domäne schnellstmöglich.
Der Besitz der Domäne wurde erfolgreich bestätigt.
Die Überprüfungsanforderung für den Domänenbesitz ist abgelaufen (Kunde hat wahrscheinlich nicht innerhalb von 6 Tagen reagiert). HTTPS wird für Ihre Domäne nicht aktiviert. *
Die Anforderung zur Überprüfung der Domänenbesitzes wurde vom Kunden zurückgewiesen. HTTPS wird für Ihre Domäne nicht aktiviert. *
3. Zertifikatbereitstellung Die Zertifizierungsstelle stellt zurzeit das Zertifikat aus, das zum Aktivieren von HTTPS für Ihre Domäne erforderlich ist.
Das Zertifikat wurde ausgegeben und wird derzeit in Front Door bereitgestellt. Dieser Vorgang kann von einigen Minuten bis zu einer Stunde dauern.
Das Zertifikat wurde erfolgreich für Front Door bereitgestellt.
4. Vorgang abgeschlossen HTTPS wurde in Ihrer Domäne erfolgreich aktiviert.

* Diese Meldung wird nur bei einem Fehler angezeigt.

Sollte vor dem Übermitteln der Anforderung ein Fehler auftreten, wird die folgende Fehlermeldung angezeigt:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Häufig gestellte Fragen

  1. Wer ist der Zertifikatanbieter, und welche Art von Zertifikat wird verwendet?

    Ein dediziertes/einzelnes Zertifikat von DigiCert wird für Ihre benutzerdefinierte Domäne verwendet.

  2. Basiert TLS/SSL auf IP oder auf SNI?

    Azure Front Door verwendet SNI-basiertes TLS/SSL.

  3. Was passiert, wenn ich die Domänenüberprüfungs-E-Mail von DigiCert nicht erhalte?

    Wenn Sie einen CNAME-Eintrag für Ihre benutzerdefinierte Domäne haben, der direkt auf Ihren Endpunkt-Hostnamen verweist (und wenn Sie den afdverify-Unterdomänennamen nicht verwenden), erhalten Sie keine Bestätigungs-E-Mail für die Domäne. Die Bestätigung erfolgt automatisch. Wenden Sie sich andernfalls an den Microsoft-Support, falls Sie nicht über einen CNAME-Eintrag verfügen und innerhalb von 24 Stunden keine E-Mail erhalten.

  4. Ist ein SAN-Zertifikat weniger sicher als ein dediziertes Zertifikat?

    Ein SAN-Zertifikat bietet die gleichen Verschlüsselungs- und Sicherheitsstandards wie ein dediziertes Zertifikat. Zur Verbesserung der Serversicherheit verwenden alle ausgestellten TLS-/SSL-Zertifikate SHA-256.

  5. Benötige ich einen CAA-Datensatz (Certificate Authority Authorization) bei meinem DNS-Anbieter?

    Nein, aktuell wird kein CAA-Datensatz benötigt. Wenn Sie allerdings über einen solchen Datensatz verfügen, muss er DigiCert als gültige Zertifizierungsstelle enthalten.

Bereinigen von Ressourcen

In den obigen Schritten haben Sie das HTTPS-Protokoll für Ihre benutzerdefinierte Domäne aktiviert. Falls Sie Ihre benutzerdefinierte Domäne nicht mehr mit HTTPS verwenden möchten, können Sie HTTPS mit diesen Schritten deaktivieren:

Deaktivieren des HTTPS-Features

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Front Door-Konfiguration.

  2. Wählen Sie in der Liste der Front-End-Hosts die benutzerdefinierte Domäne aus, für die Sie HTTPS deaktivieren möchten.

  3. Wählen Sie Deaktiviert aus, um HTTPS zu deaktivieren, und wählen Sie dann Speichern aus.

Warten auf die Weitergabe

Nachdem das HTTPS-Feature für die benutzerdefinierte Domäne deaktiviert wurde, dauert es maximal 6 bis 8 Stunden, bis die Änderung wirksam wird. Nach Abschluss des Prozesses wird der HTTP-Status für benutzerdefinierte Domänen im Azure-Portal auf Deaktiviert festgelegt, und die drei Schritte im Dialogfeld der benutzerdefinierten Domäne werden als abgeschlossen markiert. Die benutzerdefinierte Domäne kann HTTPS nicht mehr verwenden.

Vorgangsstatus

Die folgende Tabelle zeigt den Status des Vorgangs zum Deaktivieren von HTTPS. Nach der Deaktivierung von HTTPS werden im Dialogfeld der benutzerdefinierten Domäne drei Schritte angezeigt. Beim Durchlaufen der einzelnen Schritte werden weitere Details zum jeweiligen Schritt angezeigt. Nachdem ein Schritt erfolgreich abgeschlossen wurde, wird neben diesem ein grünes Häkchen angezeigt.

Vorgangsstatus Vorgangsdetails
1. Übermitteln der Anforderung Ihre Anforderung wird übermittelt.
2. Aufheben der Zertifikatbereitstellung Das Zertifikat wird gelöscht.
3. Vorgang abgeschlossen Das Zertifikat wurde gelöscht.

Nächste Schritte

Um zu erfahren, wie Sie eine Geofilterungsrichtlinie für Ihre Front Door-Instanz festlegen, fahren Sie mit dem nächsten Tutorial fort.