Compartir a través de

Configurar un dominio personalizado para el servicio Azure Web PubSub

  • Artículo

Además del dominio predeterminado proporcionado por el servicio Azure Web PubSub, también puede agregar un dominio personalizado. Un dominio personalizado es un nombre de dominio que posee y administra. Puede usar un dominio personalizado para acceder al recurso del servicio Azure Web PubSub. Por ejemplo, puede usar contoso.example.com en lugar de contoso.webpubsub.azure.com para acceder al recurso del servicio Azure Web PubSub.

Requisitos previos

  • Una cuenta de Azure con una suscripción activa. Si no tiene una cuenta de Azure, puede crear una cuenta gratuita.
  • Un servicio Azure Web PubSub (debe ser nivel Premium).
  • Un recurso de Azure Key Vault.
  • Un certificado personalizado que coincida con un dominio personalizado que se almacena en Azure Key Vault.

Incorporación de un certificado personalizado

Para poder agregar un dominio personalizado, primero debe agregar un certificado personalizado coincidente. Un certificado personalizado es un recurso del servicio Azure Web PubSub. Hace referencia a un certificado de Azure Key Vault. Por motivos de seguridad y cumplimiento, el servicio Azure Web PubSub no almacena permanentemente el certificado. En su lugar, lo captura de Key Vault sobre la marcha y lo mantiene en la memoria.

Paso 1: Conceder al recurso del servicio Azure Web PubSub acceso a Key Vault

El servicio Azure Web PubSub usa la identidad administrada para acceder a Key Vault. Para autorizar esta opción, es necesario conceder permisos.

  1. En Azure Portal, vaya al recurso del servicio Azure Web PubSub.

  2. En el panel de menús, seleccione Identidad.

  3. Puede seleccionar Identidad asignada por el sistema o Asignada por el usuario. Si desea usar la identidad asignada por el usuario, debe crear una en primer lugar.

    1. Para agregar una identidad asignada por el sistema

      1. Seleccione Activado.
      2. Seleccione para confirmar.
      3. Seleccione Guardar.

      Screenshot of enabling system assigned managed identity.

    2. Para agregar una identidad asignada por el usuario;

      1. Seleccione Agregar identidad administrada asignada por el usuario.
      2. Seleccione una identidad existente.
      3. Seleccione Agregar.

      Screenshot of enabling user assigned managed identity.

  4. Seleccione Guardar.

En función de cómo configure el modelo de permisos de Key Vault, es posible que tenga que conceder permisos en distintos lugares.

Si usa la directiva de acceso integrada de Key Vault como modelo de permisos de Key Vault:

Screenshot of built-in access policy selected as Key Vault permission model.

  1. Vaya al recurso de Key Vault.

  2. En el panel de menús, seleccione Configuración de acceso.

  3. Seleccione Directiva de acceso del almacén.

  4. Seleccione Ir a las directivas de acceso.

  5. Seleccione Crear.

  6. Seleccione Permiso Obtener secreto.

  7. Seleccione Permiso Obtener certificado.

  8. Seleccione Siguiente.

    Screenshot of permissions selection in Key Vault.

  9. Busque el nombre del recurso del servicio Azure Web PubSub.

  10. Seleccione Siguiente.

    Screenshot of principal selection in Key Vault.

  11. Seleccione Siguiente en la pestaña Aplicación .

  12. Seleccione Crear.

Paso 2: Creación de un certificado personalizado

  1. En Azure Portal, vaya al recurso del servicio Azure Web PubSub.

  2. En el panel de menús, seleccione Dominio personalizado.

  3. En la sección Certificado personalizado, seleccione Agregar.

    Screenshot of custom certificate management.

  4. Rellene un nombre para el certificado personalizado.

  5. Haga clic en Select from your Key Vault para elegir un certificado de Key Vault. Después de seleccionar el siguiente URI base de Key Vault, el nombre del secreto de Key Vault se rellenará automáticamente. Asimismo, también puede rellenar estos campos manualmente.

  6. De forma opcional, puede especificar una versión del secreto de Key Vault si quiere anclar el certificado a una versión específica.

  7. Seleccione Agregar.

    Screenshot of adding a custom certificate.

El servicio Azure Web PubSub captura el certificado y valida su contenido. Cuando se realice correctamente, el estado de aprovisionamiento del certificado será Correcto.

Screenshot of an added custom certificate.

Creación de un registro CNAME de dominio personalizado

Para validar la propiedad del dominio personalizado, debe crear un registro CNAME para el dominio personalizado y dirigirlo al dominio predeterminado del servicio Azure Web PubSub.

Por ejemplo, si el dominio predeterminado es contoso.webpubsub.azure.com y el dominio personalizado es contoso.example.com, debe crear un registro CNAME en example.com como:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.

Si usa la zona de Azure DNS, consulte Administración de registros DNS para aprender a agregar un registro CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Si usa otros proveedores de DNS, siga la guía del proveedor para crear un registro CNAME.

Agregar un dominio personalizado

Un dominio personalizado es otro recurso secundario de la instancia del servicio Azure Web PubSub. Contiene todas las configuraciones de un dominio personalizado.

  1. En Azure Portal, vaya al recurso del servicio Azure Web PubSub.

  2. En el panel de menús, seleccione Dominio personalizado.

  3. En Dominio personalizado, seleccione Agregar.

    Screenshot of custom domain management.

  4. Escriba un nombre para el dominio personalizado. Tenga en cuenta que será el nombre del subrecurso.

  5. Escriba el nombre de dominio. Este será el nombre de dominio completo del dominio personalizado; por ejemplo, contoso.com.

  6. Seleccione un certificado personalizado que se aplique al dominio personalizado.

  7. Seleccione Agregar.

    Screenshot of adding a custom domain.

Comprobar un dominio personalizado

Ahora puede acceder al punto de conexión del servicio Azure Web PubSub a través del dominio personalizado. Para comprobarlo, puede acceder a la API de mantenimiento.

A continuación, se proporciona un ejemplo para usar cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

La API de mantenimiento debe devolver 200 el código de estado sin ningún error de certificado.

Key Vault en redes privadas

Si ha configurado un punto de conexión privado en Key Vault, el servicio Azure Web PubSub no puede acceder a Key Vault a través de la red pública. Debe configurar un punto de conexión privado compartido para permitir que el servicio Azure Web PubSub acceda a Key Vault a través de una red privada.

Después de crear un punto de conexión privado compartido, puede crear un certificado personalizado como de costumbre. No es necesario cambiar el dominio en el URI de Key Vault. Por ejemplo, si el URI base de Key Vault es https://contoso.vault.azure.net, siga usándolo para configurar el certificado personalizado.

No es necesario permitir explícitamente las direcciones IP de Azure Web PubSub Service en la configuración del firewall de Key Vault. Para más información, consulte Diagnóstico de problemas de configuración de vínculos privados en Azure Key Vault.

Rotación de certificados

Si no especifica una versión secreta al crear un certificado personalizado, el servicio Azure Web PubSub comprueba periódicamente la versión más reciente en Key Vault. Cuando se observa una nueva versión, se aplica automáticamente. El retraso suele estar dentro de 1 hora.

Como alternativa, también puede anclar un certificado personalizado a una versión secreta específica de Key Vault. Cuando necesite aplicar un nuevo certificado, puede editar la versión secreta y, a continuación, actualizar el certificado personalizado de forma proactiva.

Pasos siguientes