Tutorial: Configuración de HTTPS en un dominio personalizado de Azure CDN
En este tutorial se muestra cómo habilitar el protocolo HTTPS en un dominio personalizado asociado con un punto de conexión a Azure CDN.
El protocolo HTTPS en el dominio personalizado (por ejemplo, https://www.contoso.com), garantiza que los datos confidenciales se entreguen de manera segura mediante TLS/SSL. Cuando el explorador web se conecta a través de HTTPS, el explorador valida el certificado del sitio web. El explorador comprueba que está emitido por una entidad de certificación legítima. Este proceso aporta seguridad y protege las aplicaciones web de posibles ataques.
Azure CDN admite HTTPS en un punto de conexión de CDN de manera predeterminada. Por ejemplo, si crea un punto de conexión a la red CDN (como https://contoso.azureedge.net), HTTPS se habilita de manera predeterminada.
Algunos de los atributos clave de la característica de HTTPS personalizado son:
Sin costo adicional: la adquisición o renovación de certificados no tiene costos y el tráfico HTTPS no supone un costo adicional. Solo es preciso pagar por los GB de salida de la red CDN.
Habilitación simple: el aprovisionamiento en un solo clic está disponible desde Azure Portal. También puede utilizar la API de REST u otras herramientas de desarrollo para habilitar la característica.
La administración completa de certificados está disponible:
- toda la adquisición y administración de certificados se controla de manera automática.
- Los certificados se aprovisionan y renuevan automáticamente antes de su expiración.
En este tutorial, aprenderá a:
- Habilitar el protocolo HTTPS en su dominio personalizado
- Usar un certificado administrado por CDN
- Usar su propio certificado
- Validar el dominio
- Deshabilitar el protocolo HTTPS en su dominio personalizado
Prerrequisitos
Nota:
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Para poder completar los pasos de este tutorial, cree un perfil de CDN y al menos un punto de conexión de CDN. Para más información, consulte Inicio rápido: Creación de un perfil y un punto de conexión de Azure CDN.
Asocie un dominio personalizado de Azure CDN en el punto de conexión de CDN. Para más información, consulte el Tutorial: Incorporación de un dominio personalizado a un punto de conexión de Azure CDN.
Importante
Los certificados administrados por CDN no están disponibles para dominios raíz o de Apex. Si el dominio personalizado de Azure CDN es un dominio raíz o de Apex, debe usar la característica Traiga su propio certificado.
Certificados TLS/SSL
Para habilitar HTTPS en un dominio personalizado de Azure CDN, use un certificado TLS/SSL. Puede usar un certificado que Azure CDN administre o usar su propio certificado.
- Opción 1 (valor predeterminado): habilitación de HTTPS con un certificado administrado por CDN
- Opción 2: habilitación de HTTPS con su propio certificado
Azure CDN controla las tareas de administración de certificados, como la adquisición y renovación. Después de habilitar la característica, el proceso se inicia inmediatamente.
Si el dominio personalizado ya está asignado al punto de conexión de CDN, no es necesario realizar ninguna otra acción. Azure CDN procesa los pasos y completa la solicitud automáticamente.
Si su dominio personalizado se asigna en otra parte, use el correo electrónico para validar la propiedad del dominio.
Para habilitar HTTPS en un dominio personalizado, siga estos pasos:
Vaya a Azure Portal para buscar un certificado administrado por Azure CDN. Busque y seleccione Perfiles de CDN.
Elija el perfil:
- Azure CDN Estándar de Microsoft
- Azure CDN Estándar de Edgio
- Azure CDN Premium de Edgio
En la lista de puntos de conexión de CDN, haga clic en el que contiene el dominio personalizado.
Aparece la página Punto de conexión.
En la lista de dominios personalizados, seleccione el dominio personalizado para el que desea habilitar HTTPS.
Aparece la página Dominio personalizado.
En el tipo de administración de certificados, seleccione Certificate management type (Administrado por CDN).
Seleccione On (Activado) para habilitar HTTPS.
Continúe y valide el dominio.
Validar el dominio
Si ya tiene un dominio personalizado en uso asignado a su punto de conexión personalizado con un registro CNAME o usa su propio certificado, continúe con El dominio personalizado está asignado al punto de conexión de Content Delivery Network.
En caso contrario, si la entrada del registro CNAME del punto de conexión ya no existe o no contiene el subdominio cdnverify, continúe con El dominio personalizado no está asignado al punto de conexión de CDN.
El dominio personalizado está asignado al punto de conexión de CDN mediante un registro CNAME
Cuando agrega un dominio personalizado a su punto de conexión, crea un registro CNAME en el registrador de dominios de DNS asignado a su nombre de host del punto de conexión de CDN.
Si el registro CNAME aún existe, pero no contiene el subdominio cdnverify, la CA DigiCert lo usa para validar automáticamente la titularidad de su dominio personalizado.
Si usa su propio certificado, no se requiere la validación del dominio.
El registro CNAME debería tener el siguiente formato:
- Nombre es el nombre del dominio personalizado.
- value es el nombre de host del punto de conexión de red de entrega de contenido.
| Nombre | Tipo | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azureedge.net |
Para obtener más información sobre los registros CNAME, consulte Creación de los registros DNS de CNAME.
Si el registro CNAME tiene el formato correcto, DigiCert automáticamente comprueba su nombre de dominio personalizado y crea un certificado para el dominio. DigitCert no envía un correo electrónico de comprobación, y usted no tiene que aprobar la solicitud. El certificado tiene una validez de un año y se renovará automáticamente antes de expirar. Continúe con Esperar a la propagación.
La validación automática suele tardar unas horas. Si no ve su dominio validado en 24 horas, abra una incidencia de soporte técnico.
Nota:
Si tiene un registro de autorización de entidad de certificación (CAA) con el proveedor de DNS, debe incluir las CA apropiadas para la autorización. DigiCert es la CA para los perfiles de Microsoft y Verizon. Para obtener información acerca de cómo administrar registros de CAA, consulte Manage CAA records (Administrar registros de CAA). Para obtener una herramienta de registros de CAA, consulte CAA Record Helper (Asistente de registros de CAA).
El dominio personalizado no está asignado al punto de conexión de CDN
Si la entrada del registro CNAME contiene el subdominio cdnverify, siga el resto de las instrucciones que aparecen en este paso.
DigiCert envía un correo electrónico de comprobación a las siguientes direcciones de correo electrónico. Compruebe que puede realizar las aprobaciones directamente desde una de las siguientes direcciones:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
Debería recibir un correo electrónico en unos minutos para aprobar la solicitud. Si utiliza un filtro de correo no deseado, agregue verification@digicert.com a la lista de permitidos. Si no recibe un correo electrónico en 24 horas, póngase en contacto con el equipo de soporte técnico de Microsoft.
Al seleccionar el vínculo de aprobación, se le conducirá al siguiente formulario de aprobación en línea:
Siga las instrucciones que aparecen en el formulario; tiene dos opciones de comprobación:
Puede aprobar todos los pedidos futuros realizados a través de la misma cuenta del mismo dominio raíz, por ejemplo, contoso.com. Se recomienda este método si piensa agregar más dominios personalizados al mismo dominio raíz.
Puede aprobar solo el nombre de host específico usado en esta solicitud. Se requiere otra aprobación para las solicitudes posteriores.
Tras la aprobación, DigiCert completa la creación del certificados para el nombre de dominio personalizado. El certificado tiene una validez de un año y se renovará automáticamente antes de expirar.
Esperar a la propagación
Una vez que el nombre de dominio se valide, la característica HTTPS del dominio personalizado tarda entre 6 y 8 horas en estar activa. Una vez completado el proceso, el estado en el cuadro de diálogo "Personalizar HTTPS" de Azure Portal cambia a Habilitado. Los cuatro pasos de la operación del cuadro de diálogo Dominio personalizado se marcan como completados. El dominio personalizado ahora está listo para usar HTTPS.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación que se produce cuando se habilita HTTPS. Después de habilitar HTTPS, los cuatro pasos de la operación aparecen en el cuadro de diálogo del dominio personalizado. A medida que se activa cada paso, aparecen detalles de subpasos adicionales bajo el paso. No se producen todos estos subpasos. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.
| Paso de la operación | Detalles del subpaso de la operación |
|---|---|
| 1 Envío de la solicitud | Envío de la solicitud |
| Se está enviando la solicitud HTTPS. | |
| Se ha enviado correctamente la solicitud HTTPS. | |
| 2 Validación del dominio | El dominio se valida automáticamente si está asignado por CNAME al punto de conexión de CDN. En caso contrario, se envía una solicitud de verificación al correo electrónico que aparece en el registro de su dominio (registrante WHOIS). |
| La propiedad del dominio se ha validado correctamente. | |
| La solicitud de validación de la propiedad del dominio ha expirado (el cliente probablemente no respondió dentro del plazo de 6 días). HTTPS no se habilitará en el dominio. * | |
| El cliente rechazó la solicitud de validación de la propiedad del dominio. HTTPS no se habilitará en el dominio. * | |
| 3 Aprovisionamiento del certificado | La entidad de certificación está emitiendo actualmente el certificado necesario para habilitar HTTPS en el dominio. |
| El certificado se ha emitido y actualmente se está implementando en la red CDN. Esto puede tardar hasta 6 horas. | |
| El certificado se ha implementado correctamente en la red CDN. | |
| 4 Finalizado | Se habilitó correctamente HTTPS en el dominio. |
* Este mensaje no aparecerá a menos que se haya producido un error.
Si se produce un error antes de que se envíe la solicitud, verá el mensaje de error siguiente:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Clean up resources - disable HTTPS (Limpiar recursos: deshabilitar HTTPS)
En esta sección, aprenderá a deshabilitar HTTPS para el dominio personalizado.
Deshabilitación de la característica HTTPS
En Azure Portal, busque y seleccione Perfiles de CDN.
Elija el perfil Azure CDN Estándar de Microsoft, Azure CDN Estándar de Edgio o Azure CDN Premium de Edgio.
En la lista de puntos de conexión, escoja el que contenga el dominio personalizado.
Elija el dominio personalizado en el que desea deshabilitar HTTPS.
Elija Desactivar para deshabilitar HTTPS y haga clic en Aplicar.
Esperar a la propagación
Cuando se deshabilita la característica HTTPS del dominio personalizado, puede tardar hasta 6 a 8 horas para que surta efecto. Una vez completado el proceso, el estado en el cuadro de diálogo "Personalizar HTTPS" de Azure Portal cambia a Deshabilitado. Los tres pasos de la operación del cuadro de diálogo Dominio personalizado se marcan como completados. El dominio personalizado ya no usa HTTPS.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación que se produce cuando se deshabilita HTTPS. Después de deshabilitar HTTPS, los tres pasos de la operación aparecen en el cuadro de diálogo Dominio personalizado. A medida que se activa cada paso, aparecen más detalles bajo el paso. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.
| Progreso de la operación | Detalles de la operación |
|---|---|
| 1 Envío de la solicitud | Enviando la solicitud |
| 2 Desaprovisionamiento del certificado | Eliminando certificado |
| 3 Finalizado | Certificado eliminado |
Rotación automática de certificados con Azure CDN de Edgio
Los certificados administrados de Azure Key Vault pueden usar la característica de rotación automática de certificados, lo que permite a Azure CDN de Edgio recuperar automáticamente los certificados actualizados y propagarlos a la plataforma de Edgio CDN. Para habilitar esta característica:
Registre Azure CDN como una aplicación dentro de Microsoft Entra ID.
Autorice al servicio Azure CDN para acceder a los secretos de Key Vault. Vaya a "Directivas de acceso" dentro de Key Vault para agregar una nueva directiva y, a continuación, conceda a la entidad de servicio Microsoft.AzureFrontDoor-Cdn el permiso Obtener secretos.
Establezca la versión del certificado en Más reciente en el Tipo de administración de certificados en el menú Dominio personalizado. Si se selecciona una versión específica del certificado, se requieren actualizaciones manuales.
Nota:
- Tenga en cuenta que la rotación automática del certificado puede tardar hasta 24 horas en completar totalmente la propagación del nuevo certificado.
- Si se usa un certificado para cubrir varios dominios personalizados, es imperativo habilitar la rotación automática del certificado en todos los dominios personalizados que comparten este certificado para garantizar una operación correcta. Si no lo hace, la plataforma Edgio puede entregar una versión incorrecta del certificado para el dominio personalizado que no tiene habilitada esta característica.
Preguntas más frecuentes
¿Quién es el proveedor de certificados y qué tipo de certificado se utiliza?
Se usa un certificado dedicado, que proporciona Digicert, para el dominio personalizado de:
- Azure Content Delivery Network desde Edgio
- Azure Content Delivery Network de Microsoft
¿Usa TLS/SSL basado en IP o indicación de nombre de servidor (SNI)?
Tanto Azure CDN de Edgio como Azure CDN Estándar de Microsoft usan TLS/SSL de SNI.
¿Qué debo hacer si no recibo el correo electrónico de comprobación de dominio de DigiCert?
Si no usa el subdominio cdnverify y la entrada CNAME es para el nombre de host del punto de conexión, no recibirá un correo electrónico de comprobación de dominio.
La validación se produce automáticamente. En caso contrario, si no tiene una entrada CNAME y no ha recibido un correo electrónico en 24 horas, póngase en contacto con el servicio de soporte técnico de Microsoft.
¿Son menos seguros los certificados SAN que los certificados dedicados?
Los certificados SAN siguen los mismos estándares de cifrado y seguridad que los certificados dedicados. Todos los certificados TLS/SSL emitidos usan SHA-256 para mejorar la seguridad del servidor.
¿Necesito un registro de autorización de entidad de certificación con mi proveedor de DNS?
Actualmente no se requiere un registro de autorización de entidad de certificación. Pero si tiene uno, debe incluir DigiCert como entidad de certificación válida.
El 20 de junio de 2018, Azure CDN de Edgio comenzó a usar un certificado dedicado con TLS/SSL de SNI de forma predeterminada. ¿Qué sucede con los dominios personalizados existentes que usan certificados de nombre alternativo del firmante (SAN) TLS/SSL basado en IP?
En los próximos meses, los dominios existentes se migrarán gradualmente a un único certificado si Microsoft analiza que solo se realizan solicitudes de cliente SNI a la aplicación.
Si se detectan clientes que no son SNI, los dominios permanecen en el certificado SAN con TLS/SSL basado en IP. Las solicitudes al servicio o a los clientes que no sean SNI no se verán afectadas.
Funcionamiento de la renovación de certificados con Bring Your Own Certificate
Para asegurarse de que se implementa un certificado más reciente en la infraestructura de POP, cargue el nuevo certificado en Azure Key Vault. En la configuración de TLS en Azure Content Delivery Network, elija la versión más reciente del certificado y seleccione Guardar. Azure Content Delivery Network propagará el nuevo certificado actualizado.
Para los perfiles de Azure CDN de Edgio, si usa el mismo certificado de Azure Key Vault en varios dominios personalizados (por ejemplo, un certificado comodín), asegúrese de actualizar todos los dominios personalizados que usan ese mismo certificado a la versión más reciente del certificado.
Pasos siguientes
En este tutorial, ha aprendido a:
- Habilitar el protocolo HTTPS en su dominio personalizado
- Usar un certificado administrado por CDN
- Usar su propio certificado
- Validar el dominio
- Deshabilitar el protocolo HTTPS en su dominio personalizado
Avance al siguiente tutorial para aprender a configurar el almacenamiento en caché en el punto de conexión de CDN.