Tutorial: Configuración de HTTPS en un dominio personalizado de Azure CDN
Importante
Azure CDN Estándar de Microsoft (clásico) se retirará el 30 de septiembre de 2027. Para evitar interrupciones del servicio, es importante que migre los perfiles de Azure CDN Estándar de Microsoft (clásico) a los nivel Estándar o Prémium de Azure Front Door antes del 30 de septiembre de 2027. Para más información, consulte Retirada de Azure CDN Estándar de Microsoft (clásico).
Azure CDN de Edgio se retirará el 4 de noviembre de 2025. Debe migrar la carga de trabajo a Azure Front Door antes de esta fecha para evitar la interrupción del servicio. Para más información, consulte Preguntas más frecuentes sobre la retirada de Azure CDN de Edgio..
En este tutorial se muestra cómo habilitar el protocolo HTTPS en un dominio personalizado asociado con un punto de conexión a Azure CDN.
El protocolo HTTPS en el dominio personalizado (por ejemplo, https://www.contoso.com
), garantiza que los datos confidenciales se entreguen de manera segura mediante TLS/SSL. Cuando el explorador web se conecta a través de HTTPS, el explorador valida el certificado del sitio web. El explorador comprueba que está emitido por una entidad de certificación legítima. Este proceso aporta seguridad y protege las aplicaciones web de posibles ataques.
Azure CDN admite HTTPS en un punto de conexión de CDN de manera predeterminada. Por ejemplo, si crea un punto de conexión a la red CDN (como https://contoso.azureedge.net
), HTTPS se habilita de manera predeterminada.
Algunos de los atributos clave de la característica de HTTPS personalizado son:
Sin costo adicional: la adquisición o renovación de certificados no tiene costos y el tráfico HTTPS no supone un costo adicional. Solo es preciso pagar por los GB de salida de la red CDN.
Habilitación simple: el aprovisionamiento en un solo clic está disponible desde Azure Portal. También puede utilizar la API de REST u otras herramientas de desarrollo para habilitar la característica.
La administración completa de certificados está disponible:
- toda la adquisición y administración de certificados se controla de manera automática.
- Los certificados se aprovisionan y renuevan automáticamente antes de su expiración.
En este tutorial, aprenderá a:
- Habilitar el protocolo HTTPS en su dominio personalizado
- Usar un certificado administrado por CDN
- Usar su propio certificado
- Validar el dominio
- Deshabilitar el protocolo HTTPS en su dominio personalizado
Prerrequisitos
Nota:
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Para poder completar los pasos de este tutorial, cree un perfil de CDN y al menos un punto de conexión de CDN. Para más información, consulte Inicio rápido: Creación de un perfil y un punto de conexión de Azure CDN.
Asocie un dominio personalizado de Azure CDN en el punto de conexión de CDN. Para más información, consulte el Tutorial: Incorporación de un dominio personalizado a un punto de conexión de Azure CDN.
Importante
Los certificados administrados por CDN no están disponibles para dominios raíz o de Apex. Si el dominio personalizado de Azure CDN es un dominio raíz o de Apex, debe usar la característica Traiga su propio certificado.
Certificados TLS/SSL
Para habilitar HTTPS en un dominio personalizado de Azure CDN, use un certificado TLS/SSL. Puede usar un certificado que Azure CDN administre o usar su propio certificado.
- Opción 1 (valor predeterminado): habilitación de HTTPS con un certificado administrado por CDN
- Opción 2: habilitación de HTTPS con su propio certificado
Azure CDN controla las tareas de administración de certificados, como la adquisición y renovación. Después de habilitar la característica, el proceso se inicia inmediatamente.
Si el dominio personalizado ya está asignado al punto de conexión de CDN, no es necesario realizar ninguna otra acción. Azure CDN procesa los pasos y completa la solicitud automáticamente.
Si su dominio personalizado se asigna en otra parte, use el correo electrónico para validar la propiedad del dominio.
Para habilitar HTTPS en un dominio personalizado, siga estos pasos:
Vaya a Azure Portal para buscar un certificado administrado por Azure CDN. Busque y seleccione Perfiles de CDN.
Elija el perfil:
- Azure CDN Estándar de Microsoft
- Azure CDN Estándar de Edgio
- Azure CDN Premium de Edgio
En la lista de puntos de conexión de CDN, haga clic en el que contiene el dominio personalizado.
aparece la página Punto de conexión.
En la lista de dominios personalizados, seleccione el dominio personalizado para el que desea habilitar HTTPS.
Aparece la página Dominio personalizado.
En el tipo de administración de certificados, seleccione Certificate management type (Administrado por CDN).
Seleccione On (Activado) para habilitar HTTPS.
Continúe y valide el dominio.
Validar el dominio
Si ya tiene un dominio personalizado en uso asignado a su punto de conexión personalizado con un registro CNAME o usa su propio certificado, continúe con El dominio personalizado está asignado al punto de conexión de Content Delivery Network.
En caso contrario, si la entrada del registro CNAME del punto de conexión ya no existe o no contiene el subdominio cdnverify, continúe con El dominio personalizado no está asignado al punto de conexión de CDN.
El dominio personalizado está asignado al punto de conexión de CDN mediante un registro CNAME
Cuando agrega un dominio personalizado a su punto de conexión, crea un registro CNAME en el registrador de dominios de DNS asignado a su nombre de host del punto de conexión de CDN.
Si el registro CNAME aún existe, pero no contiene el subdominio cdnverify, la CA DigiCert lo usa para validar automáticamente la titularidad de su dominio personalizado.
Si usa su propio certificado, no se requiere la validación del dominio.
El registro CNAME debería tener el siguiente formato:
- Nombre es el nombre del dominio personalizado.
- value es el nombre de host del punto de conexión de red de entrega de contenido.
Nombre | Tipo | Value |
---|---|---|
<www.contoso.com> | CNAME | contoso.azureedge.net |
Para obtener más información sobre los registros CNAME, consulte Creación de los registros DNS de CNAME.
Si el registro CNAME tiene el formato correcto, DigiCert automáticamente comprueba su nombre de dominio personalizado y crea un certificado para el dominio. DigitCert no envía un correo electrónico de comprobación, y usted no tiene que aprobar la solicitud. El certificado tiene una validez de un año y se renovará automáticamente antes de expirar. Continúe con Esperar a la propagación.
La validación automática suele tardar unas horas. Si no ve su dominio validado en 24 horas, abra una incidencia de soporte técnico.
Nota:
Si tiene un registro de autorización de entidad de certificación (CAA) con el proveedor de DNS, debe incluir las CA apropiadas para la autorización. DigiCert es la CA para los perfiles de Microsoft y Verizon. Para obtener información acerca de cómo administrar registros de CAA, consulte Manage CAA records (Administrar registros de CAA). Para obtener una herramienta de registros de CAA, consulte CAA Record Helper (Asistente de registros de CAA).
El dominio personalizado no está asignado al punto de conexión de CDN
Si la entrada del registro CNAME contiene el subdominio cdnverify, siga el resto de las instrucciones que aparecen en este paso.
DigiCert envía un correo electrónico de comprobación a las siguientes direcciones de correo electrónico. Compruebe que puede realizar las aprobaciones directamente desde una de las siguientes direcciones:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
Debería recibir un correo electrónico en unos minutos para aprobar la solicitud. Si utiliza un filtro de correo no deseado, agregue verification@digicert.com a la lista de permitidos. Si no recibe un correo electrónico en 24 horas, póngase en contacto con el equipo de soporte técnico de Microsoft.
Al seleccionar el vínculo de aprobación, se le conducirá al siguiente formulario de aprobación en línea:
Siga las instrucciones que aparecen en el formulario; tiene dos opciones de comprobación:
Puede aprobar todos los pedidos futuros realizados a través de la misma cuenta del mismo dominio raíz, por ejemplo, contoso.com. Se recomienda este método si piensa agregar más dominios personalizados al mismo dominio raíz.
Puede aprobar solo el nombre de host específico usado en esta solicitud. Se requiere otra aprobación para las solicitudes posteriores.
Tras la aprobación, DigiCert completa la creación del certificados para el nombre de dominio personalizado. El certificado es válido durante un año. Si el registro CNAME del dominio personalizado se agrega o actualiza para asignarlo al nombre de host del punto de conexión después de la comprobación, se volverá a asignar automáticamente antes de que expire.
Nota:
La renovación automática de certificados administrados requiere que su dominio personalizado se asigne directamente a su punto final CDN mediante un registro CNAME.
Esperar a la propagación
Una vez que el nombre de dominio se valide, la característica HTTPS del dominio personalizado tarda entre 6 y 8 horas en estar activa. Una vez completado el proceso, el estado en el cuadro de diálogo "Personalizar HTTPS" de Azure Portal cambia a Habilitado. Los cuatro pasos de la operación del cuadro de diálogo Dominio personalizado se marcan como completados. El dominio personalizado ahora está listo para usar HTTPS.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación que se produce cuando se habilita HTTPS. Después de habilitar HTTPS, los cuatro pasos de la operación aparecen en el cuadro de diálogo del dominio personalizado. A medida que se activa cada paso, aparecen detalles de subpasos adicionales bajo el paso. No se producen todos estos subpasos. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.
Paso de la operación | Detalles del subpaso de la operación |
---|---|
1 Envío de la solicitud | Envío de la solicitud |
Se está enviando la solicitud HTTPS. | |
Se ha enviado correctamente la solicitud HTTPS. | |
2 Validación del dominio | El dominio se valida automáticamente si está asignado por CNAME al punto de conexión de CDN. En caso contrario, se envía una solicitud de verificación al correo electrónico que aparece en el registro de su dominio (registrante WHOIS). |
La propiedad del dominio se ha validado correctamente. | |
La solicitud de validación de la propiedad del dominio ha expirado (el cliente probablemente no respondió dentro del plazo de 6 días). HTTPS no se habilitará en el dominio. * | |
El cliente rechazó la solicitud de validación de la propiedad del dominio. HTTPS no se habilitará en el dominio. * | |
3 Aprovisionamiento del certificado | La entidad de certificación está emitiendo actualmente el certificado necesario para habilitar HTTPS en el dominio. |
El certificado se ha emitido y actualmente se está implementando en la red CDN. Esto puede tardar hasta 6 horas. | |
El certificado se ha implementado correctamente en la red CDN. | |
4 Finalizado | Se habilitó correctamente HTTPS en el dominio. |
* Este mensaje no aparecerá a menos que se haya producido un error.
Si se produce un error antes de que se envíe la solicitud, verá el mensaje de error siguiente:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Clean up resources - disable HTTPS (Limpiar recursos: deshabilitar HTTPS)
En esta sección, aprenderá a deshabilitar HTTPS para el dominio personalizado.
Deshabilitación de la característica HTTPS
En Azure Portal, busque y seleccione Perfiles de CDN.
Elija el perfil Azure CDN Estándar de Microsoft, Azure CDN Estándar de Edgio o Azure CDN Premium de Edgio.
En la lista de puntos de conexión, escoja el que contenga el dominio personalizado.
Elija el dominio personalizado en el que desea deshabilitar HTTPS.
Elija Desactivar para deshabilitar HTTPS y haga clic en Aplicar.
Esperar a la propagación
Cuando se deshabilita la característica HTTPS del dominio personalizado, puede tardar hasta 6 a 8 horas para que surta efecto. Una vez completado el proceso, el estado en el cuadro de diálogo "Personalizar HTTPS" de Azure Portal cambia a Deshabilitado. El dominio personalizado ya no usa HTTPS.
Preguntas más frecuentes
¿Quién es el proveedor de certificados y qué tipo de certificado se utiliza?
Se usa un certificado dedicado, que proporciona Digicert, para el dominio personalizado de:
- Azure Content Delivery Network desde Edgio
- Azure Content Delivery Network de Microsoft
¿Usa TLS/SSL basado en IP o indicación de nombre de servidor (SNI)?
Tanto Azure CDN de Edgio como Azure CDN Estándar de Microsoft usan TLS/SSL de SNI.
¿Qué debo hacer si no recibo el correo electrónico de comprobación de dominio de DigiCert?
Si no usa el subdominio cdnverify y la entrada CNAME es para el nombre de host del punto de conexión, no recibirá un correo electrónico de comprobación de dominio.
La validación se produce automáticamente. En caso contrario, si no tiene una entrada CNAME y no ha recibido un correo electrónico en 24 horas, póngase en contacto con el servicio de soporte técnico de Microsoft.
¿Son menos seguros los certificados SAN que los certificados dedicados?
Los certificados SAN siguen los mismos estándares de cifrado y seguridad que los certificados dedicados. Todos los certificados TLS/SSL emitidos usan SHA-256 para mejorar la seguridad del servidor.
¿Necesito un registro de autorización de entidad de certificación con mi proveedor de DNS?
Actualmente no se requiere un registro de autorización de entidad de certificación. Pero si tiene uno, debe incluir DigiCert como entidad de certificación válida.
El 20 de junio de 2018, Azure CDN de Edgio comenzó a usar un certificado dedicado con TLS/SSL de SNI de forma predeterminada. ¿Qué sucede con los dominios personalizados existentes que usan certificados de nombre alternativo del firmante (SAN) TLS/SSL basado en IP?
En los próximos meses, los dominios existentes se migrarán gradualmente a un único certificado si Microsoft analiza que solo se realizan solicitudes de cliente SNI a la aplicación.
Si se detectan clientes que no son SNI, los dominios permanecen en el certificado SAN con TLS/SSL basado en IP. Las solicitudes al servicio o a los clientes que no sean SNI no se verán afectadas.
Funcionamiento de la renovación de certificados con Bring Your Own Certificate
Para asegurarse de que se implementa un certificado más reciente en la infraestructura de POP, cargue el nuevo certificado en Azure Key Vault. En la configuración de TLS en Azure Content Delivery Network, elija la versión más reciente del certificado y seleccione Guardar. Azure Content Delivery Network propagará el nuevo certificado actualizado.
Importante
- A partir del 20 de junio de 2024, Azure CDN Estándar y Premium de Edgio no admitirán la característica Usar mis propios certificados. Esta característica se volverá a introducir a principios de 2025.
- ¿Cuáles son las acciones necesarias para los dominios personalizados que usan esta característica? Los certificados BYOC ya implementados en la plataforma Edgio seguirán siendo válidos hasta su fecha de expiración. No se requiere ninguna acción para los certificados que expiran en 2025. Le recomendamos que cambie a CDN administrados para los certificados que requieren una actualización o expirarán este año. Si necesita ayuda adicional, envíe una solicitud de soporte técnico para trabajar con un ingeniero de soporte técnico.
Pasos siguientes
En este tutorial, ha aprendido a:
- Habilitar el protocolo HTTPS en su dominio personalizado
- Usar un certificado administrado por CDN
- Usar su propio certificado
- Validar el dominio
- Deshabilitar el protocolo HTTPS en su dominio personalizado
Avance al siguiente tutorial para aprender a configurar el almacenamiento en caché en el punto de conexión de CDN.