Partager via

Comment configurer un domaine personnalisé pour le service Azure SignalR

  • Article

En plus du domaine par défaut fourni avec Azure SignalR Service, vous pouvez également ajouter un domaine DNS personnalisé à votre service. Dans cet article, vous allez voir comment ajouter un domaine personnalisé à votre instance SignalR Service.

Remarque

Les domaines personnalisés sont une fonctionnalité de niveau Premium. Les ressources de niveau Standard peuvent être passées au niveau Premium sans temps d’arrêt.

Pour configurer un domaine personnalisé, vous devez :

  1. Ajouter un certificat de domaine personnalisé.
  2. Créer un enregistrement CNAME de DNS.
  3. Ajouter le domaine personnalisé.

Prérequis

  • Un domaine personnalisé inscrit par le biais d’Azure App Service ou d’un bureau d’enregistrement tiers.
  • Compte Azure avec un abonnement actif.
  • Un groupe de ressources Azure.
  • Une ressource Azure SignalR Service.
  • Une instance Azure Key Vault.
  • Un certificat SSL de domaine personnalisé, stocké dans votre instance Key Vault. Consultez Prise en main des certificats Key Vault
  • Une zone Azure DNS. (Facultatif)

Ajouter un certificat personnalisé

Avant de pouvoir ajouter un domaine personnalisé, vous devez ajouter un certificat SSL personnalisé. Votre instance SignalR Service accède au certificat stocké dans votre coffre de clés au moyen d’une identité managée.

L’ajout d’un certificat de domaine s’effectue en trois étapes.

  1. Activez l’identité managée dans votre instance SignalR Service.
  2. Autorisez l’identité managée à accéder à votre coffre de clés.
  3. Ajoutez un certificat personnalisé à votre instance SignalR Service.

Activer l’identité managée dans SignalR Service

Vous pouvez utiliser une identité managée affectée par le système ou affectée par l’utilisateur. Cet article montre comment utiliser une identité managée affectée par le système.

  1. Dans le portail Azure, accédez à votre ressource SignalR Service.

  2. Sélectionnez Identité dans le menu de gauche.

  3. Sous l’onglet Attribuée par le système, définissez État sur Activé.

    Capture d’écran montrant l’activation d’une identité managée.

  4. Sélectionnez Enregistrer, puis sélectionnez Oui quand vous y êtes invité pour activer l’identité managée affectée par le système.

Une fois l’identité créée, l’ID d’objet (du principal) s’affiche. SignalR Service utilisera l’ID d’objet de l’identité managée affectée par le système pour accéder au coffre de clés. Le nom de l’identité managée est identique au nom de l’instance SignalR Service. Dans la prochaine section, vous allez rechercher le principal (de l’identité managée) en utilisant le nom ou l’ID d’objet.

Autoriser l’identité managée à accéder à votre coffre de clés

SignalR Service utilise une identité managée pour accéder à votre coffre de clés. Vous devez accorder à l’identité managée l’autorisation d’accéder au coffre de clés.

Les étapes d’octroi de l’autorisation varient selon que vous avez choisi d’utiliser une stratégie d’accès au coffre ou un contrôle d’accès en fonction du rôle Azure comme modèle d’autorisation d’accès au coffre de clés.

Si vous utilisez une stratégie d’accès au coffre de clés comme modèle d’autorisation d’accès au coffre, suivez cette procédure pour ajouter une nouvelle stratégie d’accès.

  1. Accédez à votre ressource de coffre de clés.

  2. Sélectionnez Stratégies d’accès dans le menu de gauche.

  3. Sélectionnez Créer. Capture d’écran de la page Stratégies d’accès de Key Vault.

  4. Dans l’onglet Autorisations :

    1. Sélectionnez Get (Obtenir) sous Autorisations de secret.
    2. Sélectionnez Get (Obtenir) sous Autorisations de certificat.

  5. Sélectionnez Suivant pour passer à l’onglet Principal.

    Capture d’écran de l’onglet Autorisations dans la page Créer une stratégie d’accès de Key Vault.

  6. Entrez l’ID d’objet de l’identité managée dans la zone de recherche.

  7. Sélectionnez l’identité managée dans les résultats de la recherche.

  8. Sélectionnez l’onglet Vérifier + créer.

    Capture d’écran de l’onglet Principal dans la page Créer une stratégie d’accès de Key Vault.

  9. Sélectionnez Créer dans l’onglet Vérifier + créer.

L’identité managée de votre instance SignalR Service est listée dans le tableau des stratégies d’accès.

Capture d’écran de la page Stratégies d’accès de Key Vault.

Ajouter un certificat personnalisé à votre instance SignalR Service

Pour ajouter le certificat personnalisé à l’instance SignalR Service, effectuez les étapes suivantes :

  1. Dans le portail Azure, accédez à votre ressource SignalR Service.

  2. Dans le volet de menu, sélectionnez Domaine personnalisé.

  3. Sous Certificat personnalisé, sélectionnez Ajouter.

    Capture d’écran de la gestion de certificat personnalisé.

  4. Entrez le nom du certificat personnalisé.

  5. Sélectionnez Sélectionner dans votre coffre de clés pour choisir un certificat de coffre de clés. Après avoir sélectionné l’URI de base Key Vault suivant, Nom de secret Key Vault doit être renseigné automatiquement. Vous pouvez également renseigner ces champs manuellement.

  6. Éventuellement, vous pouvez spécifier une version secrète Key Vault si vous souhaitez épingler le certificat sur une version spécifique.

  7. Sélectionnez Ajouter.

Capture d’écran de l’ajout d’un certificat personnalisé.

SignalR Service récupère (fetch) le certificat et valide son contenu. Lorsque l’opération réussit, l’état de provisionnement du certificat a la valeur Réussi.

Capture d’écran d’un certificat personnalisé ajouté.

Créer un enregistrement CNAME de domaine personnalisé

Vous devez créer un enregistrement CNAME pour le domaine personnalisé dans une zone Azure DNS ou avec votre service d’enregistrement tiers. L’enregistrement CNAME crée un alias de votre domaine personnalisé vers le domaine par défaut de SignalR Service. SignalR Service utilise l’enregistrement pour valider la propriété de votre domaine personnalisé.

Par exemple, si votre domaine par défaut est contoso.service.signalr.net et que votre domaine personnalisé est contoso.example.com, vous devez créer un enregistrement CNAME sur example.com.

Une fois que vous avez créé l’enregistrement CNAME, vous pouvez effectuer une recherche DNS pour afficher les informations CNAME. Dans notre exemple, la sortie de la commande linux dig (recherche DNS) doit ressembler à cette sortie :

 contoso.example.com. 0 IN CNAME contoso.service.signalr.net.

Si vous utilisez une zone Azure DNS, consultez Gérer les enregistrements DNS pour savoir comment ajouter un enregistrement CNAME.

Capture d’écran de l’ajout d’un enregistrement CNAME dans une zone Azure DNS.

Si vous utilisez d’autres fournisseurs DNS, suivez le guide du fournisseur pour créer un enregistrement CNAME.

Ajouter un domaine personnalisé

Ajoutez maintenant le domaine personnalisé à votre instance SignalR Service.

  1. Dans le portail Azure, accédez à votre ressource SignalR Service.

  2. Dans le volet de menu, sélectionnez Domaine personnalisé.

  3. Sous Domaine personnalisé, sélectionnez Ajouter.

    Capture d’écran de la gestion de domaine personnalisé.

  4. Entrez un nom pour le domaine personnalisé.

  5. Entrez le nom de domaine complet de votre domaine personnalisé, par exemple contoso.com.

  6. Sélectionnez un certificat personnalisé qui s’applique à ce domaine personnalisé.

  7. Sélectionnez Ajouter.

    Capture d’écran de l’ajout d’un domaine personnalisé.

Vérifier un domaine personnalisé

Pour vérifier le domaine personnalisé, vous pouvez utiliser l’API Intégrité. L’API Intégrité constitue un point de terminaison public qui retourne l’état d’intégrité de votre instance SignalR Service. L’API Intégrité est disponible à l’adresse https://<your custom domain>/api/health.

Voici un exemple utilisant cURL :

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK

Il doit retourner le code d’état 200 sans erreur de certificat.

Accéder au coffre de clés dans un réseau privé

Si vous avez configuré un point de terminaison privé pour le coffre de clés, votre instance SignalR Service ne peut pas accéder au coffre de clés via un réseau public. À la place, vous pouvez autoriser votre instance SignalR Service à accéder au coffre de clés via un réseau privé en créant un point de terminaison privé partagé.

Après avoir créé un point de terminaison privé partagé, vous ajoutez un certificat personnalisé comme cela est décrit dans la section ci-dessus, Ajouter un certificat personnalisé à votre instance SignalR Service.

Important

Vous n’avez pas besoin de modifier le domaine dans l’URI du coffre de clés. Par exemple, si l’URI de base de votre coffre de clés est https://contoso.vault.azure.net, utilisez cet URI pour configurer un certificat personnalisé.

Il n’est pas nécessaire d’autoriser explicitement les adresses IP de SignalR Service dans les paramètres de pare-feu du coffre de clés. Pour plus d’informations, consultez Diagnostics de liaison privée de Key Vault.

Rotation du certificat

Si vous ne spécifiez pas de version secrète lors de la création d’un certificat personnalisé, Azure SignalR Service vérifie régulièrement la dernière version dans Key Vault. Lorsqu’une nouvelle version est détectée, elle est automatiquement appliquée. Le délai est généralement d’une heure.

Vous pouvez également épingler un certificat personnalisé à une version secrète spécifique dans Key Vault. Lorsque vous devez appliquer un nouveau certificat, vous pouvez modifier la version du secret, puis mettre à jour le certificat personnalisé de manière proactive.

Nettoyage

Si vous n’envisagez pas de réutiliser les ressources que vous avez créées dans cet article, vous pouvez supprimer le groupe de ressources.

Attention

La suppression du groupe de ressources supprime toutes les ressources contenues dans ce groupe. Si des ressources en dehors du cadre de cet article existent dans le groupe de ressources spécifié, elles seront également supprimées.

Étapes suivantes