Ajouter un domaine personnalisé
Outre le domaine par défaut inclus dans une instance d’Azure Web PubSub, vous pouvez ajouter un domaine personnalisé. Un domaine personnalisé est un nom de domaine que vous possédez et gérez. Vous pouvez utiliser un domaine personnalisé pour accéder à vos ressources Azure Web PubSub. Par exemple, vous pouvez utiliser contoso.example.com au lieu de contoso.webpubsub.azure.com pour accéder à vos ressources.
Prérequis
- Compte Azure avec un abonnement actif. Si vous ne possédez pas de compte Azure, vous pouvez créer un compte gratuitement.
- Une ressource Azure Web PubSub à un niveau Premium minimal.
- Une ressource Azure Key Vault.
- Un certificat personnalisé correspondant à un domaine personnalisé qui est stocké dans Azure Key Vault.
Ajouter un certificat personnalisé
Avant d’ajouter un domaine personnalisé, vous devez ajouter un certificat personnalisé correspondant. Un certificat personnalisé est une ressource de votre instance Azure Web PubSub. Il fait référence à un certificat de votre coffre de clés. Pour des raisons de sécurité et de conformité, Azure Web PubSub ne stocke pas définitivement votre certificat. Au lieu de cela, il extrait le certificat de votre coffre de clés et le conserve en mémoire.
Accéder au coffre de clés en utilisant une identité managée
Azure Web PubSub utilise une identité managée pour accéder à votre coffre de clés. Pour autoriser son accès, vous devez lui accorder des autorisations.
Créer une identité managée
Dans le Portail Azure, accédez à votre ressource Azure Web PubSub.
Dans le menu de gauche, sélectionnez Identité.
Sélectionnez le type d’identité à utiliser : sélectionnez Affecté par le système ou Affecté par l’utilisateur. Pour utiliser une identité affectée par l’utilisateur, vous devez d’abord en créer une.
Pour utiliser une identité affectée par le système :
Sélectionnez Activé.
Sélectionnez Oui pour confirmer.
Cliquez sur Enregistrer.
Pour ajouter une identité affectée par l’utilisateur :
Sélectionnez Ajouter une identité managée attribuée à l'utilisateur.
Sélectionner une identité existante.
Sélectionnez Ajouter.
Cliquez sur Enregistrer.
Accorder à l’identité managée l’accès au coffre de clés
Selon la configuration de votre modèle d’autorisation Azure Key Vault, vous devrez peut-être accorder des autorisations à différents emplacements du Portail Azure.
Si vous utilisez une stratégie d’accès intégrée au coffre de clés en tant que modèle d’autorisation Key Vault :
Dans le portail Azure, accédez à votre coffre de clés.
Dans le menu de gauche, sélectionnez Configuration de l’accès.
Sélectionnez Stratégie d'accès au coffre.
Sélectionnez Accéder aux stratégies d’accès.
Sélectionnez Créer.
Dans le volet Créer une stratégie d’accès, sélectionnez l’onglet Autorisations.
Pour Autorisations de secret, sélectionnez Obtenir.
Pour Autorisations du certificat, sélectionnez Obtenir.
Cliquez sur Suivant.
Recherchez le nom de la ressource Azure Web PubSub.
Cliquez sur Suivant.
Sélectionnez l’onglet Application, puis Suivant.
Sélectionnez Créer.
Créer un certificat personnalisé
Dans le Portail Azure, accédez à votre ressource Azure Web PubSub.
Dans le menu de gauche, sélectionnez Domaine personnalisé.
Dans le volet Certificat personnalisé, sélectionnez Ajouter.
Entrez un nom pour le certificat personnalisé.
Choisissez Sélectionner dans votre coffre de clés pour choisir un certificat de coffre de clés. Une fois que vous avez sélectionné un coffre de clés, les valeurs des champs URI de base de Key Vault et Nom du secret Key Vault sont automatiquement ajoutées. Vous pouvez également modifier ces champs manuellement.
(Facultatif) Pour épingler le certificat sur une version spécifique, entrez une valeur pour Version du secret Key Vault.
Sélectionnez Ajouter.
Azure Web PubSub extrait le certificat et valide son contenu. En cas de réussite de la validation du certificat, l’État d’approvisionnement du certificat est défini sur Réussi.
Créer un CNAME de domaine personnalisé
Pour valider la propriété de votre domaine personnalisé, créez un enregistrement CNAME pour le domaine personnalisé et faites-le pointer vers le domaine par défaut de votre ressource Azure Web PubSub.
Par exemple, si votre domaine par défaut est contoso.webpubsub.azure.com et que votre domaine personnalisé est contoso.example.com, créez un enregistrement CNAME sur example.com comme dans l’exemple ci-dessous :
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com
Si vous utilisez une zone Azure DNS, consultez Gérer les enregistrements DNS pour découvrir comment ajouter un enregistrement CNAME.
Si vous utilisez d’autres fournisseurs DNS, suivez les conseils de la documentation du fournisseur pour créer un enregistrement CNAME.
Ajouter un domaine personnalisé à Azure Web PubSub
Un domaine personnalisé est une autre sous-ressource de votre instance Azure Web PubSub. Il contient toutes les configurations requises pour un domaine personnalisé.
Dans le Portail Azure, accédez à votre ressource Azure Web PubSub.
Dans le menu de gauche, sélectionnez Domaine personnalisé.
Dans le volet Domaine personnalisé, sélectionnez Ajouter.
Entrez un nom pour le domaine personnalisé. Utilisez le nom de la sous-ressource.
Entrez le nom de domaine. Utilisez le nom de domaine complet de votre domaine personnalisé, par exemple
contoso.com.Sélectionnez un certificat personnalisé qui s’applique à ce domaine personnalisé.
Sélectionnez Ajouter.
Vérifier votre domaine personnalisé
Vous pouvez maintenant accéder à votre point de terminaison Azure Web PubSub via le domaine personnalisé.
Pour vérifier le domaine, vous pouvez accéder à l’API Intégrité. Les exemples suivants utilisent cURL.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
L’API Intégrité doit retourner le code d’état 200 sans erreur de certificat.
Configurer un coffre de clés de réseau privé
Si vous configurez un point de terminaison privé sur votre coffre de clés, Azure Web PubSub ne peut pas accéder au coffre de clés par le biais d’un réseau public. Vous devez configurer un point de terminaison privé partagé pour permettre à Azure Web PubSub d’accéder à votre coffre de clés par le biais d’un réseau privé.
Après avoir créé un point de terminaison privé partagé, vous pouvez créer un certificat personnalisé comme d’habitude. Vous n’avez pas besoin de modifier le domaine dans l’URI du coffre de clés. Par exemple, si l’URI de base de votre coffre de clés est https://contoso.vault.azure.net, continuez d’utiliser cet URI pour configurer un certificat personnalisé.
Il n’est pas nécessaire d’autoriser explicitement les adresses IP d’Azure Web PubSub dans les paramètres de pare-feu de votre coffre de clés. Pour en savoir plus, consultez Diagnostics de liaison privée de Key Vault.
Effectuer la rotation du certificat
Si vous ne spécifiez pas de version de secret lors de la création d’un certificat personnalisé, Azure Web PubSub recherche régulièrement la dernière version dans le coffre de clés. Lorsqu’une nouvelle version est détectée, elle est automatiquement appliquée. Le délai est généralement inférieur à une heure.
Vous pouvez également épingler un certificat personnalisé à une version de secret spécifique dans votre coffre de clés. Lorsque vous devez appliquer un nouveau certificat, vous pouvez modifier la version du secret, puis mettre à jour le certificat personnalisé de manière proactive.