HTTPS konfigurálása egyéni Azure Front Door-tartományon az Azure Portal használatával
Az Azure Front Door alapértelmezés szerint lehetővé teszi a biztonságos Transport Layer Security (TLS) kézbesítést az alkalmazásoknak, amikor saját egyéni tartományokat használ. Ha többet szeretne megtudni az egyéni tartományokról, beleértve az egyéni tartományok HTTPS-sel való használatát, tekintse meg az Azure Front Door tartományait.
Az Azure Front Door támogatja az Azure által felügyelt tanúsítványokat és az ügyfél által felügyelt tanúsítványokat. Ebből a cikkből megtudhatja, hogyan konfigurálhatja mindkét tanúsítványtípust az Egyéni Azure Front Door-tartományokhoz.
Előfeltételek
- Mielőtt konfigurálhatja a HTTPS-t az egyéni tartományhoz, először létre kell hoznia egy Azure Front Door-profilt. További információ: Azure Front Door-profil létrehozása.
- Ha még nem rendelkezik egyéni tartománnyal, először meg kell vásárolnia egyet egy tartományszolgáltatónál. Példákért lásd az egyéni tartománynév vásárlásáról szóló részt.
- Ha az Azure-t használja a DNS-tartományok üzemeltetéséhez, delegálnia kell a tartományszolgáltató tartománynévrendszerét (DNS) egy Azure DNS-nek. További információ: Delegate a domain to Azure DNS (Tartomány delegálása az Azure DNS-be). Ellenkező esetben, ha tartományszolgáltatót használ a DNS-tartomány kezeléséhez, manuálisan kell érvényesítenie a tartományt a rákérdezett DNS TXT-rekordok megadásával.
Az Azure Front Door által felügyelt tanúsítványok nem Azure-beli előre meghatározott tartományokhoz
Ha saját tartományával rendelkezik, és a tartomány még nincs társítva egy másik Azure-szolgáltatással , amely előértékesíti az Azure Front Door tartományait, kövesse az alábbi lépéseket:
A Gépház területen válassza ki az Azure Front Door-profil tartományait. Ezután válassza a + Hozzáadás lehetőséget egy új tartomány hozzáadásához.
A Tartomány hozzáadása panelen adja meg vagy válassza ki a következő adatokat. Ezután válassza a Hozzáadás lehetőséget az egyéni tartomány előkészítéséhez.
Beállítás Érték Alkalmazási tartomány típusa Válassza a nem Azure-beli előre ellenőrzött tartományt. DNS-kezelés Válassza ki az Azure által felügyelt DNS-t (ajánlott). DNS-zóna Válassza ki az egyéni tartományt üzemeltető Azure DNS-zónát. Egyéni tartomány Válasszon ki egy meglévő tartományt, vagy vegyen fel egy új tartományt. HTTPS Válassza ki a felügyelt AFD-t (ajánlott). Ellenőrizze és társítsa az egyéni tartományt egy végponthoz az egyéni tartomány engedélyezésének lépéseit követve.
Miután az egyéni tartomány sikeresen társítva van egy végponttal, az Azure Front Door létrehoz egy tanúsítványt, és üzembe helyezi azt. Ez a folyamat több perctől egy óráig is eltarthat.
Azure-beli felügyelt tanúsítványok az Azure-beli előértékelt tartományokhoz
Ha saját tartománnyal rendelkezik, és a tartomány egy másik Azure-szolgáltatáshoz van társítva, amely az Azure Front Door tartományait előértékesíti, kövesse az alábbi lépéseket:
A Gépház területen válassza ki az Azure Front Door-profil tartományait. Ezután válassza a + Hozzáadás lehetőséget egy új tartomány hozzáadásához.
A Tartomány hozzáadása panelen adja meg vagy válassza ki a következő adatokat. Ezután válassza a Hozzáadás lehetőséget az egyéni tartomány előkészítéséhez.
Beállítás Érték Alkalmazási tartomány típusa Válassza ki az Előre érvényesített Azure-tartományt. Előre ellenőrzött egyéni tartományok Válasszon egy egyéni tartománynevet az Azure-szolgáltatások legördülő listájából. HTTPS Válassza ki a felügyelt Azure-t. Ellenőrizze és társítsa az egyéni tartományt egy végponthoz az egyéni tartomány engedélyezésének lépéseit követve.
Miután az egyéni tartomány sikeresen társítva lett egy végponttal, egy Azure Front Door által felügyelt tanúsítvány lesz üzembe helyezve az Azure Front Doorban. Ez a folyamat több perctől egy óráig is eltarthat.
Saját tanúsítvány használata
A saját TLS-tanúsítványát is használhatja. A TLS-tanúsítványnak meg kell felelnie bizonyos követelményeknek. További információ: Tanúsítványkövetelmények.
Készítse elő a kulcstartót és a tanúsítványt
Hozzon létre egy külön Azure Key Vault-példányt, amelyben az Azure Front Door TLS-tanúsítványait tárolja. További információ: Key Vault-példány létrehozása. Ha már rendelkezik tanúsítvánnyal, feltöltheti azt az új Key Vault-példányba. Ellenkező esetben létrehozhat egy új tanúsítványt a Key Vaulton keresztül az egyik hitelesítésszolgáltatói (CA-) partnertől.
Figyelmeztetés
Az Azure Front Door jelenleg csak ugyanabban az előfizetésben támogatja a Key Vaultot. Ha a Key Vaultot egy másik előfizetés alatt választja ki, az hibát eredményez.
További tudnivalók a tanúsítványokról:
- Az Azure Front Door nem támogatja a háromliptikus görbe titkosítási algoritmusokkal rendelkező tanúsítványokat. Emellett a tanúsítványnak teljes tanúsítványláncot kell tartalmaznia levél- és köztes tanúsítványokkal. A legfelső szintű hitelesítésszolgáltatónak a Microsoft megbízható hitelesítésszolgáltatói listájának is szerepelnie kell.
- Azt javasoljuk, hogy felügyelt identitással engedélyezze a Key Vault-tanúsítványokhoz való hozzáférést, mert az alkalmazásregisztráció a jövőben megszűnik.
Az Azure Front Door regisztrálása
Regisztrálja az Azure Front Door szolgáltatásnevét alkalmazásként a Microsoft Entra-azonosítójában az Azure PowerShell vagy az Azure CLI használatával.
Feljegyzés
- Ehhez a művelethez globális Rendszergazda istrator-engedélyekkel kell rendelkeznie a Microsoft Entra ID-ban. A regisztrációt csak egyszer kell elvégezni a Microsoft Entra-bérlőnként.
- A 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 és d4631ece-daab-479b-be77-ccb713491fc0 alkalmazásazonosítókat az Azure for Azure Front Door Standard és a Premium előre definiálja az Összes Azure-bérlő és -előfizetés esetében. Az Azure Front Door (klasszikus) eltérő alkalmazásazonosítóval rendelkezik.
Ha szükséges, telepítse az Azure PowerShell bővítményt a PowerShellhez a helyi számítógépen.
A PowerShell használatával futtassa a következő parancsot:
Nyilvános Azure-felhő:
New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Azure kormányzati felhő:
New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
Hozzáférés biztosítása az Azure Front Door számára a Key Vaulthoz
Adjon engedélyt az Azure Front Doornak arra, hogy hozzáférjen a kifejezetten az Azure Front Doorhoz létrehozott új Key Vault-fiók tanúsítványaihoz. Csak a tanúsítványhoz és a titkos kódhoz kell engedélyt adnia GET ahhoz, hogy az Azure Front Door lekérje a tanúsítványt.
A Key Vault-fiókban válassza az Access-szabályzatokat.
Válassza az Új hozzáadása vagy Létrehozás lehetőséget egy új hozzáférési szabályzat létrehozásához.
Titkos engedélyekben válassza a Get (Beolvasás) lehetőséget, hogy az Azure Front Door lekérje a tanúsítványt.
A Tanúsítványengedélyek területen válassza a Get (Beolvasás) lehetőséget, ha engedélyezni szeretné, hogy az Azure Front Door lekérje a tanúsítványt.
Az Egyszerű kiválasztása területen keressen rá a 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 kifejezésre, és válassza a Microsoft.AzureFrontDoor-Cdn lehetőséget. Válassza a Tovább lehetőséget.
Az Alkalmazás területen válassza a Tovább lehetőséget.
A Felülvizsgálat és létrehozás területen válassza a Létrehozás lehetőséget.
Feljegyzés
Ha a kulcstartó hálózati hozzáférési korlátozásokkal van védve, ügyeljen arra, hogy a megbízható Microsoft-szolgáltatások hozzáférjenek a kulcstartóhoz.
Az Azure Front Door mostantól hozzáférhet ehhez a kulcstartóhoz és a benne található tanúsítványokhoz.
Válassza ki az Azure Front Door által üzembe helyezendő tanúsítványt
Lépjen vissza a Standard/Prémium Azure Front Doorhoz a portálon.
A Gépház területen lépjen a Titkos kódok elemre, és válassza a + Tanúsítvány hozzáadása lehetőséget.
A Tanúsítvány hozzáadása panelen jelölje be az Azure Front Door Standard/Premium szolgáltatáshoz hozzáadni kívánt tanúsítvány jelölőnégyzetét.
Egy tanúsítvány kiválasztásakor kötelező kiválasztani a tanúsítvány verzióját. Ha a Legújabb lehetőséget választja, az Azure Front Door automatikusan frissül a tanúsítvány elforgatásakor (megújítva). Egy adott tanúsítványverziót is kiválaszthat, ha inkább saját maga szeretné kezelni a tanúsítványváltást.
Hagyja meg a verziókijelölést legújabbként, és válassza a Hozzáadás lehetőséget.
Miután sikeresen kiépült a tanúsítvány, használhatja új egyéni tartomány hozzáadásakor.
A Gépház területen lépjen a Tartományok elemre, és válassza a + Hozzáadás lehetőséget új egyéni tartomány hozzáadásához. A Tartomány hozzáadása panelEN a HTTPS-hez válassza a Saját tanúsítvány (BYOC) lehetőséget. Titkos kód esetén válassza ki a használni kívánt tanúsítványt a legördülő listából.
Feljegyzés
A kijelölt tanúsítvány általános nevének meg kell egyeznie a hozzáadott egyéni tartománnyal.
A tanúsítvány érvényesítéséhez kövesse a képernyőn megjelenő lépéseket. Ezután társítsa az újonnan létrehozott egyéni tartományt egy végponthoz az egyéni tartomány konfigurálása című témakörben leírtak szerint.
Váltás a tanúsítványtípusok között
Lehetősége van megadni, hogy egy tartomány Azure Front Door által vagy ügyfél által kezelt tanúsítványt használjon. További információ: Tartományok az Azure Front Doorban.
Válassza ki a tanúsítvány állapotát a Tanúsítvány részletei panel megnyitásához.
A Tanúsítvány részletei panelen válthat a felügyelt Azure Front Door és a Saját tanúsítvány (BYOC) között.
Ha a Saját tanúsítvány (BYOC) lehetőséget választja, a tanúsítvány kiválasztásához kövesse az előző lépéseket.
Válassza a Frissítés lehetőséget a tartományhoz tartozó tanúsítvány módosításához.
Következő lépések
- További információ az Azure Front Door Standard/Premium gyorsítótárazásáról.
- Az Azure Front Door egyéni tartományainak ismertetése.
- Ismerje meg a végpontok közötti TLS-t az Azure Front Door használatával.