Oktatóanyag: HTTPS konfigurálása Azure CDN egyéni tartományon

Fontos

A Microsofttól (klasszikus) származó Azure CDN Standard 2027. szeptember 30-án megszűnik. A szolgáltatáskimaradások elkerülése érdekében fontos, hogy az Azure CDN Standardot 2027. szeptember 30-ig migrálja a Microsoft (klasszikus) profiljaiból az Azure Front Door Standard vagy a Premium szintre. További információ: Azure CDN Standard a Microsoft (klasszikus) kivonásáról.

Az Edgio-ból származó Azure CDN 2025. november 4-én megszűnik. A szolgáltatáskimaradás elkerülése érdekében a számítási feladatot a dátum előtt át kell telepítenie az Azure Front Doorba. További információ: Azure CDN az Edgio kivonásáról – gyakori kérdések.

Ez az oktatóanyag bemutatja, hogyan engedélyezheti a HTTPS protokollt egy Azure CDN-végponthoz társított egyéni tartományhoz.

Az egyéni tartomány HTTPS protokollja (például) biztosítja a https://www.contoso.combizalmas adatok TLS/SSL használatával történő biztonságos kézbesítését. Amikor a webböngésző HTTPS-en keresztül csatlakozik, a böngésző ellenőrzi a webhely tanúsítványát. A böngésző ellenőrzi, hogy egy megbízható hitelesítésszolgáltató adta-e ki. Ez az eljárás védelmet nyújt webalkalmazásai számára a támadásokkal szemben.

Az Azure CDN alapértelmezés szerint támogatja a HTTPS-t a CDN-végpontok gazdaneve esetében. Ha például létrehoz egy CDN-végpontot (például https://contoso.azureedge.net), a HTTPS automatikusan engedélyezve lesz.

Az egyéni HTTPS szolgáltatás legfőbb jellemzői a következők:

• Nincs extra költség: A tanúsítvány beszerzésének vagy megújításának nincs költsége, a HTTPS-forgalomnak pedig nincs többletköltsége. Csak a CDN-ből kimenő GB-forgalomért kell fizetnie.

• Egyszerű engedélyezés: a kiépítés egy kattintással elvégezhető az Azure Portalon keresztül. A szolgáltatás engedélyezéséhez REST API-k, valamint más fejlesztői eszközök is használhatók.

• A teljes tanúsítványkezelés elérhető:

  • Minden tanúsítvány beszerzését és kezelését ön kezeli.
  • A tanúsítványok automatikusan ki vannak építve és megújítva a lejárat előtt.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• HTTPS-protokoll engedélyezése az egyéni tartományon
• CDN által kezelt tanúsítvány használata
• Saját tanúsítvány használata
• A tartomány érvényesítése
• HTTPS-protokoll letiltása az egyéni tartományon

Előfeltételek

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Az oktatóanyag lépéseinek elvégzése előtt hozzon létre egy CDN-profilt és legalább egy CDN-végpontot. További információk: Gyors útmutató: Azure CDN-profil és -végpont létrehozása

Egyéni Azure CDN-tartomány társítása a CDN-végponthoz. További információ : Oktatóanyag: Egyéni tartomány hozzáadása az Azure CDN-végponthoz.

Fontos

A CDN által felügyelt tanúsítványok nem érhetők el gyökér- vagy csúcstartományokhoz. Ha az Azure CDN egyéni tartománya gyökér- vagy csúcstartomány, a Saját tanúsítványszolgáltatást kell használnia.

---

TLS-/SSL-tanúsítványok

Ha egyéni Azure CDN-tartományon szeretné engedélyezni a HTTPS-t, TLS-/SSL-tanúsítványt használ. Az Azure CDN által felügyelt vagy a tanúsítványt használó tanúsítványt választja.

1. lehetőség (alapértelmezett): A HTTPS engedélyezése a CDN által kezelt tanúsítvánnyal

Az Azure CDN kezeli a tanúsítványkezelési feladatokat, például a beszerzést és a megújítást. A szolgáltatás engedélyezése után a folyamat azonnal elindul.

Ha az egyéni tartomány már le van képezve a CDN-végpontra, nincs szükség további műveletre. Az Azure CDN feldolgozza a lépéseket, és automatikusan végrehajtja a kérést.

Ha az egyéni tartománya máshol van leképezve, e-mailben ellenőrizze a tartomány tulajdonjogát.

Kövesse az alábbi lépéseket a HTTPS engedélyezéséhez egy egyéni tartományon:

1. Az Azure CDN által felügyelt tanúsítvány megkereséséhez nyissa meg az Azure Portalt . Keresse meg és válassza ki a CDN-profilokat.

2. Válassza ki a profilját:

   • Azure CDN Standard a Microsofttól
   • Azure CDN Standard az Edgio-tól
   • Azure CDN Premium az Edgio-tól

3. A CDN-végpont listájából válassza ki az egyéni tartományt tartalmazó végpontot.

   Megjelenik a Végpont lap.

4. Az egyéni tartományok listájából válassza ki azt az egyéni tartományt, amelyen engedélyezni szeretné a HTTPS-t.

   

   Megjelenik az Egyéni tartomány lap.

5. A Tanúsítványkezelés típusa területen válassza a CDN által felügyelt lehetőséget.

6. Válassza a Bekapcsolás lehetőséget a HTTPS engedélyezéséhez.

   

7. Folytassa a tartomány érvényesítését.

2. lehetőség: A HTTPS engedélyezése saját tanúsítvánnyal

Fontos

• Ez a lehetőség csak a Microsoft Azure CDN-jével érhető el.
• 2024. június 20-án karbantartáson ment keresztül a saját tanúsítvány használata az Edgio-ból származó Azure CDN-sel. Ez a funkció ez idő alatt nem érhető el, és 2025 elején újra elérhető lesz.

A saját tanúsítványát is használhatja a HTTPS szolgáltatás engedélyezéséhez. Ez a folyamat Azure Key Vault-integrációval történik, amely lehetővé teszi a tanúsítványok biztonságos tárolását. Az Azure CDN ezzel a biztonságos mechanizmussal szerzi be a tanúsítványt, és néhány további lépést igényel. A TLS/SSL-tanúsítvány létrehozásakor létre kell hoznia egy teljes tanúsítványláncot egy engedélyezett hitelesítésszolgáltatóval (CA), amely a Microsoft megbízható hitelesítésszolgáltatói listájának része. Ha nem engedélyezett hitelesítésszolgáltatót használ, a rendszer elutasítja a kérelmet. Ha teljes lánc nélküli tanúsítvány jelenik meg, a kérések, amelyek magukban foglalják a tanúsítványt, nem garantáltan a várt módon működnek.

Az Azure Key Vault-fiók és -tanúsítvány előkészítése

1. Azure Key Vault: Rendelkeznie kell egy futó Azure Key Vault-fiókkal abban az előfizetésben, amelyben az Azure CDN-profil és azok a CDN-végpontok találhatók, amelyekhez egyéni HTTPS-t szeretne engedélyezni. Ha még nem rendelkezik Azure Key Vault-fiókkal, hozzon létre egyet.

2. Azure Key Vault-tanúsítványok: Ha rendelkezik tanúsítvánnyal, töltse fel közvetlenül az Azure Key Vault-fiókjába. Ha nem rendelkezik tanúsítvánnyal, hozzon létre egy új tanúsítványt közvetlenül az Azure Key Vaulton keresztül.

Feljegyzés

• Az Azure Content Delivery Network csak a PFX-tanúsítványokat támogatja.
• A tanúsítványnak teljes tanúsítványláncot kell tartalmaznia levél- és köztes tanúsítványokkal, a legfelső szintű hitelesítésszolgáltatónak pedig a Microsoft megbízható hitelesítésszolgáltatói listájának része kell lennie.

Felügyelt identitás beállítása az Azure CDN-hez

Kövesse az Azure CDN felügyelt identitásának konfigurálásához szükséges lépéseket, hogy az Azure CDN hozzáférhessen az Azure Key Vault-fiókjához.

Az Azure CDN által üzembe helyezendő tanúsítvány kiválasztása

1. Lépjen vissza az Azure CDN portálra, és válassza ki a profilt és CDN-végpontot, amelyhez engedélyezni szeretné az egyéni HTTPS-t.

2. Az egyéni tartományok listájából válassza ki azt az egyéni tartományt, amelyen engedélyezni szeretné a HTTPS-t.

   Megjelenik az Egyéni tartomány lap.

3. A Tanúsítványkezelés típusa területen válassza a Saját tanúsítvány használata lehetőséget.

   

4. Válassza ki a kulcstartót, a tanúsítványt/titkos kulcsot és a tanúsítvány/titkos verziót.

   Az Azure CDN a következő információkat jeleníti meg:

   • Az előfizetés azonosítójához tartozó Key Vault-fiókok.
   • A kijelölt kulcstartó alatti tanúsítványok/titkos kódok.
   • A tanúsítvány/titkos kód elérhető verziói.

   Feljegyzés

   • Az Azure Content Delivery Network csak a PFX-tanúsítványokat támogatja.
   • Annak érdekében, hogy a tanúsítvány automatikusan a legújabb verzióra váltson, amikor a tanúsítvány újabb verziója elérhető a kulcstartóban, állítsa a tanúsítvány/titkos verziót a "Legújabb" értékre. Ha egy adott verzió van kiválasztva, manuálisan kell kijelölnie az új verziót a tanúsítvány rotálásához. A tanúsítvány/titkos kód új verziójának üzembe helyezése akár 72 órát is igénybe vehet. Csak a Standard Microsoft termékváltozat támogatja a tanúsítványok automatikus elforgatását.

5. Válassza a Bekapcsolás lehetőséget a HTTPS engedélyezéséhez.

6. A tanúsítvány használatakor nincs szükség tartományérvényesítésre. Folytassa ezzel: Várakozás a propagálásra.

A tartomány érvényesítése

Ha az egyéni végponthoz CNAME rekorddal van leképezve egy egyéni tartomány, vagy saját tanúsítványt használ, folytassa a Content Delivery Network-végponthoz hozzárendelt egyéni tartománylal.

Ellenkező esetben, ha a végpont CNAME rekordbejegyzése már nem létezik, vagy a cdnverify altartományt tartalmazza, folytassa a CDN-végponthoz nem hozzárendelt egyéni tartományra.

Az egyéni tartomány le van képezve a CDN-végpontra egy CNAME rekord révén

Amikor egyéni tartományt adott hozzá a végponthoz, létrehozott egy CNAME rekordot a CDN-végpont gazdagépnevére leképezett DNS-tartományregisztrálóban.

Ha a CNAME rekord továbbra is létezik, és nem tartalmazza a cdnverify altartományt, a DigiCert hitelesítésszolgáltató automatikusan ellenőrzi az egyéni tartomány tulajdonjogát.

Ha saját tanúsítványt használ, a tartomány érvényesítése nem szükséges.

A CNAME rekordnak a következő formátumban kell lennie:

• A név az egyéni tartománynév.
• Az érték a tartalomkézbesítési hálózati végpont állomásneve.

Név	Típus	Érték
<www.contoso.com>	CNAME	contoso.azureedge.net

A CNAME rekordokkal kapcsolatos további információért tekintse meg a CNAME DNS-rekord létrehozását ismertető részt.

Ha a CNAME rekord a megfelelő formátumban van, a DigiCert automatikusan ellenőrzi az egyéni tartománynevet, és létrehoz egy tanúsítványt a tartományához. A DigitCert nem küld ellenőrző e-mailt, és nem kell jóváhagynia a kérést. A tanúsítvány egy évig érvényes, és a lejárata előtt automatikusan újra ki lesz iktatva. Folytassa ezzel: Várakozás a propagálásra.

Az automatikus ellenőrzés általában néhány órát vesz igénybe. Ha 24 órán belül nem látja érvényesíteni a tartományát, nyisson meg egy támogatási jegyet.

Feljegyzés

Ha rendelkezik hitelesítésszolgáltatói (CAA) rekorddal a DNS-szolgáltatónál, annak tartalmaznia kell az engedélyezéshez szükséges hitelesítésszolgáltatókat. A DigiCert a Microsoft és az Edgio profilok hitelesítésszolgáltatója. További információ a CAA-rekordok kezelésével kapcsolatban: CAA-rekordok kezelése. A CAA-rekordokhoz való eszközért lásd: CAA-rekord segítő.

Az egyéni tartomány nincs leképezve a CDN-végpontra

Ha a CNAME rekordbejegyzés tartalmazza a cdnverify altartományt, kövesse a lépés többi utasításait.

A DigiCert egy ellenőrző e-mailt küld a következő e-mail-címekre. Ellenőrizze, hogy közvetlenül a következő címek egyikéről tud-e jóváhagyni:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Néhány perc múlva e-mailt kell kapnia, hogy jóváhagyja a kérést. Ha levélszemétszűrőt használ, adja hozzá verification@digicert.com az engedélyezési listához. Ha 24 órán belül nem kapja meg az e-mailt, lépjen kapcsolatba a Microsoft támogatási szolgálatával.

A jóváhagyási hivatkozás kiválasztásakor a következő online jóváhagyási űrlapra irányítjuk:

Kövesse az űrlap utasításait; két ellenőrzési lehetősége van:

• Az ugyanazon gyökértartományhoz tartozó ugyanazon fiók összes jövőbeli kérést jóváhagyhatja; például: contoso.com. Ez a módszer akkor ajánlott, ha más egyéni tartományokat szeretne hozzáadni ugyanahhoz a gyökértartományhoz.

• Jóváhagyhatja az adott gazdanevet, amelyet a kéréshez használtak. További jóváhagyásra van szükség a későbbi kérésekhez.

A jóváhagyás után a DigiCert befejezi az egyéni tartománynév tanúsítványának létrehozását. Ez a tanúsítvány egy évig érvényes. Ha az egyéni tartomány CNAME rekordja hozzá van adva vagy frissítve van, hogy az ellenőrzés után megfeleltethető legyen a végpont állomásneve számára, akkor a rendszer automatikusan újra létrehozza, mielőtt lejár.

Feljegyzés

A felügyelt tanúsítvány autorenewal használatához az egyéni tartományt egy CNAME rekorddal kell közvetlenül leképeznie a CDN-végpontra.

Várakozás a propagálásra

A tartománynév érvényesítése után 6-8 óra szükséges ahhoz, hogy az egyéni tartományhoz tartozó HTTPS szolgáltatás aktiválódjon. A folyamat befejezése után az Egyéni HTTPS-állapot az Azure Portalon engedélyezve lesz. Az egyéni tartomány párbeszédpanel négy műveletlépése befejezettként van megjelölve. Az egyéni tartomány ezzel készen áll a HTTPS használatára.

Műveleti folyamat

Az alábbi táblázat a műveleti folyamatot mutatja, amely a HTTPS engedélyezésekor megy végbe. Miután engedélyezte a HTTPS-t, négy műveleti lépés jelenik meg az egyéni tartomány párbeszédpaneljében. Ahogy minden lépés aktívvá válik, a lépés során más részrészletek is megjelennek a lépés alatt. Nem minden altevékenység fordul elő. Miután egy lépés sikeresen befejeződik, egy zöld pipa jelenik meg mellette.

Műveleti lépés	Műveleti allépés részletei
1. Kérés elküldése	Kérés elküldése
	A HTTPS-kérés küldése folyamatban van.
	A HTTPS-kérés elküldése sikerült.
2. Tartományérvényesítés	A rendszer automatikusan érvényesíti a tartományt, ha a CNAME a CDN-végponthoz van leképezve. Ellenkező esetben a rendszer ellenőrző kérelmet küld a tartomány regisztrációs rekordjában (WHOIS-regisztráló) szereplő e-mailre.
	Sikerült ellenőrizni a tartomány tulajdonjogát.
	A tartomány tulajdonjogának ellenőrzési kérelme lejárt (az ügyfél valószínűleg nem válaszolt 6 napon belül). A HTTPS nem lesz engedélyezve a tartományban. *
	A tartomány tulajdonjogának ellenőrzésére vonatkozó kérelem vissza lett utasítva az ügyfél által. A HTTPS nem lesz engedélyezve a tartományban. *
3. Tanúsítvány üzembe helyezése	A hitelesítésszolgáltató jelenleg azon tanúsítvány kibocsátását végzi, amely a HTTPS tartományban való engedélyezéséhez szükséges.
	A tanúsítvány kibocsátása megtörtént, és folyamatban van a CDN-hálózatban való üzembe helyezése. A folyamat akár hat órát is igénybe vehet.
	Sikerült üzembe helyezni a tanúsítványt a CDN-hálózatban.
4. Befejezve	Sikerült engedélyezni a HTTPS-t a tartományban.

* Ez az üzenet csak akkor jelenik meg, ha hiba történt.

Ha a kérelem elküldése előtt hiba történik, a következő hibaüzenet jelenik meg:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Az erőforrások eltávolítása – HTTPS letiltása

Ebben a szakaszban megtudhatja, hogyan tilthatja le a HTTPS-t az egyéni tartományában.

HTTPS szolgáltatás letiltása

1. Az Azure Portalon keresse meg és válassza ki a CDN-profilokat.

2. Válassza ki az Azure CDN Standardot a Microsofttól, az Azure CDN Standardot az Edgio-tól, vagy az Azure CDN Premiumot az Edgio-profilból.

3. A végpontok listájában válassza ki az egyéni tartományt tartalmazó végpontot.

4. Válassza ki azt az egyéni tartományt, amelyhez le szeretné tiltani a HTTPS-t.

   

5. A HTTPS letiltásához kattintson a Ki gombra, majd az Alkalmaz gombra.

   

Várakozás a propagálásra

Az egyéni tartomány HTTPS szolgáltatásának letiltása után 6-8 óra szükséges ahhoz, hogy a művelet végbemenjen. Ha a folyamat befejeződött, az Azure Portal egyéni HTTPS-állapota le van tiltva. Az egyéni tartomány már nem használhatja a HTTPS-t.

Gyakori kérdések

1. Ki a tanúsítványszolgáltató és milyen típusú tanúsítvány van használatban?

   A Digicert által biztosított dedikált tanúsítvány a következő egyéni tartományhoz használható:

   • Azure Content Delivery Network az Edgio-tól
   • Azure Content Delivery Network a Microsofttól

2. IP-alapú vagy kiszolgálónév-jelzést (SNI) TLS/SSL-t használ?

   Az Edgio-ból származó Azure CDN és a Microsoft Azure CDN Standard is SNI TLS/SSL-t használ.

3. Mi a teendő, ha nem kapok visszaigazolási e-mailt a DigiCerttől?

   Ha nem a cdnverify altartományt használja, és a CNAME bejegyzése a végpont állomásneve, akkor nem kap tartomány-ellenőrző e-mailt.

   A hitelesítés automatikusan történik. Máskülönben, ha nem rendelkezik CNAME-bejegyzéssel, és 24 órán belül nem kapott e-mailt, forduljon a Microsoft támogatási szolgálatához.

4. A SAN tanúsítvány használata kevésbé biztonságos, mint egy dedikált tanúsítvány használata?

   A SAN-tanúsítvány ugyanolyan titkosítási és biztonsági előírásokat követ, mint a dedikált tanúsítvány. Minden kiadott TLS/SSL-tanúsítvány sha-256-ot használ a fokozott kiszolgálóbiztonság érdekében.

5. Szükségem van hitelesítésszolgáltató engedélyezési rekordra a DNS szolgáltatómnál?

   A hitelesítésszolgáltató engedélyezési rekordja jelenleg nem szükséges. Viszont ha van ilyenje, mindenképpen tartalmaznia kell a DigiCertet mint érvényes CA-t.

6. 2018. június 20-án az Edgio-ból származó Azure CDN alapértelmezés szerint egy dedikált tanúsítványt kezdett használni SNI TLS/SSL használatával. Mi történik a tulajdonos alternatív nevével (SAN) megadott tanúsítványt és IP-cím alapú TLS/SSL-t használó meglévő egyéni tartományaimmal?

   A meglévő tartományokat fokozatosan migráljuk egyetlen tanúsítványba a következő hónapokban, ha a Microsoft azt elemzi, hogy csak SNI-ügyfélkérelmek történnek az alkalmazáshoz.

   Ha nem SNI-ügyfeleket észlel, a tartományai IP-alapú TLS/SSL protokollal maradnak a SAN-tanúsítványban. A szolgáltatáshoz vagy az SNI-n kívüli ügyfelekhez érkező kérések nem változnak.

7. Hogyan működnek a tanúsítványmegújítások a Saját tanúsítvány használata használatával?

   Annak érdekében, hogy egy újabb tanúsítvány üzembe legyen helyezve a POP-infrastruktúrában, töltse fel az új tanúsítványt az Azure Key Vaultba. Az Azure Content Delivery Network TLS-beállításai között válassza ki a legújabb tanúsítványverziót, és válassza a Mentés lehetőséget. Az Azure Content Delivery Network ezután propagálja az új frissített tanúsítványt.

   Fontos

   • 2024. június 20-tól az Edgio Azure CDN Standard és Premium szolgáltatása nem támogatja a Saját tanúsítványok használata funkciót. Ezt a funkciót 2025 elején újra bevezetjük.
   • Milyen műveletek szükségesek a funkciót használó egyéni tartományokhoz? Az Edgio platformon már üzembe helyezett BYOC-tanúsítványok a lejárati dátumig érvényesek maradnak. A 2025-ben lejáró tanúsítványok esetében nincs szükség műveletre. Javasoljuk, hogy váltson át a CDN-re, amely a frissítést igénylő vagy az idén lejáró tanúsítványok esetében lett kezelve . Ha további segítségre van szüksége, küldjön támogatási kérelmet egy támogatási mérnökkel való együttműködéshez.

Következő lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

• HTTPS-protokoll engedélyezése az egyéni tartományon
• CDN által kezelt tanúsítvány használata
• Saját tanúsítvány használata
• A tartomány érvényesítése
• HTTPS-protokoll letiltása az egyéni tartományon

Lépjen tovább a következő oktatóanyagra, amely bemutatja, hogyan lehet konfigurálni a gyorsítótárat a CDN-végponton.

Oktatóanyag: Azure CDN gyorsítótárazási szabályainak beállítása