Tartományok az Azure Front Doorban
A tartomány egy egyéni tartománynevet jelöl, amelyet az Azure Front Door használ az alkalmazás forgalmának fogadásához. Az Azure Front Door három tartománynévtípus hozzáadását támogatja:
- Az altartományok az egyéni tartománynév leggyakoribb típusa. Egy példa altartomány:
myapplication.contoso.com. - Az Apex-tartományok nem tartalmaznak altartományt. Ilyen például a
contoso.comcsúcstartomány. További információ a csúcstartományok Azure Front Doorlal való használatáról: Apex-tartományok. - A helyettesítő karakterek tartományai lehetővé teszik a forgalom fogadását bármely altartományhoz. Ilyen például a helyettesítő karakterek tartománya
*.contoso.com. A helyettesítő tartományok Azure Front Doorlal való használatáról további információt a helyettesítő karaktereket tartalmazó tartományok című témakörben talál.
A rendszer tartományokat ad hozzá az Azure Front Door-profilhoz. A tartományt több útvonalon is használhatja egy végponton belül, ha az egyes útvonalakon különböző útvonalakat használ.
Ha szeretné megtudni, hogyan vehet fel egyéni tartományt az Azure Front Door-profiljába, olvassa el az Egyéni tartomány konfigurálása az Azure Front Dooron az Azure Portal használatával című témakört.
DNS-konfiguráció
Amikor tartományt ad hozzá az Azure Front Door-profilhoz, két rekordot konfigurál a DNS-kiszolgálón:
- DNS TXT rekord, amely a tartománynév tulajdonjogának ellenőrzéséhez szükséges. A DNS TXT rekordokkal kapcsolatos további információkért lásd : Tartományérvényesítés.
- DNS CNAME rekord, amely szabályozza az Azure Front Door felé irányuló internetes forgalom áramlását.
Tipp.
A DNS-módosítások végrehajtása előtt hozzáadhat tartománynevet az Azure Front Door-profilhoz. Ez a módszer akkor lehet hasznos, ha együtt kell beállítania az Azure Front Door-konfigurációt, vagy ha van egy külön csapata, amely módosítja a DNS-rekordokat.
A DNS TXT rekordot is hozzáadhatja a tartomány tulajdonjogának ellenőrzéséhez, mielőtt hozzáadja a CNAME rekordot a forgalom szabályozásához. Ez a megközelítés hasznos lehet a migrálás leállásának elkerülése érdekében, ha egy alkalmazás már éles környezetben van.
Tartomány érvényesítése
Az Azure Front Doorhoz hozzáadott összes tartományt ellenőrizni kell. Az ellenőrzés segít megvédeni Önt a véletlen helytelen konfigurációtól, és segít megvédeni másokat a tartományhamisítástól. Bizonyos esetekben a tartományokat egy másik Azure-szolgáltatás előre meg tudja előértékelődni. Ellenkező esetben az Azure Front Door tartományérvényesítési folyamatát kell követnie a tartománynév tulajdonjogának igazolásához.
Az Azure előre ellenőrzött tartományai olyan tartományok, amelyeket egy másik támogatott Azure-szolgáltatás érvényesített. Ha egy tartományt egy másik Azure-szolgáltatásba készít elő és érvényesít, majd később konfigurálja az Azure Front Doort, előfordulhat, hogy egy előre meghatározott tartománnyal dolgozik. Ilyen típusú tartomány használatakor nem kell ellenőriznie a tartományt az Azure Front Dooron keresztül.
Feljegyzés
Az Azure Front Door jelenleg csak az Azure Static Web Apps szolgáltatással konfigurált, előre ellenőrzött tartományokat fogadja el.
A nem Azure által ellenőrzött tartományok olyan tartományok, amelyeket egy támogatott Azure-szolgáltatás nem érvényesít. Ez a tartománytípus bármilyen DNS-szolgáltatással üzemeltethető, beleértve az Azure DNS-t is, és megköveteli, hogy a tartomány tulajdonjogát az Azure Front Door érvényesítse.
TXT rekord érvényesítése
Tartomány érvényesítéséhez létre kell hoznia egy DNS TXT rekordot. A TXT rekord nevének az űrlapnak _dnsauth.{subdomain}kell lennie. Az Azure Front Door egyedi értéket biztosít a TXT rekordhoz, amikor elkezdi hozzáadni a tartományt az Azure Front Doorhoz.
Tegyük fel például, hogy az egyéni altartományt myapplication.contoso.com az Azure Front Door használatával szeretné használni. Először vegye fel a tartományt az Azure Front Door-profiljába, és jegyezze fel a használni kívánt TXT rekordértéket. Ezután konfigurálnia kell egy DNS-rekordot a következő tulajdonságokkal:
| Tulajdonság | Érték |
|---|---|
| Rekord neve | _dnsauth.myapplication |
| Rekordérték | az Azure Front Door által biztosított érték használata |
| Élettartam (TTL) | 1 óra |
A tartomány sikeres érvényesítése után biztonságosan törölheti a TXT rekordot a DNS-kiszolgálóról.
Az egyéni tartomány DNS TXT rekordjának hozzáadásáról további információt az Egyéni tartomány konfigurálása az Azure Front Dooron az Azure Portalon című témakörben talál.
Tartományérvényesítési állapotok
Az alábbi táblázat felsorolja azokat az érvényesítési állapotokat, amelyeket egy tartomány megjeleníthet.
| Tartományérvényesítési állapot | Leírás és műveletek |
|---|---|
| Küldés folyamatban | Az egyéni tartomány létrehozása folyamatban van. Várjon, amíg a tartományi erőforrás készen áll. |
| Függőben | Létrejött a DNS TXT rekord értéke, és az Azure Front Door készen áll a DNS TXT rekord hozzáadására. Adja hozzá a DNS TXT rekordot a DNS-szolgáltatóhoz, és várja meg az ellenőrzés befejezését. Ha az állapot a TXT rekord DNS-szolgáltatóval való frissítése után is függőben marad, válassza az Újragenerálás lehetőséget a TXT rekord frissítéséhez, majd adja hozzá ismét a TXT rekordot a DNS-szolgáltatóhoz. |
| Függőben lévő újraértékelés | A felügyelt tanúsítvány lejárata kevesebb, mint 45 nap. Ha már van egy CNAME rekordja, amely az Azure Front Door végpontra mutat, a tanúsítvány megújításához nincs szükség műveletre. Ha az egyéni tartomány egy másik CNAME rekordra mutat, válassza a Függőben lévő újraérvényesítés állapotot, majd válassza az Újragenerálás lehetőséget az Egyéni tartomány érvényesítése lapon. Végül válassza a Hozzáadás lehetőséget, ha Az Azure DNS-t használja, vagy manuálisan adja hozzá a TXT rekordot a saját DNS-szolgáltató DNS-kezelésével. |
| Érvényesítési jogkivonat frissítése | A tartomány az Újragenerálás gomb kiválasztása után egy rövid ideig frissítési érvényesítési jogkivonat-állapotba kerül. Ha új TXT rekordértéket ad ki, az állapot függőben lesz. Semmit nem kell tenni. |
| Engedélyezve | A tartomány ellenőrzése sikeresen megtörtént, és az Azure Front Door elfogadhatja a tartományt használó forgalmat. Semmit nem kell tenni. |
| Elutasítva | A tanúsítványszolgáltató/szolgáltató elutasította a felügyelt tanúsítvány kiállítását. Előfordulhat például, hogy a tartománynév érvénytelen. Válassza az Elutasított hivatkozást, majd válassza az Egyéni tartomány ellenőrzése lapon az Újragenerálás lehetőséget, ahogyan az a táblázat alatti képernyőképeken is látható. Ezután válassza a Hozzáadás lehetőséget a TXT rekord DNS-szolgáltatóban való hozzáadásához. |
| Időkorlát | A TXT rekord hét napon belül nem lett hozzáadva a DNS-szolgáltatóhoz, vagy érvénytelen DNS TXT rekord lett hozzáadva. Válassza az Időtúllépés hivatkozását, majd az Egyéni tartomány ellenőrzése lapon válassza az Újragenerálás lehetőséget. Ezután válassza a Hozzáadás lehetőséget, ha új TXT rekordot szeretne hozzáadni a DNS-szolgáltatóhoz. Győződjön meg arról, hogy a frissített értéket használja. |
| Belső hiba | Ismeretlen hiba történt. Próbálkozzon újra az ellenőrzéssel a Frissítés vagy az Újragenerálás gombra kattintva. Ha továbbra is problémákat tapasztal, küldjön támogatási kérelmet a Azure-támogatás. |
Feljegyzés
- A TXT rekordok alapértelmezett TTL-értéke 1 óra. Ha újra kell létrehoznia a TXT rekordot az újraérvényesítéshez, figyeljen az előző TXT rekord TTL-ére. Ha nem jár le, az érvényesítés addig sikertelen lesz, amíg az előző TXT rekord le nem jár.
- Ha az Újragenerálás gomb nem működik, törölje és hozza létre újra a tartományt.
- Ha a tartomány állapota nem felel meg a vártnak, válassza a Frissítés gombot.
HTTPS egyéni tartományokhoz
Az egyéni tartomány HTTPS protokolljának használatával gondoskodhat arról, hogy a bizalmas adatok biztonságosan, TLS/SSL-titkosítással legyenek kézbesítve, amikor azokat az interneten keresztül küldik el. Ha egy ügyfél( például egy webböngésző) HTTPS használatával csatlakozik egy webhelyhez, az ügyfél ellenőrzi a webhely biztonsági tanúsítványát, és gondoskodik arról, hogy egy megbízható hitelesítésszolgáltató kiadja. Ez az eljárás védelmet nyújt webalkalmazásai számára a támadásokkal szemben.
Az Azure Front Door támogatja a HTTPS használatát a saját tartományaival, és kiszervezi az átviteli réteg biztonsági (TLS) tanúsítványkezelését a forráskiszolgálókról. Egyéni tartományok használata esetén használhat Azure által felügyelt TLS-tanúsítványokat (ajánlott), vagy vásárolhat és használhat saját TLS-tanúsítványokat.
Az Azure Front Door TLS-sel való működésével kapcsolatos további információkért lásd az Azure Front Door végpontok közötti TLS-eit.
Azure Front Door által felügyelt TLS-tanúsítványok
Az Azure Front Door automatikusan kezelheti az altartományok és csúcstartományok TLS-tanúsítványait. Felügyelt tanúsítványok használatakor nem kell kulcsokat vagy tanúsítvány-aláírási kéréseket létrehoznia, és nem kell feltöltenie, tárolnia vagy telepítenie a tanúsítványokat. Az Azure Front Door emellett emberi beavatkozás nélkül automatikusan elforgathatja (megújíthatja) a felügyelt tanúsítványokat. Ez a folyamat elkerüli az állásidőt, amelyet a TLS-tanúsítványok időben történő megújításának sikertelensége okoz.
A felügyelt TLS-tanúsítványok létrehozásának, kiállításának és telepítésének folyamata több perctől egy óráig is eltarthat, és esetenként hosszabb időt is igénybe vehet.
Feljegyzés
Az Azure Front Door (Standard és Premium) által felügyelt tanúsítványok automatikusan el lesznek forgatva, ha a tartomány CNAME rekordja közvetlenül egy Front Door-végpontra mutat, vagy közvetve egy Traffic Manager-végpontra mutat. Ellenkező esetben újra kell ellenőriznie a tartomány tulajdonjogát a tanúsítványok elforgatásához.
Tartománytípusok
Az alábbi táblázat összefoglalja a felügyelt TLS-tanúsítványokban elérhető funkciókat, ha különböző típusú tartományokat használ:
| Szempont | Subdomain | Csúcstartomány | Helyettesítő karaktert tartalmazó tartomány |
|---|---|---|---|
| Felügyelt TLS-tanúsítványok érhetők el | Igen | Igen | Nem |
| A felügyelt TLS-tanúsítványok automatikusan el vannak forgatva | Igen | Lásd alább | Nem |
Ha csúcstartományokkal rendelkező Azure Front Door által felügyelt TLS-tanúsítványokat használ, előfordulhat, hogy az automatikus tanúsítványváltás megköveteli a tartomány tulajdonjogának újraértékelését. További információ: Apex-tartományok az Azure Front Doorban.
Felügyelt tanúsítvány kiállítása
Az Azure Front Door tanúsítványait partneri hitelesítésszolgáltatónk, a DigiCert állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a DigiCert tanúsítványkibocsátóként egy CAA-tartományrekord létrehozását a következő értékkel: 0 issue digicert.com.
Az Azure teljes mértékben kezeli a tanúsítványokat az Ön nevében, így a felügyelt tanúsítvány bármely aspektusa, beleértve a fő kiállítót is, bármikor változhat. Ezek a módosítások nem önre vannak irányítva. Ügyeljen arra, hogy elkerülje a felügyelt tanúsítványok bármely aspektusával kapcsolatos kemény függőségeket, például a tanúsítvány ujjlenyomatának ellenőrzését, vagy a felügyelt tanúsítványhoz vagy a tanúsítványhierarchia bármely részének rögzítését. Ha tanúsítványokat kell rögzítenie, az ügyfél által felügyelt TLS-tanúsítványt kell használnia a következő szakaszban leírtak szerint.
Ügyfél által felügyelt TLS-tanúsítványok
Előfordulhat, hogy saját TLS-tanúsítványokat kell megadnia. A saját tanúsítványok megadásának gyakori forgatókönyvei a következők:
- A szervezet megköveteli, hogy egy adott hitelesítésszolgáltató által kiadott tanúsítványokat használjon.
- Azt szeretné, hogy az Azure Key Vault kibocsátsa a tanúsítványt egy partner hitelesítésszolgáltató használatával.
- Az ügyfélalkalmazás által felismert TLS-tanúsítványt kell használnia.
- Több rendszeren is ugyanazt a TLS-tanúsítványt kell használnia.
- Helyettesítő karaktereket használ. Az Azure Front Door nem biztosít felügyelt tanúsítványokat helyettesítő karakterekhez.
Feljegyzés
- 2023 szeptemberétől az Azure Front Door támogatja a Saját tanúsítványok (BYOC) használatát a tartomány tulajdonjogának érvényesítéséhez. A Front Door jóváhagyja a tartomány tulajdonjogát, ha a tanúsítvány tanúsítványneve (CN) vagy tulajdonos alternatív neve (SAN) megfelel az egyéni tartománynak. Ha az Azure által felügyelt tanúsítványt választja, a tartományérvényesítés a DNS TXT rekordot használja.
- A BYOC-alapú érvényesítés előtt létrehozott egyéni tartományok esetében, és a tartományérvényesítés állapota nem jóváhagyott, aktiválnia kell a tartomány tulajdonjogának automatikus jóváhagyását az érvényesítési állapot kiválasztásával, majd a portálOn a Revalidate gombra kattintva. Ha a parancssori eszközt használja, a tartományérvényesítést úgy indíthatja el, hogy üres PATCH-kérelmet küld a tartományi API-nak.
Tanúsítványkövetelmények
Ahhoz, hogy a tanúsítványt az Azure Front Door használatával használja, meg kell felelnie a következő követelményeknek:
- Teljes tanúsítványlánc: A TLS/SSL-tanúsítvány létrehozásakor létre kell hoznia egy teljes tanúsítványláncot egy engedélyezett hitelesítésszolgáltatóval (CA), amely a Microsoft megbízható hitelesítésszolgáltatói listájának része. Ha nem engedélyezett hitelesítésszolgáltatót használ, a rendszer elutasítja a kérelmet. A legfelső szintű hitelesítésszolgáltatónak a Microsoft megbízható hitelesítésszolgáltatói listájának részét kell képeznie. Ha teljes lánc nélküli tanúsítványt használ, a tanúsítványt magukban foglaló kérések esetében nem garantált, hogy azok a várt módon fognak működni.
- Köznapi név: A tanúsítvány köznapi nevének (CN) meg kell egyeznie az Azure Front Doorban konfigurált tartománnyal.
- Algoritmus: Az Azure Front Door nem támogatja a háromliptikus görbe (EC) titkosítási algoritmusokkal rendelkező tanúsítványokat.
- Fájltípus (tartalom): A tanúsítványt egy PFX-fájlból kell feltölteni a kulcstartóba, amely a tartalomtípust
application/x-pkcs12használja.
Tanúsítvány importálása az Azure Key Vaultba
Az egyéni TLS-tanúsítványokat importálni kell az Azure Key Vaultba, mielőtt használhatja az Azure Front Doorban. Ha tudni szeretné, hogyan importálhat tanúsítványt egy kulcstartóba, tekintse meg a következő oktatóanyagot: Tanúsítvány importálása az Azure Key Vaultban.
A kulcstartónak ugyanabban az Azure-előfizetésben kell lennie, mint az Azure Front Door-profilja.
Figyelmeztetés
Az Azure Front Door csak a Front Door-profillal azonos előfizetésben lévő kulcstartókat támogatja. Ha az Azure Front Door-profiltól eltérő előfizetésben választ egy kulcstartót, az hibát fog eredményezni.
A tanúsítványokat titkos kulcs helyett tanúsítványobjektumként kell feltölteni.
Hozzáférés biztosítása az Azure Front Doorhoz
Az Azure Front Doornak hozzá kell férnie a kulcstartóhoz a tanúsítvány olvasásához. Konfigurálnia kell a kulcstartó hálózati tűzfalát és a tároló hozzáférés-vezérlését is.
Ha a kulcstartóján hálózati hozzáférési korlátozások vannak engedélyezve, a kulcstartót úgy kell konfigurálnia, hogy a megbízható Microsoft-szolgáltatások átjuthassanak a tűzfalon.
Kétféleképpen konfigurálhatja a hozzáférés-vezérlést a kulcstartón:
- Az Azure Front Door egy felügyelt identitással férhet hozzá a kulcstartóhoz. Ezt a módszert akkor használhatja, ha a kulcstartó Microsoft Entra-hitelesítést használ. További információ: Felügyelt identitások használata az Azure Front Door Standard/Premium használatával.
- Másik lehetőségként hozzáférést adhat az Azure Front Door szolgáltatásnév-hozzáféréséhez a kulcstartóhoz. Ezt a megközelítést akkor használhatja, ha tárolóelérési szabályzatokat használ.
Egyéni tanúsítvány hozzáadása az Azure Front Doorhoz
Miután importálta a tanúsítványt egy kulcstartóba, hozzon létre egy Azure Front Door titkos erőforrást, amely a kulcstartóhoz hozzáadott tanúsítványra mutató hivatkozás.
Ezután konfigurálja a tartományt úgy, hogy az Azure Front Door titkos kódját használja a TLS-tanúsítványhoz.
Ezeknek a lépéseknek az útmutatóját az Azure Front Door egyéni tartomány https-jének konfigurálása az Azure Portal használatával című témakörben találja.
Váltás a tanúsítványtípusok között
A tartományt az Azure Front Door által felügyelt tanúsítvány és a felhasználó által felügyelt tanúsítvány között módosíthatja.
- A tanúsítványtípusok közötti váltás akár egy órát is igénybe vehet, amíg az új tanúsítvány üzembe lesz helyezve.
- Ha a tartomány állapota jóváhagyva van, a tanúsítványtípus felhasználó által felügyelt és felügyelt tanúsítvány közötti váltása nem okoz leállást.
- Felügyelt tanúsítványra váltáskor az Azure Front Door mindaddig az előző tanúsítványt használja, amíg a tartomány tulajdonjoga újra meg nem szűnik, és a tartomány állapota jóváhagyva lesz.
- Ha a BYOC-ról felügyelt tanúsítványra vált, tartomány-újraértékelésre van szükség. Ha a felügyelt tanúsítványról a BYOC-ra vált, nem kell újraértékelnie a tartományt.
Tanúsítvány megújítása
Azure Front Door által felügyelt tanúsítványok megújítása
A legtöbb egyéni tartomány esetében az Azure Front Door automatikusan megújítja (elforgatja) a felügyelt tanúsítványokat, amikor azok lejárnak, és nem kell semmit tennie.
Az Azure Front Door azonban nem forgatja automatikusan a tanúsítványokat a következő esetekben:
- Az egyéni tartomány CNAME rekordja az Azure Front Door-végpont tartományán kívüli DNS-rekordra mutat.
- Az egyéni tartomány egy láncon keresztül mutat az Azure Front Door-végpontra. Ha például a DNS-rekord az Azure Traffic Managerre mutat, amely viszont az Azure Front Doorra oldódik fel, a CNAME lánc a
contoso.comCNAME a CNAME fájlbancontoso.trafficmanager.netcontoso.z01.azurefd.net. Az Azure Front Door nem tudja ellenőrizni az egész láncot. - Az egyéni tartomány A rekordot használ. Javasoljuk, hogy mindig használjon CNAME rekordot az Azure Front Doorra való rámutatáshoz.
- Az egyéni tartomány egy csúcstartomány , és CNAME simítást használ.
Ha a fenti forgatókönyvek egyike az egyéni tartományra vonatkozik, akkor a felügyelt tanúsítvány lejárata előtt 45 nappal a tartományérvényesítés állapota függőben lesz. A függőben lévő újraértékelési állapot azt jelzi, hogy létre kell hoznia egy új DNS TXT rekordot a tartomány tulajdonjogának újraértékeléséhez.
Feljegyzés
A DNS TXT-rekordok hét nap után lejárnak. Ha korábban hozzáadott egy tartományérvényesítési TXT rekordot a DNS-kiszolgálóhoz, azt egy új TXT rekordra kell cserélnie. Győződjön meg arról, hogy az új értéket használja, különben a tartományérvényesítési folyamat sikertelen lesz.
Ha a tartomány nem érvényesíthető, a tartományérvényesítési állapot elutasítva lesz. Ez az állapot azt jelzi, hogy a hitelesítésszolgáltató elutasította a felügyelt tanúsítvány kiadására vonatkozó kérelmet.
A tartományérvényesítési állapotokról további információt a Tartományérvényesítési állapotok című témakörben talál.
Az Azure által felügyelt tanúsítványok megújítása más Azure-szolgáltatások által előre meghatározott tartományokhoz
Az Azure által felügyelt tanúsítványokat a tartományt érvényesítő Azure-szolgáltatás automatikusan elforgatja.
Ügyfél által felügyelt TLS-tanúsítványok megújítása
Amikor frissíti a tanúsítványt a kulcstartóban, az Azure Front Door automatikusan észleli és használhatja a frissített tanúsítványt. A funkció működéséhez állítsa a titkos verziót a "Legújabb" értékre, amikor konfigurálja a tanúsítványt az Azure Front Doorban.
Ha a tanúsítvány egy adott verzióját választja ki, manuálisan kell újra kijelölnie az új verziót a tanúsítvány frissítésekor.
A tanúsítvány/titkos kód új verziójának automatikus üzembe helyezése akár 72 órát is igénybe vehet.
Ha a titkos verziót a Legújabb verzióról egy megadott verzióra szeretné módosítani, vagy fordítva, adjon hozzá egy új tanúsítványt.
Biztonsági házirendek
Az Azure Front Door webalkalmazási tűzfalával (WAF) ellenőrizheti az alkalmazáshoz érkező kéréseket, és érvényesítheti az egyéb biztonsági követelményeket.
Ha a WAF-t egyéni tartománnyal szeretné használni, használjon egy Azure Front Door biztonsági házirend-erőforrást. A biztonsági házirendek egy tartományt waf-házirendhez társítanak. Igény szerint több biztonsági szabályzatot is létrehozhat, hogy különböző WAF-házirendeket használhasson különböző tartományokkal.
Következő lépések
- Ha szeretné megtudni, hogyan vehet fel egyéni tartományt az Azure Front Door-profiljába, olvassa el az Egyéni tartomány konfigurálása az Azure Front Dooron az Azure Portal használatával című témakört.
- További információ arról, hogyan működik a végpontok közötti TLS az Azure Front Door használatával.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: