Bagikan melalui


Tutorial: Mengonfigurasikan HTTPS di domain kustom Azure CDN

Penting

Azure CDN Standard dari Microsoft (klasik) akan dihentikan pada 30 September 2027. Untuk menghindari gangguan layanan apa pun, penting untuk memigrasikan profil Azure CDN Standard dari Microsoft (klasik) ke tingkat Azure Front Door Standard atau Premium paling lambat 30 September 2027. Untuk informasi selengkapnya, lihat Penghentian Azure CDN Standard dari Microsoft (klasik).

Azure CDN dari Edgio akan dihentikan pada 4 November 2025. Anda harus memigrasikan beban kerja Anda ke Azure Front Door sebelum tanggal ini untuk menghindari gangguan layanan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum penghentian Azure CDN dari Edgio.

Tutorial ini menunjukkan cara mengaktifkan protokol HTTPS untuk domain kustom yang terkait dengan titik akhir Azure CDN.

Protokol HTTPS pada domain kustom Anda (misalnya, https://www.contoso.com), memastikan data sensitif Anda dikirimkan dengan aman melalui TLS/SSL. Saat browser web Anda tersambung melalui HTTPS, browser memvalidasi sertifikat situs web. Browser memverifikasi bahwa itu dikeluarkan oleh otoritas sertifikat yang sah. Proses ini memberikan keamanan dan melindungi aplikasi web Anda dari serangan.

Azure CDN mendukung HTTPS pada nama host titik akhir CDN, secara default. Misalnya, jika Anda membuat titik akhir CDN (seperti https://contoso.azureedge.net), HTTPS diaktifkan secara otomatis.

Beberapa atribut kunci dari fitur HTTPS kustom adalah:

  • Tidak ada biaya tambahan: Tidak ada biaya untuk akuisisi atau perpanjangan sertifikat dan tidak ada biaya tambahan untuk lalu lintas HTTPS. Anda hanya dikenkan biaya untuk egress GB dari CDN.

  • Pengaktifkanan sederhana: Penyediaan satu klik tersedia dari portal Microsoft Azure. Anda juga dapat menggunakan REST API atau alat pengembang lainnya untuk mengaktifkan fitur tersebut.

  • Manajemen sertifikat lengkap tersedia:

    • Semua pengadaan dan manajemen sertifikat ditangani untuk Anda.
    • Sertifikat secara otomatis disediakan dan diperpanjang sebelum kedaluwarsa.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Mengaktifkan protokol HTTPS pada domain kustom Anda.
  • Menggunakan sertifikat yang dikelola CDN
  • Menggunakan sertifikat Anda sendiri
  • Memvalidasi domain
  • Menonaktifkan protokol HTTPS pada domain kustom Anda.

Prasyarat

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Sebelum Anda dapat menyelesaikan langkah-langkah dalam tutorial ini, buat profil CDN dan setidaknya satu titik akhir CDN. Untuk mengetahui informasi selengkapnya, lihat Mulai cepat: Membuat profil dan titik akhir Azure CDN.

Kaitkan domain kustom Azure CDN di titik akhir CDN Anda. Untuk informasi selengkapnya, lihat Tutorial: Menambahkan domain kustom ke titik akhir Azure CDN Anda.

Penting

Sertifikat yang dikelola CDN tidak tersedia untuk domain root atau apex. Jika domain kustom Azure CDN Anda adalah domain root atau apex, Anda harus menggunakan fitur Bawa sertifikat Anda sendiri.


Sertifikat TLS/SSL

Untuk mengaktifkan HTTPS pada domain kustom Azure CDN, Anda menggunakan sertifikat TLS/SSL. Anda dapat memilih akan menggunakan sertifikat yang dikelola oleh Azure CDN atau menggunakan sertifikat Anda sendiri.

Azure CDN sepenuhnya menangani tugas manajemen sertifikat seperti pengadaan dan perpanjangan. Setelah Anda mengaktifkan fitur, proses segera dimulai.

Jika domain kustom sudah dipetakan ke titik akhir CDN, tidak diperlukan tindakan lebih lanjut. Azure CDN memproses langkah-langkah dan menyelesaikan permintaan Anda secara otomatis.

Namun, jika domain kustom Anda dipetakan di tempat lain, Anda harus menggunakan alamat email untuk memvalidasi kepemilikan domain Anda.

Untuk mengaktifkan HTTPS pada domain kustom, ikuti langkah-langkah berikut:

  1. Buka portal Azure untuk menemukan sertifikat yang dikelola oleh Azure CDN Anda. Cari dan pilih profil CDN.

  2. Pilih profil Anda:

    • Azure CDN Standar dari Microsoft
    • Azure CDN Standard dari Edgio
    • Azure CDN Premium dari Edgio
  3. Dalam daftar titik akhir CDN, pilih titik akhir yang berisi domain kustom Anda.

    Cuplikan layar daftar titik akhir. Halaman Titik akhir muncul.

  4. Dalam daftar domain kustom, pilih domain kustom yang ingin Anda aktifkan HTTPS.

    Cuplikan layar halaman domain kustom dengan opsi untuk menggunakan sertifikat saya sendiri.

    Halaman Domain kustom muncul.

  5. Di bawah Jenis manajemen sertifikat, pilih CDN yang dikelola.

  6. Pilih Aktif untuk mengaktifkan HTTPS.

    Cuplikan layar status HTTPS domain kustom.

  7. Lanjutkan Memvalidasi domain.

Memvalidasi domain

Jika Anda memiliki domain kustom yang digunakan dipetakan ke titik akhir kustom Anda dengan data CNAME atau Anda menggunakan sertifikat Anda sendiri, lanjutkan ke Domain kustom yang dipetakan ke titik akhir Content Delivery Network Anda.

Sebaliknya, jika entri data CNAME untuk titik akhir Anda tidak ada lagi atau berisi subdomain cdnverify, lanjutkan ke Domain kustom tidak dipetakan ke titik akhir CDN Anda.

Domain kustom dipetakan ke titik akhir CDN Anda dengan data CNAME

Saat Anda menambahkan domain kustom ke titik akhir, Anda membuat catatan CNAME di registrat domain DNS yang dipetakan ke nama host titik akhir CDN Anda.

Jika data CNAME masih ada dan tidak berisi subdomain cdnverify, OS DigiCert menggunakannya untuk memvalidasi kepemilikan domain kustom Anda secara otomatis.

Jika menggunakan sertifikat Anda, validasi domain tidak diperlukan.

Data CNAME Anda harus dalam format berikut:

  • Nama adalah nama domain kustom Anda.
  • Nilai adalah nama host titik akhir jaringan pengiriman konten Anda.
Nama Jenis Nilai
<www.contoso.com> CNAME contoso.azureedge.net

Untuk informasi selengkapnya tentang data CNAME, lihat Membuat rekaman DNS CNAME.

Jika data CNAME Anda dalam format yang benar, DigiCert secara otomatis memverifikasi nama domain kustom Anda dan membuat sertifikat khusus untuk nama domain Anda. DigitCert tidak mengirimi Anda email verifikasi dan Anda tidak perlu menyetujui permintaan Anda. Sertifikat ini berlaku selama satu tahun dan akan diperbaharui otomatis sebelum kedaluwarsa. Lanjutkan menunggu penyebaran.

Validasi otomatis biasanya memakan waktu beberapa menit. Jika Anda tidak melihat domain Anda divalidasi dalam 24 jam, buka tiket dukungan.

Catatan

Jika Anda memiliki catatan Otorisasi Otoritas Sertifikat (CAA) dengan penyedia DNS Anda, itu harus menyertakan CA yang sesuai untuk otorisasi. DigiCert adalah CA untuk profil Microsoft dan Edgio. Untuk informasi tentang mengelola data CAA, lihat Mengelola data CAA. Untuk alat rekaman CAA, lihat Pendukung Rekaman CAA.

Domain kustom tidak dipetakan ke titik akhir CDN Anda

Jika entri data CNAME berisi subdomain cdnverify, ikuti instruksi lainnya dalam langkah ini.

DigiCert mengirim email verifikasi ke alamat email berikut. Verifikasi bahwa Anda bisa menyetujui langsung dari salah satu alamat berikut:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Anda akan menerima email dalam beberapa menit agar Anda menyetujui permintaan tersebut. Jika Anda menggunakan filter spam, tambahkan verification@digicert.com ke daftar izinnya. Jika Anda tidak menerima alamat email dalam waktu 24 jam, hubungi dukungan Microsoft.

Cuplikan layar email validasi domain.

Saat Anda memilih link persetujuan, Anda diarahkan ke formulir persetujuan online:

Cuplikan layar formulir validasi domain.

Ikuti instruksi pada formulir; Anda memiliki dua opsi verifikasi:

  • Anda dapat menyetujui semua pesanan di masa mendatang yang ditempatkan melalui akun yang sama untuk domain root yang sama; misalnya, contoso.com. Pendekatan ini disarankan jika Anda berencana untuk menambahkan domain kustom lain untuk domain root yang sama.

  • Anda hanya dapat menyetujui nama host tertentu yang digunakan dalam permintaan ini. Persetujuan lain diperlukan untuk permintaan nanti.

Setelah disetujui, DigiCert menyelesaikan pembuatan sertifikat untuk nama domain kustom Anda. Sertifikat tersebut hanya berlaku untuk satu tahun. Jika data CNAME untuk domain kustom Anda ditambahkan atau diperbarui untuk dipetakan ke nama host titik akhir Anda setelah verifikasi, data tersebut akan dibuat otomatis sebelum kedaluwarsa.

Catatan

Autorenewal sertifikat terkelola mengharuskan domain kustom Anda langsung dipetakan ke titik akhir CDN Anda oleh data CNAME.

Tunggu penyebaran

Setelah nama domain divalidasi, diperlukan waktu hingga 6-8 jam agar fitur HTTPS domain kustom diaktifkan. Ketika proses selesai, status HTTPS kustom di portal Azure diubah menjadi Diaktifkan. Empat langkah operasi dalam dialog domain kustom ditandai sebagai selesai. Domain kustom Anda sekarang siap menggunakan HTTPS.

Cuplikan layar dialog aktifkan HTTPS.

Progres operasi

Tabel berikut ini memperlihatkan kemajuan operasi yang terjadi saat Anda mengaktifkan HTTPS. Setelah Anda mengaktifkan HTTPS, empat langkah operasi muncul dalam dialog domain kustom. Saat setiap langkah menjadi aktif, rincian substep lain muncul di bawah langkah saat berlangsung. Tidak semua substeps ini terjadi. Setelah langkah berhasil diselesaikan, tanda centang hijau muncul di sampingnya.

Langkah operasi Detail substep operasi
1 Mengirim permintaan Mengirim permintaan
Permintaan HTTPS Anda sedang dikirim.
Permintaan HTTPS Anda berhasil dikirim.
2 Validasi domain Domain divalidasi secara otomatis jika CNAME dipetakan ke Titik Akhir CDN. Jika tidak, permintaan verifikasi dikirim ke email yang tercantum dalam catatan pendaftaran domain Anda (pendaftar WHOIS).
Kepemilikan domain Anda telah berhasil divalidasi.
Permintaan validasi kepemilikan domain kedaluwarsa (pelanggan kemungkinan tidak merespons dalam 6 hari). HTTPS tidak akan diaktifkan di domain Anda. *
Permintaan validasi kepemilikan domain ditolak oleh pelanggan. HTTPS tidak akan diaktifkan di domain Anda. *
3 Provisi sertifikat Otoritas sertifikat saat ini menerbitkan sertifikat yang diperlukan untuk mengaktifkan HTTPS di domain Anda.
Sertifikat telah diterbitkan dan saat ini sedang disebarkan untuk jaringan CDN Anda. Proses ini membutuhkan waktu hingga 6 jam.
Sertifikat berhasil disebarkan ke jaringan CDN.
4 Selesai HTTPS berhasil diaktifkan di domain Anda.

* Pesan ini tidak muncul kecuali jika terjadi kesalahan.

Jika kesalahan terjadi sebelum permintaan dikirim, pesan kesalahan berikut ditampilkan:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Membersihkan sumber daya - nonaktifkan HTTPS

Di bagian ini, Anda mempelajari cara menonaktifkan HTTPS untuk domain kustom Anda.

Menonaktifkan fitur HTTPS

  1. Di portal Azure, cari atau pilih Komputer virtual.

  2. Pilih Azure CDN Standard Anda dari Microsoft, Azure CDN Standard dari Edgio, atau Azure CDN Premium dari profil Edgio .

  3. Dalam daftar titik akhir CDN, pilih titik akhir yang berisi domain kustom Anda.

  4. Pilih domain kustom yang HTTPS-nya ingin Anda nonaktifkan.

    Cuplikan layar daftar domain kustom.

  5. Pilih Nonaktif untuk menonaktifkan HTTPS, lalu pilih Terapkan.

    Cuplikan layar dialog HTTPS kustom.

Tunggu penyebaran

Setelah fitur HTTPS domain kustom dinonaktifkan, bisa memakan waktu hingga 6-8 jam agar berlaku. Ketika proses selesai, status HTTPS kustom di portal Azure diubah menjadi Diaktifkan. Domain kustom Anda tidak bisa lagi menggunakan HTTPS.

Tanya jawab umum

  1. Siapa penyedia sertifikat dan jenis sertifikat apa yang digunakan?

    Sertifikat khusus, yang disediakan oleh Digicert digunakan untuk domain kustom Anda untuk:

    • Azure Content Delivery Network dari Edgio
    • Azure Content Delivery Network dari Microsoft
  2. Apakah Anda menggunakan TLS/SSL berbasis IP atau Indikasi Nama Server (SNI)?

    Azure CDN dari Edgio dan Azure CDN Standard dari Microsoft menggunakan SNI TLS/SSL.

  3. Bagaimana jika saya tidak menerima alamat email verifikasi domain dari DigiCert?

    Jika Anda tidak menggunakan subdomain cdnverify dan entri CNAME Anda adalah untuk nama host titik akhir Anda, Anda tidak akan menerima email verifikasi domain.

    Validasi terjadi secara otomatis. Jika tidak, jika Anda tidak memiliki entri data CNAME dan belum menerima alamat email dalam waktu 24 jam, hubungi dukungan Microsoft.

  4. Apakah menggunakan sertifikat SAN kurang aman daripada sertifikat khusus?

    Sertifikat SAN mengikuti standar enkripsi dan keamanan yang sama dengan sertifikat khusus. Semua sertifikat TLS/SSL yang diterbitkan menggunakan SHA-256 untuk meningkatkan keamanan server.

  5. Apakah saya memerlukan catatan Otorisasi Otoritas Sertifikat dengan penyedia DNS saya?

    Tidak, rekaman Otorisasi Otoritas Sertifikat saat ini tidak diperlukan. Namun, jika Anda memilikinya, rekaman Otorisasi Sertifikat harus menyertakan DigiCert sebagai OS yang valid.

  6. Pada 20 Juni 2018, Azure CDN dari Edgio mulai menggunakan sertifikat khusus dengan SNI TLS/SSL secara default. Apa yang terjadi pada domain kustom saya yang sudah ada menggunakan sertifikat Nama Alternatif Subjek (SAN) dan TLS/SSL berbasis IP?

    Domain Anda yang ada secara bertahap dimigrasikan ke satu sertifikat pada bulan-bulan mendatang jika Microsoft menganalisis bahwa hanya permintaan klien SNI yang dibuat ke aplikasi Anda.

    Jika klien non-SNI terdeteksi, domain Anda tetap berada di sertifikat SAN dengan TLS/SSL berbasis IP. Permintaan ke layanan atau klien Anda yang non-SNI, tidak akan terpengaruh.

  7. Bagaimana cara kerja pembaruan sertifikasi dengan Bawa Sertifikat Anda Sendiri?

    Untuk memastikan sertifikat yang lebih baru disebarkan ke infrastruktur POP, unggah sertifikat baru Anda ke Azure Key Vault. Di pengaturan TLS Anda di Azure Content Delivery Network, pilih versi sertifikat terbaru dan pilih simpan. Azure Content Delivery Network kemudian akan menyebarluaskan sertifikasi baru Anda yang diperbarui.

    Penting

    • Mulai 20 Juni 2024, Azure CDN Standard dan Premium dari Edgio tidak akan mendukung fitur Gunakan sertifikat saya sendiri. Fitur ini akan dipertemukan lagi pada awal 2025.
    • Apa tindakan yang diperlukan untuk domain kustom menggunakan fitur ini? Sertifikat BYOC yang sudah disebarkan pada platform Edgio akan tetap berlaku hingga tanggal kedaluwarsanya. Tidak ada tindakan yang diperlukan untuk sertifikat yang kedaluwarsa pada tahun 2025. Kami mendorong Anda untuk beralih ke CDN Managed untuk sertifikat yang memerlukan pembaruan atau akan kedaluwarsa tahun ini. Jika Anda memerlukan bantuan tambahan, kirimkan permintaan dukungan untuk bekerja dengan teknisi dukungan.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara:

  • Mengaktifkan protokol HTTPS pada domain kustom Anda.
  • Menggunakan sertifikat yang dikelola CDN
  • Menggunakan sertifikat Anda sendiri
  • Memvalidasi domain.
  • Menonaktifkan protokol HTTPS pada domain kustom Anda.

Lanjutkan ke tutorial berikutnya untuk mempelajari cara mengonfigurasikan penembolokan pada titik akhir CDN Anda.