Tutorial: Mengonfigurasikan HTTPS di domain kustom Azure CDN

Penting

Azure CDN Standard dari Microsoft (klasik) akan dihentikan pada 30 September 2027. Untuk menghindari gangguan layanan apa pun, penting untuk memigrasikan profil Azure CDN Standard dari Microsoft (klasik) ke tingkat Azure Front Door Standard atau Premium paling lambat 30 September 2027. Untuk informasi selengkapnya, lihat Penghentian Azure CDN Standard dari Microsoft (klasik).

Tutorial ini menunjukkan cara mengaktifkan protokol HTTPS untuk domain kustom yang terkait dengan titik akhir Azure CDN.

Protokol HTTPS pada domain kustom Anda (misalnya, https://www.contoso.com), memastikan data sensitif Anda dikirimkan dengan aman melalui TLS/SSL. Saat browser web Anda tersambung melalui HTTPS, browser memvalidasi sertifikat situs web. Browser memverifikasi bahwa itu dikeluarkan oleh otoritas sertifikat yang sah. Proses ini memberikan keamanan dan melindungi aplikasi web Anda dari serangan.

Azure CDN mendukung HTTPS pada nama host titik akhir CDN, secara default. Misalnya, jika Anda membuat titik akhir CDN (seperti https://contoso.azureedge.net), HTTPS diaktifkan secara otomatis.

Beberapa atribut kunci dari fitur HTTPS kustom adalah:

• Tidak ada biaya tambahan: Tidak ada biaya untuk akuisisi atau perpanjangan sertifikat dan tidak ada biaya tambahan untuk lalu lintas HTTPS. Anda hanya dikenkan biaya untuk egress GB dari CDN.

• Pengaktifkanan sederhana: Penyediaan satu klik tersedia dari portal Microsoft Azure. Anda juga dapat menggunakan REST API atau alat pengembang lainnya untuk mengaktifkan fitur tersebut.

• Manajemen sertifikat lengkap tersedia:

  • Semua pengadaan dan manajemen sertifikat ditangani untuk Anda.
  • Sertifikat secara otomatis disediakan dan diperpanjang sebelum kedaluwarsa.

Dalam tutorial ini, Anda akan mempelajari cara:

• Mengaktifkan protokol HTTPS pada domain kustom Anda.
• Menggunakan sertifikat yang dikelola CDN
• Menggunakan sertifikat Anda sendiri
• Memvalidasi domain
• Menonaktifkan protokol HTTPS pada domain kustom Anda.

Prasyarat

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Sebelum Anda dapat menyelesaikan langkah-langkah dalam tutorial ini, buat profil CDN dan setidaknya satu titik akhir CDN. Untuk mengetahui informasi selengkapnya, lihat Mulai cepat: Membuat profil dan titik akhir Azure CDN.

Kaitkan domain kustom Azure CDN di titik akhir CDN Anda. Untuk informasi selengkapnya, lihat Tutorial: Menambahkan domain kustom ke titik akhir Azure CDN Anda.

Penting

Sertifikat yang dikelola CDN tidak tersedia untuk domain root atau apex. Jika domain kustom Azure CDN Anda adalah domain root atau apex, Anda harus menggunakan fitur Bawa sertifikat Anda sendiri.

---

Sertifikat TLS/SSL

Untuk mengaktifkan HTTPS pada domain kustom Azure CDN, Anda menggunakan sertifikat TLS/SSL. Anda dapat memilih akan menggunakan sertifikat yang dikelola oleh Azure CDN atau menggunakan sertifikat Anda sendiri.

Opsi 1 (default): Aktifkan HTTPS dengan sertifikat yang dikelola CDN

Azure CDN sepenuhnya menangani tugas manajemen sertifikat seperti pengadaan dan perpanjangan. Setelah Anda mengaktifkan fitur, proses segera dimulai.

Jika domain kustom sudah dipetakan ke titik akhir CDN, tidak diperlukan tindakan lebih lanjut. Azure CDN memproses langkah-langkah dan menyelesaikan permintaan Anda secara otomatis.

Namun, jika domain kustom Anda dipetakan di tempat lain, Anda harus menggunakan alamat email untuk memvalidasi kepemilikan domain Anda.

Untuk mengaktifkan HTTPS pada domain kustom, ikuti langkah-langkah berikut:

1. Buka portal Azure untuk menemukan sertifikat yang dikelola oleh Azure CDN Anda. Cari dan pilih profil CDN.

2. Pilih profil Anda:

   • Azure CDN Standar dari Microsoft
   • Azure CDN Standard dari Edgio
   • Azure CDN Premium dari Edgio

3. Dalam daftar titik akhir CDN, pilih titik akhir yang berisi domain kustom Anda.

   Halaman Titik akhir muncul.

4. Dalam daftar domain kustom, pilih domain kustom yang ingin Anda aktifkan HTTPS.

   

   Halaman Domain kustom muncul.

5. Di bawah Jenis manajemen sertifikat, pilih CDN yang dikelola.

6. Pilih Aktif untuk mengaktifkan HTTPS.

   

7. Lanjutkan Memvalidasi domain.

Opsi 2: Aktifkan HTTPS dengan sertifikat Anda sendiri

Penting

• Opsi ini hanya tersedia dengan Azure CDN dari Microsoft.
• Opsi untuk menggunakan sertifikat Anda sendiri dengan Azure CDN dari Edgio telah menjalani pemeliharaan pada 20 Juni 2024. Fitur ini tidak akan tersedia selama waktu ini dan akan tersedia lagi pada awal 2025.

Anda dapat menggunakan sertifikat Anda sendiri untuk mengaktifkan fitur HTTPS. Proses ini dilakukan melalui integrasi dengan Azure Key Vault, yang memungkinkan Anda menyimpan sertifikat dengan aman. Azure CDN menggunakan mekanisme aman ini untuk mendapatkan sertifikat Anda dan memerlukan beberapa langkah tambahan. Saat membuat sertifikat TLS/SSL, Anda harus membuat rantai sertifikat lengkap dengan otoritas sertifikat (CA) yang diizinkan yang merupakan bagian dari Daftar CA Tepercaya Microsoft. Jika Anda menggunakan CA yang tidak diizinkan, permintaan Anda akan ditolak. Jika sertifikat tanpa rantai lengkap disajikan, permintaan, yang melibatkan sertifikat tersebut tidak dijamin berfungsi seperti yang diharapkan.

Menyiapkan akun dan sertifikat Azure Key Vault Anda

1. Azure Key Vault: Anda harus memiliki akun Azure Key Vault yang berjalan di bawah langganan yang sama dengan CDN yang ingin Anda aktifkan HTTPS kustom. Buat akun Azure Key Vault jika Anda tidak memilikinya.

2. Sertifikat Azure Key Vault: Jika Anda memiliki sertifikat, unggah langsung ke akun Azure Key Vault Anda. Jika Anda tidak memiliki sertifikat, buat sertifikat baru secara langsung melalui Azure Key Vault.

Catatan

• Azure Content Delivery Network hanya mendukung sertifikat PFX.
• Sertifikat harus memiliki rantai sertifikat lengkap dengan sertifikat leaf dan menengah, dan CA root harus berada dalam Daftar CA Tepercaya Microsoft.

Menyiapkan identitas terkelola untuk Azure CDN

Ikuti langkah-langkah dalam Mengonfigurasi identitas terkelola untuk Azure CDN untuk memungkinkan Azure CDN mengakses akun Azure Key Vault Anda.

Memilih sertifikat untuk Azure CDN yang akan disebarkan

1. Kembali ke portal Azure CDN dan pilih profil dan titik akhir CDN yang ingin Anda aktifkan HTTPS kustom.

2. Dalam daftar domain kustom, pilih domain kustom yang ingin Anda aktifkan HTTPS.

   Halaman Domain kustom muncul.

3. Di bawah jenis manajemen Sertifikat, pilih Gunakan sertifikat saya.

   

4. Pilih brankas kunci, Sertifikat/Rahasia, dan versi Sertifikat/Rahasia.

   Azure CDN mencantumkan informasi berikut ini:

   • Key Vault memperhitungkan ID langganan Anda.
   • Sertifikat/rahasia di bawah brankas kunci yang dipilih.
   • Sertifikat/versi rahasia yang tersedia.

   Catatan

   • Azure Content Delivery Network hanya mendukung sertifikat PFX.
   • Agar sertifikat diputar secara otomatis ke versi terbaru saat versi sertifikat yang lebih baru tersedia di brankas kunci Anda, atur versi sertifikat/rahasia ke 'Terbaru'. Jika versi tertentu dipilih, Anda harus memilih ulang versi baru secara manual untuk rotasi sertifikat. Diperlukan waktu hingga 72 jam agar versi baru sertifikat/rahasia dapat digunakan. Hanya SKU Microsoft Standar yang mendukung rotasi otomatis sertifikat.

5. Pilih Aktif untuk mengaktifkan HTTPS.

6. Saat menggunakan sertifikat Anda, validasi domain tidak diperlukan. Lanjutkan menunggu penyebaran.

Memvalidasi domain

Jika Anda memiliki domain kustom yang digunakan dipetakan ke titik akhir kustom Anda dengan data CNAME atau Anda menggunakan sertifikat Anda sendiri, lanjutkan ke Domain kustom yang dipetakan ke titik akhir Content Delivery Network Anda.

Sebaliknya, jika entri data CNAME untuk titik akhir Anda tidak ada lagi atau berisi subdomain cdnverify, lanjutkan ke Domain kustom tidak dipetakan ke titik akhir CDN Anda.

Domain kustom dipetakan ke titik akhir CDN Anda dengan data CNAME

Saat Anda menambahkan domain kustom ke titik akhir, Anda membuat catatan CNAME di registrat domain DNS yang dipetakan ke nama host titik akhir CDN Anda.

Jika data CNAME masih ada dan tidak berisi subdomain cdnverify, OS DigiCert menggunakannya untuk memvalidasi kepemilikan domain kustom Anda secara otomatis.

Jika menggunakan sertifikat Anda, validasi domain tidak diperlukan.

Data CNAME Anda harus dalam format berikut:

• Nama adalah nama domain kustom Anda.
• Nilai adalah nama host titik akhir jaringan pengiriman konten Anda.

Nama	Jenis	Nilai
<www.contoso.com>	CNAME	contoso.azureedge.net

Untuk informasi selengkapnya tentang data CNAME, lihat Membuat rekaman DNS CNAME.

Jika data CNAME Anda dalam format yang benar, DigiCert secara otomatis memverifikasi nama domain kustom Anda dan membuat sertifikat khusus untuk nama domain Anda. DigitCert tidak mengirimi Anda email verifikasi dan Anda tidak perlu menyetujui permintaan Anda. Sertifikat ini berlaku selama satu tahun dan akan diperbaharui otomatis sebelum kedaluwarsa. Lanjutkan menunggu penyebaran.

Validasi otomatis biasanya memakan waktu beberapa menit. Jika Anda tidak melihat domain Anda divalidasi dalam 24 jam, buka tiket dukungan.

Catatan

Jika Anda memiliki catatan Otorisasi Otoritas Sertifikat (CAA) dengan penyedia DNS Anda, itu harus menyertakan CA yang sesuai untuk otorisasi. DigiCert adalah CA untuk profil Microsoft dan Edgio. Untuk informasi tentang mengelola data CAA, lihat Mengelola data CAA. Untuk alat rekaman CAA, lihat Pendukung Rekaman CAA.

Domain kustom tidak dipetakan ke titik akhir CDN Anda

Jika entri data CNAME berisi subdomain cdnverify, ikuti instruksi lainnya dalam langkah ini.

DigiCert mengirim email verifikasi ke alamat email berikut. Verifikasi bahwa Anda bisa menyetujui langsung dari salah satu alamat berikut:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Anda akan menerima email dalam beberapa menit agar Anda menyetujui permintaan tersebut. Jika Anda menggunakan filter spam, tambahkan verification@digicert.com ke daftar izinnya. Jika Anda tidak menerima alamat email dalam waktu 24 jam, hubungi dukungan Microsoft.

Saat Anda memilih link persetujuan, Anda diarahkan ke formulir persetujuan online:

Ikuti instruksi pada formulir; Anda memiliki dua opsi verifikasi:

• Anda dapat menyetujui semua pesanan di masa mendatang yang ditempatkan melalui akun yang sama untuk domain root yang sama; misalnya, contoso.com. Pendekatan ini disarankan jika Anda berencana untuk menambahkan domain kustom lain untuk domain root yang sama.

• Anda hanya dapat menyetujui nama host tertentu yang digunakan dalam permintaan ini. Persetujuan lain diperlukan untuk permintaan nanti.

Setelah disetujui, DigiCert menyelesaikan pembuatan sertifikat untuk nama domain kustom Anda. Sertifikat tersebut hanya berlaku untuk satu tahun. Jika data CNAME untuk domain kustom Anda ditambahkan atau diperbarui untuk dipetakan ke nama host titik akhir Anda setelah verifikasi, data tersebut akan dibuat otomatis sebelum kedaluwarsa.

Catatan

Autorenewal sertifikat terkelola mengharuskan domain kustom Anda langsung dipetakan ke titik akhir CDN Anda oleh data CNAME.

Tunggu penyebaran

Setelah nama domain divalidasi, diperlukan waktu hingga 6-8 jam agar fitur HTTPS domain kustom diaktifkan. Ketika proses selesai, status HTTPS kustom di portal Azure diubah menjadi Diaktifkan. Empat langkah operasi dalam dialog domain kustom ditandai sebagai selesai. Domain kustom Anda sekarang siap menggunakan HTTPS.

Progres operasi

Tabel berikut ini memperlihatkan kemajuan operasi yang terjadi saat Anda mengaktifkan HTTPS. Setelah Anda mengaktifkan HTTPS, empat langkah operasi muncul dalam dialog domain kustom. Saat setiap langkah menjadi aktif, rincian substep lain muncul di bawah langkah saat berlangsung. Tidak semua substeps ini terjadi. Setelah langkah berhasil diselesaikan, tanda centang hijau muncul di sampingnya.

Langkah operasi	Detail substep operasi
1 Mengirim permintaan	Mengirim permintaan
	Permintaan HTTPS Anda sedang dikirim.
	Permintaan HTTPS Anda berhasil dikirim.
2 Validasi domain	Domain divalidasi secara otomatis jika CNAME dipetakan ke Titik Akhir CDN. Jika tidak, permintaan verifikasi dikirim ke email yang tercantum dalam catatan pendaftaran domain Anda (pendaftar WHOIS).
	Kepemilikan domain Anda telah berhasil divalidasi.
	Permintaan validasi kepemilikan domain kedaluwarsa (pelanggan kemungkinan tidak merespons dalam 6 hari). HTTPS tidak akan diaktifkan di domain Anda. *
	Permintaan validasi kepemilikan domain ditolak oleh pelanggan. HTTPS tidak akan diaktifkan di domain Anda. *
3 Provisi sertifikat	Otoritas sertifikat saat ini menerbitkan sertifikat yang diperlukan untuk mengaktifkan HTTPS di domain Anda.
	Sertifikat telah diterbitkan dan saat ini sedang disebarkan untuk jaringan CDN Anda. Proses ini membutuhkan waktu hingga 6 jam.
	Sertifikat berhasil disebarkan ke jaringan CDN.
4 Selesai	HTTPS berhasil diaktifkan di domain Anda.

* Pesan ini tidak muncul kecuali jika terjadi kesalahan.

Jika kesalahan terjadi sebelum permintaan dikirim, pesan kesalahan berikut ditampilkan:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Membersihkan sumber daya - nonaktifkan HTTPS

Di bagian ini, Anda mempelajari cara menonaktifkan HTTPS untuk domain kustom Anda.

Menonaktifkan fitur HTTPS

1. Di portal Azure, cari atau pilih Komputer virtual.

2. Pilih Azure CDN Standard Anda dari Microsoft, Azure CDN Standard dari Edgio, atau Azure CDN Premium dari profil Edgio .

3. Dalam daftar titik akhir CDN, pilih titik akhir yang berisi domain kustom Anda.

4. Pilih domain kustom yang HTTPS-nya ingin Anda nonaktifkan.

   

5. Pilih Nonaktif untuk menonaktifkan HTTPS, lalu pilih Terapkan.

   

Tunggu penyebaran

Setelah fitur HTTPS domain kustom dinonaktifkan, bisa memakan waktu hingga 6-8 jam agar berlaku. Ketika proses selesai, status HTTPS kustom di portal Azure diubah menjadi Diaktifkan. Domain kustom Anda tidak bisa lagi menggunakan HTTPS.

Tanya jawab umum

1. Siapa penyedia sertifikat dan jenis sertifikat apa yang digunakan?

   Sertifikat khusus, yang disediakan oleh Digicert digunakan untuk domain kustom Anda untuk:

   • Azure Content Delivery Network dari Edgio
   • Azure Content Delivery Network dari Microsoft

2. Apakah Anda menggunakan TLS/SSL berbasis IP atau Indikasi Nama Server (SNI)?

   Azure CDN dari Edgio dan Azure CDN Standard dari Microsoft menggunakan SNI TLS/SSL.

3. Bagaimana jika saya tidak menerima alamat email verifikasi domain dari DigiCert?

   Jika Anda tidak menggunakan subdomain cdnverify dan entri CNAME Anda adalah untuk nama host titik akhir Anda, Anda tidak akan menerima email verifikasi domain.

   Validasi terjadi secara otomatis. Jika tidak, jika Anda tidak memiliki entri data CNAME dan belum menerima alamat email dalam waktu 24 jam, hubungi dukungan Microsoft.

4. Apakah menggunakan sertifikat SAN kurang aman daripada sertifikat khusus?

   Sertifikat SAN mengikuti standar enkripsi dan keamanan yang sama dengan sertifikat khusus. Semua sertifikat TLS/SSL yang diterbitkan menggunakan SHA-256 untuk meningkatkan keamanan server.

5. Apakah saya memerlukan catatan Otorisasi Otoritas Sertifikat dengan penyedia DNS saya?

   Tidak, rekaman Otorisasi Otoritas Sertifikat saat ini tidak diperlukan. Namun, jika Anda memilikinya, rekaman Otorisasi Sertifikat harus menyertakan DigiCert sebagai OS yang valid.

6. Pada 20 Juni 2018, Azure CDN dari Edgio mulai menggunakan sertifikat khusus dengan SNI TLS/SSL secara default. Apa yang terjadi pada domain kustom saya yang sudah ada menggunakan sertifikat Nama Alternatif Subjek (SAN) dan TLS/SSL berbasis IP?

   Domain Anda yang ada secara bertahap dimigrasikan ke satu sertifikat pada bulan-bulan mendatang jika Microsoft menganalisis bahwa hanya permintaan klien SNI yang dibuat ke aplikasi Anda.

   Jika klien non-SNI terdeteksi, domain Anda tetap berada di sertifikat SAN dengan TLS/SSL berbasis IP. Permintaan ke layanan atau klien Anda yang non-SNI, tidak akan terpengaruh.

7. Bagaimana cara kerja pembaruan sertifikasi dengan Bawa Sertifikat Anda Sendiri?

   Untuk memastikan sertifikat yang lebih baru disebarkan ke infrastruktur POP, unggah sertifikat baru Anda ke Azure Key Vault. Di pengaturan TLS Anda di Azure Content Delivery Network, pilih versi sertifikat terbaru dan pilih simpan. Azure Content Delivery Network kemudian akan menyebarluaskan sertifikasi baru Anda yang diperbarui.

   Penting

   • Mulai 20 Juni 2024, Azure CDN Standard dan Premium dari Edgio tidak akan mendukung fitur Gunakan sertifikat saya sendiri. Fitur ini akan dipertemukan lagi pada awal 2025.
   • Apa tindakan yang diperlukan untuk domain kustom menggunakan fitur ini? Sertifikat BYOC yang sudah disebarkan pada platform Edgio akan tetap berlaku hingga tanggal kedaluwarsanya. Tidak ada tindakan yang diperlukan untuk sertifikat yang kedaluwarsa pada tahun 2025. Kami mendorong Anda untuk beralih ke CDN Managed untuk sertifikat yang memerlukan pembaruan atau akan kedaluwarsa tahun ini. Jika Anda memerlukan bantuan tambahan, kirimkan permintaan dukungan untuk bekerja dengan teknisi dukungan.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara:

• Mengaktifkan protokol HTTPS pada domain kustom Anda.
• Menggunakan sertifikat yang dikelola CDN
• Menggunakan sertifikat Anda sendiri
• Memvalidasi domain.
• Menonaktifkan protokol HTTPS pada domain kustom Anda.

Lanjutkan ke tutorial berikutnya untuk mempelajari cara mengonfigurasikan penembolokan pada titik akhir CDN Anda.

Tutorial: Mengatur aturan penembolokan Azure CDN