Domain di Azure Front Door
Domain mewakili nama domain kustom yang digunakan Azure Front Door untuk menerima lalu lintas aplikasi Anda. Azure Front Door mendukung penambahan tiga jenis nama domain:
- Subdomain adalah jenis nama domain kustom yang paling umum. Contoh subdomain adalah
myapplication.contoso.com. - Domain apex tidak berisi subdomain. Contoh domain apex adalah
contoso.com. Untuk informasi selengkapnya tentang menggunakan domain apex dengan Azure Front Door, lihat Domain apex. - Domain wildcard memungkinkan lalu lintas diterima untuk subdomain apa pun. Contoh domain kartubebas adalah
*.contoso.com. Untuk informasi selengkapnya tentang menggunakan domain wildcard dengan Azure Front Door, lihat Domain wildcard.
Domain ditambahkan ke profil Azure Front Door Anda. Anda dapat menggunakan domain di beberapa rute dalam titik akhir, jika Anda menggunakan jalur yang berbeda di setiap rute.
Untuk mempelajari cara menambahkan domain kustom ke profil Azure Front Door Anda, lihat Mengonfigurasi domain kustom di Azure Front Door menggunakan portal Azure.
Konfigurasi DNS
Saat menambahkan domain ke profil Azure Front Door, Anda mengonfigurasi dua rekaman di server DNS Anda:
- Catatan DNS TXT, yang diperlukan untuk memvalidasi kepemilikan nama domain Anda. Untuk informasi selengkapnya tentang catatan DNS TXT, lihat Validasi domain.
- Catatan DNS CNAME, yang mengontrol arus lalu lintas internet ke Azure Front Door.
Tip
Anda bisa menambahkan nama domain ke profil Azure Front Door Anda sebelum membuat perubahan DNS apa pun. Pendekatan ini dapat membantu jika Anda perlu mengatur konfigurasi Azure Front Door bersama-sama, atau jika Anda memiliki tim terpisah yang mengubah catatan DNS Anda.
Anda juga bisa menambahkan catatan DNS TXT anda untuk memvalidasi kepemilikan domain anda sebelum menambahkan data CNAME untuk mengontrol arus lalu lintas. Pendekatan ini dapat berguna untuk menghindari mengalami waktu henti migrasi jika Anda sudah memiliki aplikasi dalam produksi.
Validasi domain
Semua domain yang ditambahkan ke Azure Front Door harus divalidasi. Validasi membantu melindungi Anda dari kesalahan konfigurasi yang tidak disengaja, dan juga membantu melindungi orang lain dari spoofing domain. Dalam beberapa situasi, domain dapat divalidasi sebelumnya oleh layanan Azure lain. Jika tidak, Anda perlu mengikuti proses validasi domain Azure Front Door untuk membuktikan kepemilikan nama domain Anda.
Domain yang telah divalidasi sebelumnya azure adalah domain yang telah divalidasi oleh layanan Azure lain yang didukung. Jika Anda melakukan onboarding dan memvalidasi domain ke layanan Azure lain, lalu mengonfigurasi Azure Front Door nanti, Anda mungkin bekerja dengan domain yang telah divalidasi sebelumnya. Anda tidak perlu memvalidasi domain melalui Azure Front Door saat Anda menggunakan jenis domain ini.
Catatan
Azure Front Door saat ini hanya menerima domain yang telah divalidasi sebelumnya yang telah dikonfigurasi dengan Azure Static Web Apps.
Domain yang divalidasi non-Azure adalah domain yang tidak divalidasi oleh layanan Azure yang didukung. Jenis domain ini dapat dihosting dengan layanan DNS apa pun, termasuk Azure DNS, dan mengharuskan kepemilikan domain divalidasi oleh Azure Front Door.
Validasi rekaman TXT
Untuk memvalidasi domain, Anda perlu membuat catatan TXT DNS. Nama catatan TXT harus dari formulir _dnsauth.{subdomain}. Azure Front Door menyediakan nilai unik untuk catatan TXT Anda saat Anda mulai menambahkan domain ke Azure Front Door.
Misalnya, Anda ingin menggunakan subdomain myapplication.contoso.com kustom dengan Azure Front Door. Pertama, Anda harus menambahkan domain ke profil Azure Front Door Anda, dan mencatat nilai catatan TXT yang perlu Anda gunakan. Kemudian, Anda harus mengonfigurasi catatan DNS dengan properti berikut:
| Properti | Nilai |
|---|---|
| Nama rekaman | _dnsauth.myapplication |
| Nilai rekaman | gunakan nilai yang disediakan oleh Azure Front Door |
| Time to live (TTL) | 1 jam |
Setelah domain Anda berhasil divalidasi, Anda bisa menghapus catatan TXT dengan aman dari server DNS Anda.
Untuk informasi selengkapnya tentang menambahkan catatan DNS TXT untuk domain kustom, lihat Mengonfigurasi domain kustom di Azure Front Door menggunakan portal Azure.
Status validasi domain
Tabel berikut ini mencantumkan status validasi yang mungkin diperlihatkan domain.
| Status validasi domain | Deskripsi dan tindakan |
|---|---|
| Mengirimkan | Domain kustom sedang dibuat. Tunggu hingga sumber daya domain siap. |
| Tertunda | Nilai catatan DNS TXT telah dibuat, dan Azure Front Door siap bagi Anda untuk menambahkan catatan DNS TXT. Tambahkan catatan TXT DNS ke penyedia DNS Anda dan tunggu validasi selesai. Jika status tetap Tertunda bahkan setelah catatan TXT diperbarui dengan penyedia DNS, pilih Regenerasi untuk merefresh catatan TXT, lalu tambahkan catatan TXT ke penyedia DNS Anda lagi. |
| Validasi ulang tertunda | Sertifikat terkelola kurang dari 45 hari sejak kedaluwarsa. Jika Anda memiliki data CNAME yang menunjuk ke titik akhir Azure Front Door, tidak diperlukan tindakan untuk perpanjangan sertifikat. Jika domain kustom diarahkan ke catatan CNAME lain, pilih status Validasi ulang tertunda, lalu pilih Regenerasi pada halaman Validasi domain kustom. Terakhir, pilih Tambahkan jika Anda menggunakan Azure DNS atau tambahkan catatan TXT secara manual dengan manajemen DNS penyedia DNS Anda sendiri. |
| Token validasi yang menyegarkan | Domain berada dalam status Merefresh Token Validasi untuk jangka waktu singkat setelah tombol Regenerasi dipilih. Setelah nilai catatan TXT baru dikeluarkan, status berubah menjadi Tertunda. Tidak diperlukan tindakan. |
| Disetujui | Domain telah berhasil divalidasi, dan Azure Front Door dapat menerima lalu lintas yang menggunakan domain ini. Tidak diperlukan tindakan. |
| Ditolak | Penyedia/otoritas sertifikat telah menolak penerbitan untuk sertifikat terkelola. Misalnya, nama domain mungkin tidak valid. Pilih link Ditolak lalu pilih Regenerasi pada halaman Validasi domain kustom, seperti yang ditunjukkan pada cuplikan layar di bawah tabel ini. Lalu, pilih Tambahkan untuk menambahkan catatan TXT di penyedia DNS. |
| Waktu habis | Catatan TXT tidak ditambahkan ke penyedia DNS Anda dalam waktu tujuh hari, atau catatan TXT DNS yang tidak valid ditambahkan. Pilih link Waktu Habis lalu pilih Regenerasi pada halaman Validasi domain kustom. Lalu pilih Tambahkan untuk menambahkan catatan TXT baru ke penyedia DNS. Pastikan Anda menggunakan nilai yang diperbarui. |
| Kesalahan internal | Terjadi kesalahan yang tidak diketahui. Coba lagi validasi dengan memilih tombol Refresh atau Regenerasi . Jika Anda masih mengalami masalah, kirimkan permintaan dukungan ke dukungan Azure. |
Catatan
- TTL default untuk rekaman TXT adalah 1 jam. Saat Anda perlu meregenerasi data TXT untuk validasi ulang, perhatikan TTL untuk data TXT sebelumnya. Jika tidak kedaluwarsa, validasi akan gagal hingga data TXT sebelumnya kedaluwarsa.
- Jika tombol Regenerasi tidak berfungsi, hapus dan buat ulang domain.
- Jika status domain tidak mencerminkan seperti yang diharapkan, pilih tombol Refresh.
HTTPS untuk domain kustom
Dengan menggunakan protokol HTTPS di domain kustom, Anda memastikan data sensitif Anda dikirimkan dengan aman dengan enkripsi TLS/SSL saat dikirim melalui internet. Ketika klien, seperti browser web, terhubung ke situs web dengan menggunakan HTTPS, klien memvalidasi sertifikat keamanan situs web, dan memastikan sertifikat dikeluarkan oleh otoritas sertifikat yang sah. Proses ini memberikan keamanan dan melindungi aplikasi web Anda dari serangan.
Azure Front Door mendukung penggunaan HTTPS dengan domain Anda sendiri, dan membongkar manajemen sertifikat keamanan lapisan transportasi (TLS) dari server asal Anda. Saat menggunakan domain kustom, Anda dapat menggunakan sertifikat TLS yang dikelola Azure (disarankan), atau Anda dapat membeli dan menggunakan sertifikat TLS Anda sendiri.
Untuk informasi selengkapnya tentang cara kerja Azure Front Door dengan TLS, lihat TLS end-to-end dengan Azure Front Door.
Sertifikat TLS yang dikelola Azure Front Door
Azure Front Door dapat secara otomatis mengelola sertifikat TLS untuk subdomain dan domain apex. Saat menggunakan sertifikat terkelola, Anda tidak perlu membuat kunci atau permintaan penandatanganan sertifikat, dan Anda tidak perlu mengunggah, menyimpan, atau menginstal sertifikat. Selain itu, Azure Front Door dapat secara otomatis memutar (memperbarui) sertifikat terkelola tanpa intervensi manusia. Proses ini menghindari waktu henti yang disebabkan oleh kegagalan memperbarui sertifikat TLS Anda tepat waktu.
Proses pembuatan, penerbitan, dan penginstalan sertifikat TLS terkelola dapat memakan waktu beberapa menit hingga satu jam untuk diselesaikan, dan kadang-kadang bisa memakan waktu lebih lama.
Catatan
Sertifikat terkelola Azure Front Door (Standar dan Premium) secara otomatis diputar jika data CNAME domain menunjuk langsung ke titik akhir Front Door atau titik akhir Traffic Manager secara tidak langsung. Jika tidak, Anda perlu memvalidasi ulang kepemilikan domain untuk memutar sertifikat.
Jenis domain
Tabel berikut ini meringkas fitur yang tersedia dengan sertifikat TLS terkelola saat Anda menggunakan berbagai jenis domain:
| Pertimbangan | Subdomain | Domain apex | Domain kartubebas |
|---|---|---|---|
| Sertifikat TLS terkelola tersedia | Ya | Ya | Tidak |
| Sertifikat TLS terkelola diputar secara otomatis | Ya | Lihat di bawah ini | No |
Saat Anda menggunakan sertifikat TLS yang dikelola Azure Front Door dengan domain apex, rotasi sertifikat otomatis mungkin mengharuskan Anda untuk memvalidasi ulang kepemilikan domain Anda. Untuk informasi selengkapnya, lihat Domain apex di Azure Front Door.
Penerbitan sertifikat terkelola
Sertifikat Azure Front Door dikeluarkan oleh otoritas sertifikasi mitra kami, DigiCert. Untuk beberapa domain, Anda harus secara eksplisit mengizinkan DigiCert sebagai pengeluar sertifikat dengan membuat baris domain CAA dengan nilai: 0 issue digicert.com.
Azure sepenuhnya mengelola sertifikat atas nama Anda, sehingga aspek apa pun dari sertifikat terkelola, termasuk penerbit akar, dapat berubah kapan saja. Perubahan ini berada di luar kendali Anda. Pastikan untuk menghindari dependensi keras pada aspek apa pun dari sertifikat terkelola, seperti memeriksa thumbprint sertifikat, atau menyematkan ke sertifikat terkelola atau bagian mana pun dari hierarki sertifikat. Jika Anda perlu menyematkan sertifikat, Anda harus menggunakan sertifikat TLS yang dikelola pelanggan, seperti yang dijelaskan di bagian berikutnya.
Sertifikat TLS yang dikelola pelanggan
Terkadang, Anda mungkin perlu memberikan sertifikat TLS Anda sendiri. Skenario umum untuk menyediakan sertifikat Anda sendiri meliputi:
- Organisasi Anda mengharuskan Anda menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikasi tertentu.
- Anda ingin Azure Key Vault menerbitkan sertifikat Anda dengan menggunakan otoritas sertifikasi mitra.
- Anda perlu menggunakan sertifikat TLS yang dikenali aplikasi klien.
- Anda perlu menggunakan sertifikat TLS yang sama pada beberapa sistem.
- Anda menggunakan domain wildcard. Azure Front Door tidak menyediakan sertifikat terkelola untuk domain wildcard.
Catatan
- Mulai September 2023, Azure Front Door mendukung Bring Your Own Certificates (BYOC) untuk validasi kepemilikan domain. Front Door menyetujui kepemilikan domain jika Nama Sertifikat (CN) atau Nama Alternatif Subjek (SAN) sertifikat cocok dengan domain kustom. Jika Anda memilih sertifikat terkelola Azure, validasi domain menggunakan catatan DNS TXT.
- Untuk domain kustom yang dibuat sebelum validasi berbasis BYOC, dan status validasi domain tidak Disetujui, Anda perlu memicu persetujuan otomatis validasi kepemilikan domain dengan memilih Status Validasi dan mengklik tombol Validasi Ulang di portal. Jika Anda menggunakan alat baris perintah, Anda dapat memicu validasi domain dengan mengirim permintaan PATCH kosong ke API domain.
Persyaratan sertifikat
Untuk menggunakan sertifikat Anda dengan Azure Front Door, sertifikat harus memenuhi persyaratan berikut:
- Rantai sertifikat lengkap: Saat membuat sertifikat TLS/SSL, Anda harus membuat rantai sertifikat lengkap dengan otoritas sertifikat (CA) yang diizinkan yang merupakan bagian dari Daftar CA Tepercaya Microsoft. Jika Anda menggunakan CA yang tidak diizinkan, permintaan Anda akan ditolak. CA root harus menjadi bagian dari Daftar CA Tepercaya Microsoft. Jika sertifikat tanpa rantai lengkap disajikan, permintaan yang melibatkan sertifikat tersebut tidak dijamin berfungsi seperti yang diharapkan.
- Nama umum: Nama umum (CN) sertifikat harus cocok dengan domain yang dikonfigurasi di Azure Front Door.
- Algoritma: Azure Front Door tidak mendukung sertifikat dengan algoritma kriptografi kurva elips (EC).
- Jenis file (konten): Sertifikat Anda harus diunggah ke brankas kunci Anda dari file PFX, yang menggunakan
application/x-pkcs12jenis konten.
Mengimpor sertifikat ke Azure Key Vault
Sertifikat TLS kustom harus diimpor ke Azure Key Vault sebelum Anda dapat menggunakannya dengan Azure Front Door. Untuk mempelajari cara mengimpor sertifikat ke brankas kunci, lihat Tutorial: Mengimpor sertifikat di Azure Key Vault.
Brankas kunci harus berada dalam langganan Azure yang sama dengan profil Azure Front Door Anda.
Peringatan
Azure Front Door hanya mendukung brankas kunci dalam langganan yang sama dengan profil Front Door. Memilih brankas kunci di bawah langganan yang berbeda dari profil Azure Front Door Anda akan mengakibatkan kegagalan.
Sertifikat harus diunggah sebagai objek sertifikat , bukan rahasia.
Memberikan akses ke Azure Front Door
Azure Front Door perlu mengakses brankas kunci Anda untuk membaca sertifikat Anda. Anda perlu mengonfigurasi firewall jaringan brankas kunci dan kontrol akses vault.
Jika brankas kunci Anda mengaktifkan pembatasan akses jaringan, Anda harus mengonfigurasi brankas kunci agar layanan Microsoft tepercaya dapat melewati firewall.
Ada dua cara untuk mengonfigurasi kontrol akses pada brankas kunci Anda:
- Azure Front Door dapat menggunakan identitas terkelola untuk mengakses brankas kunci Anda. Anda dapat menggunakan pendekatan ini saat brankas kunci Anda menggunakan autentikasi Microsoft Entra. Untuk informasi selengkapnya, lihat Menggunakan identitas terkelola dengan Azure Front Door Standard/Premium.
- Atau Anda dapat memberikan akses perwakilan layanan Azure Front Door ke brankas kunci Anda. Anda dapat menggunakan pendekatan ini saat menggunakan kebijakan akses vault.
Menambahkan sertifikat kustom Anda ke Azure Front Door
Setelah Anda mengimpor sertifikat ke brankas kunci, buat sumber daya rahasia Azure Front Door, yang merupakan referensi ke sertifikat yang Anda tambahkan ke brankas kunci Anda.
Kemudian, konfigurasikan domain Anda untuk menggunakan rahasia Azure Front Door untuk sertifikat TLS-nya.
Untuk panduan langkah-langkah ini, lihat Mengonfigurasi HTTPS pada domain kustom Azure Front Door menggunakan portal Azure.
Beralih antar jenis sertifikat
Anda dapat mengubah domain antara menggunakan sertifikat yang dikelola Azure Front Door dan sertifikat yang dikelola pengguna.
- Mungkin perlu waktu hingga satu jam agar sertifikat baru disebarkan saat Anda beralih antar jenis sertifikat.
- Jika status domain Anda Disetujui, mengalihkan jenis sertifikat antara yang dikelola pengguna dan sertifikat terkelola tidak akan menyebabkan waktu henti.
- Saat beralih ke sertifikat terkelola, Azure Front Door terus menggunakan sertifikat sebelumnya hingga kepemilikan domain divalidasi ulang dan status domain menjadi Disetujui.
- Jika Anda beralih dari BYOC ke sertifikat terkelola, diperlukan validasi ulang domain. Jika Anda beralih dari sertifikat terkelola ke BYOC, Anda tidak diharuskan untuk memvalidasi ulang domain.
Perpanjangan sertifikat
Memperbarui sertifikat yang dikelola Azure Front Door
Untuk sebagian besar domain kustom, Azure Front Door secara otomatis memperbarui (memutar) sertifikat terkelola saat hampir kedaluwarsa, dan Anda tidak perlu melakukan apa pun.
Namun, Azure Front Door tidak akan secara otomatis memutar sertifikat dalam skenario berikut:
- Catatan CNAME domain kustom menunjuk ke catatan DNS selain domain titik akhir Azure Front Door Anda.
- Domain kustom menunjuk ke titik akhir Azure Front Door melalui rantai. Misalnya, jika catatan DNS Anda menunjuk ke Azure Traffic Manager, yang pada gilirannya diselesaikan ke Azure Front Door, rantai CNAME adalah
contoso.comCNAME dicontoso.trafficmanager.netCNAME dicontoso.z01.azurefd.net. Azure Front Door tidak dapat memverifikasi seluruh rantai. - Domain kustom menggunakan catatan A. Kami sarankan Anda selalu menggunakan data CNAME untuk menunjuk ke Azure Front Door.
- Domain kustom adalah domain apex dan menggunakan flattening CNAME.
Jika salah satu skenario di atas berlaku untuk domain kustom Anda, maka 45 hari sebelum sertifikat terkelola kedaluwarsa, status validasi domain menjadi Revalidasi Tertunda. Status Validasi Ulang Tertunda menunjukkan bahwa Anda perlu membuat catatan DNS TXT baru untuk memvalidasi ulang kepemilikan domain Anda.
Catatan
Catatan TXT DNS kedaluwarsa setelah tujuh hari. Jika sebelumnya Anda menambahkan catatan TXT validasi domain ke server DNS, Anda perlu menggantinya dengan catatan TXT baru. Pastikan Anda menggunakan nilai baru, jika tidak, proses validasi domain akan gagal.
Jika domain Anda tidak dapat divalidasi, status validasi domain menjadi Ditolak. Status ini menunjukkan bahwa otoritas sertifikat telah menolak permintaan untuk menerbitkan kembali sertifikat terkelola.
Untuk informasi selengkapnya tentang status validasi domain, lihat Status validasi domain.
Memperbarui sertifikat yang dikelola Azure untuk domain yang telah divalidasi sebelumnya oleh layanan Azure lainnya
Sertifikat yang dikelola Azure secara otomatis diputar oleh layanan Azure yang memvalidasi domain.
Memperbarui sertifikat TLS yang dikelola pelanggan
Saat Anda memperbarui sertifikat di brankas kunci, Azure Front Door dapat secara otomatis mendeteksi dan menggunakan sertifikat yang diperbarui. Agar fungsionalitas ini berfungsi, atur versi rahasia ke 'Terbaru' saat Anda mengonfigurasi sertifikat Di Azure Front Door.
Jika Anda memilih versi sertifikat tertentu, Anda harus memilih kembali versi baru secara manual saat memperbarui sertifikat Anda.
Diperlukan waktu hingga 72 jam agar versi baru sertifikat/rahasia diterapkan secara otomatis.
Jika Anda ingin mengubah versi rahasia dari "Terbaru" ke versi tertentu atau sebaliknya, tambahkan sertifikat baru.
Kebijakan keamanan
Anda dapat menggunakan firewall aplikasi web (WAF) Azure Front Door untuk memindai permintaan ke aplikasi Anda untuk ancaman, dan untuk menegakkan persyaratan keamanan lainnya.
Untuk menggunakan WAF dengan domain kustom, gunakan sumber daya kebijakan keamanan Azure Front Door. Kebijakan keamanan mengaitkan domain dengan kebijakan WAF. Anda dapat secara opsional membuat beberapa kebijakan keamanan sehingga Anda dapat menggunakan kebijakan WAF yang berbeda dengan domain yang berbeda.
Langkah berikutnya
- Untuk mempelajari cara menambahkan domain kustom ke profil Azure Front Door Anda, lihat Mengonfigurasi domain kustom di Azure Front Door menggunakan portal Azure.
- Pelajari selengkapnya tentang cara TLS End-to-end dengan Azure Front Door.