Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: ✔️ Front Door (klasik)
Important
- Mulai 15 Agustus 2025, Azure Front Door (klasik) tidak akan lagi mendukung onboarding domain baru. Migrasi ke AFD Standard dan Premium untuk membuat domain atau profil baru dan menghindari gangguan layanan. Pelajari lebih lanjut
- Mulai 15 Agustus 2025, Azure Front Door (klasik) tidak akan lagi mendukung sertifikat Terkelola. Untuk menghindari gangguan layanan, beralihlah ke Bring Your Own Certificate (BYOC) atau bermigrasi ke AFD Standard dan Premium pada 15 Agustus 2025. Sertifikat terkelola yang ada akan diperpanjang secara otomatis sebelum 15 Agustus 2025, dan tetap berlaku hingga 14 April 2026. Pelajari lebih lanjut
- Azure Front Door (klasik) akan dihentikan pada 31 Maret 2027. Untuk menghindari gangguan layanan, migrasikan ke Standar AFD atau Premium. Pelajari lebih lanjut.
Artikel ini menjelaskan cara mengaktifkan HTTPS untuk domain kustom yang terkait dengan Front Door Anda (klasik). Menggunakan HTTPS pada domain kustom Anda (misalnya, https://www.contoso.com) memastikan transmisi data yang aman melalui enkripsi TLS/SSL. Ketika browser web terhubung ke situs web menggunakan HTTPS, browser web memvalidasi sertifikat keamanan situs web dan memverifikasi legitimasinya, memberikan keamanan dan melindungi aplikasi web Anda dari serangan berbahaya.
Azure Front Door mendukung HTTPS secara default pada nama host defaultnya (misalnya, https://contoso.azurefd.net). Namun, Anda perlu mengaktifkan HTTPS secara terpisah untuk domain kustom seperti www.contoso.com.
Atribut utama fitur HTTPS kustom meliputi:
- Tidak ada biaya tambahan: Tidak ada biaya untuk akuisisi sertifikat, perpanjangan, atau lalu lintas HTTPS.
- Pengaktifan sederhana: Provisi satu pilihan melalui portal Azure, REST API, atau alat pengembang lainnya.
- Manajemen sertifikat lengkap: Pengadaan dan perpanjangan sertifikat otomatis, menghilangkan risiko gangguan layanan karena sertifikat yang kedaluwarsa.
Dalam tutorial ini, Anda mempelajari caranya:
- Aktifkan HTTPS di domain kustom Anda.
- Gunakan sertifikat yang dikelola AFD.
- Gunakan sertifikat TLS/SSL Anda sendiri.
- Validasi domain.
- Nonaktifkan HTTPS di domain kustom Anda.
Prerequisites
Sebuah akun Azure dengan langganan aktif. Buat akun secara gratis.
Azure Front Door dengan setidaknya satu domain kustom yang di-onboarding. Untuk informasi selengkapnya, lihat Tutorial: Menambahkan domain kustom ke Front Door Anda.
Azure Cloud Shell atau Azure PowerShell untuk mendaftarkan perwakilan layanan Front Door di ID Microsoft Entra Anda saat menggunakan sertifikat Anda sendiri.
Langkah-langkah dalam artikel ini menjalankan cmdlet Azure PowerShell secara interaktif di Azure Cloud Shell. Untuk menjalankan cmdlet di Cloud Shell, pilih Buka Cloud Shell di sudut kanan atas blok kode. Pilih Salin untuk menyalin kode lalu tempelkan ke Cloud Shell untuk menjalankannya. Anda juga dapat menjalankan Cloud Shell dari dalam portal Azure.
Anda juga dapat menginstal Azure PowerShell secara lokal untuk menjalankan cmdlet. Jika Anda menjalankan PowerShell secara lokal, masuk ke Azure menggunakan cmdlet Connect-AzAccount .
Sertifikat TLS/SSL
Untuk mengaktifkan HTTPS pada domain kustom Front Door (klasik), Anda memerlukan sertifikat TLS/SSL. Anda dapat menggunakan sertifikat yang dikelola oleh Azure Front Door atau sertifikat Anda sendiri.
Opsi 1 (default): Gunakan sertifikat yang dikelola oleh Front Door
Menggunakan sertifikat yang dikelola oleh Azure Front Door Classic memungkinkan Anda mengaktifkan HTTPS dengan beberapa perubahan pengaturan. Azure Front Door Classic menangani semua tugas manajemen sertifikat, termasuk pengadaan dan perpanjangan. Ini didukung untuk domain kustom dengan CNAME langsung ke titik akhir Azure Front Door Classic.
Important
- Pada 8 Mei 2025, DigiCert tidak lagi mendukung metode validasi domain berbasis WHOIS. Jika domain Anda menggunakan pemetaan CNAME tidak langsung ke titik akhir Azure Front Door Classic, Anda harus menggunakan fitur Bring Your Own Certificate (BYOC).
- Karena perubahan dalam validasi domain berbasis WHOIS, sertifikat terkelola yang dikeluarkan menggunakan validasi domain berbasis WHOIS tidak dapat dibuat otomatis sampai Anda memiliki CNAME langsung yang menunjuk ke Azure Front Door Classic.
- Sertifikat terkelola tidak tersedia untuk domain root atau apex (misalnya,
contoso.com). Jika domain kustom Azure Front Door Classic Anda adalah domain root atau apex, Anda harus menggunakan fitur Bring Your Own Certificate (BYOC ). - Autorenewal sertifikat terkelola mengharuskan domain kustom Anda langsung dipetakan ke titik akhir Azure Front Door Classic Anda menggunakan data CNAME.
Untuk mengaktifkan HTTPS pada domain kustom:
Di portal Azure, buka profil Front Door Anda.
Pilih domain kustom yang ingin Anda aktifkan HTTPS dari daftar host frontend.
Di bawah HTTPS domain kustom, pilih Diaktifkan dan pilih yang dikelola oleh Front Door sebagai sumber sertifikat.
Pilih Simpan.
Lanjutkan ke Validasi domain ini.
Note
- Batas 64 karakter DigiCert diberlakukan untuk sertifikat yang dikelola Azure Front Door. Validasi gagal jika batas ini terlampaui.
- Mengaktifkan HTTPS melalui sertifikat terkelola Front Door tidak didukung untuk domain apex/root (misalnya, contoso.com). Gunakan sertifikat Anda sendiri untuk skenario ini (lihat Opsi 2).
Opsi 2: Gunakan sertifikat milik Anda
Anda dapat menggunakan sertifikat Anda sendiri melalui integrasi dengan Azure Key Vault. Pastikan sertifikat Anda berasal dari Daftar CA Tepercaya Microsoft dan memiliki rantai sertifikat lengkap.
Siapkan brankas kunci dan sertifikat Anda
- Buat akun Key Vault di langganan Azure yang sama dengan Front Door Anda.
- Konfigurasikan brankas kunci Anda untuk memungkinkan layanan Microsoft tepercaya melewati firewall jika pembatasan akses jaringan diaktifkan.
- Gunakan model izin kebijakan akses Key Vault.
- Unggah sertifikat Anda sebagai objek sertifikat , bukan rahasia.
Note
Front Door tidak mendukung sertifikat dengan algoritma kriptografi kurva elips (EC). Sertifikat harus memiliki rantai sertifikat lengkap dengan sertifikat daun dan perantara, dan CA root harus menjadi bagian dari daftar CA Tepercaya Microsoft.
Daftarkan Azure Front Door
Daftarkan perwakilan layanan Azure Front Door di ID Microsoft Entra Anda menggunakan Azure PowerShell atau Azure CLI.
Gunakan cmdlet New-AzADServicePrincipal untuk mendaftarkan perwakilan layanan Front Door di ID Microsoft Entra Anda.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Berikan akses Azure Front Door ke brankas kunci Anda
Di akun brankas kunci Anda, pilih Kebijakan akses.
Pilih Buat untuk membuat kebijakan akses baru.
Di Izin rahasia, pilih Dapatkan.
Di Izin sertifikat, pilih Dapatkan.
Di Pilih pengguna utama, cari ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 dan pilih Microsoft.Azure.Frontdoor. Pilih Selanjutnya.
Pilih Berikutnya di Aplikasi.
Pilih Buat di Tinjau + buat.
Note
Jika brankas kunci Anda memiliki pembatasan akses jaringan, izinkan layanan Microsoft tepercaya untuk mengakses brankas kunci Anda.
Memilih sertifikat untuk Azure Front Door yang akan disebarkan
Kembali ke Front Door Anda melalui portal.
Pilih domain kustom yang ingin Anda aktifkan HTTPS-nya.
Di bawah Jenis manajemen sertifikat, pilih Gunakan sertifikat saya sendiri.
Pilih kunci brankas, rahasia, dan versi rahasia.
Note
Untuk mengaktifkan rotasi sertifikat otomatis, atur versi rahasia ke 'Terbaru'. Jika versi tertentu dipilih, Anda harus memperbaruinya secara manual untuk rotasi sertifikat.
Warning
Pastikan perwakilan layanan Anda memiliki izin GET di Key Vault. Untuk melihat sertifikat di menu drop-down portal, akun pengguna Anda harus memiliki izin LIST dan GET di Key Vault.
Saat menggunakan sertifikat Anda sendiri, validasi domain tidak diperlukan. Berlanjut ke Tunggu penyebaran.
Validasikan domain
Jika data CNAME Anda masih ada dan tidak berisi afdverify subdomain, DigiCert secara otomatis memvalidasi kepemilikan domain kustom Anda.
Data CNAME Anda harus dalam format berikut:
| Name | Type | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Untuk informasi selengkapnya tentang data CNAME, lihat Membuat rekaman DNS CNAME.
Jika data CNAME Anda dalam format yang benar, DigiCert secara otomatis memverifikasi nama domain kustom Anda dan membuat sertifikat khusus untuk nama domain Anda. Sertifikat ini berlaku selama satu tahun dan akan diperbaharui otomatis sebelum kedaluwarsa. Validasi otomatis biasanya memakan waktu beberapa menit. Jika Anda tidak melihat domain Anda divalidasi dalam 24 jam, buka tiket dukungan.
Lanjutkan menunggu penyebaran.
Note
Jika Anda memiliki rekaman CAA dengan penyedia DNS Anda, itu harus menyertakan DigiCert sebagai CA yang valid. Untuk informasi selengkapnya, lihat Mengelola rekaman CAA.
Tunggu penyebaran
Setelah validasi domain, diperlukan waktu hingga 6-8 jam agar fitur HTTPS domain kustom diaktifkan. Setelah selesai, status HTTPS kustom di portal Azure diatur ke Diaktifkan.
Progres operasi
Tabel berikut menunjukkan kemajuan operasi saat mengaktifkan HTTPS:
| Langkah operasi | Detail langkah operasi |
|---|---|
| 1. Mengirimkan permintaan | Mengirim permintaan |
| Permintaan HTTPS Anda sedang dikirim. | |
| Permintaan HTTPS Anda berhasil dikirimkan. | |
| 2. Validasi domain | Domain divalidasi secara otomatis jika CNAME dipetakan ke default host frontend .azurefd.net. |
| Kepemilikan domain Anda berhasil divalidasi. | |
| Permintaan validasi kepemilikan domain kedaluwarsa (pelanggan kemungkinan tidak merespons dalam waktu enam hari). HTTPS tidak diaktifkan di domain Anda. * | |
| Permintaan validasi kepemilikan domain ditolak oleh pelanggan. HTTPS tidak diaktifkan di domain Anda. * | |
| 3. Penyediaan sertifikat | Otoritas sertifikat mengeluarkan sertifikat yang diperlukan untuk mengaktifkan HTTPS di domain Anda. |
| Sertifikat telah diterbitkan dan sedang digunakan untuk layanan Front Door Anda. Proses ini bisa memakan waktu beberapa menit hingga satu jam. | |
| Sertifikat berhasil disebarkan untuk Pintu Depan Anda. | |
| 4. Selesai | HTTPS berhasil diaktifkan pada domain Anda. |
* Pesan ini hanya muncul jika terjadi kesalahan.
Jika kesalahan terjadi sebelum permintaan dikirim, pesan kesalahan berikut ditampilkan:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Tanya jawab umum
Siapa penyedia sertifikat dan jenis sertifikat apa yang digunakan?
Sertifikat khusus/tunggal, disediakan oleh DigiCert, digunakan untuk domain kustom Anda.
Apakah Anda menggunakan berbasis IP atau SNI TLS/SSL?
Azure Front Door menggunakan SNI TLS/SSL.
Bagaimana jika saya tidak menerima alamat email verifikasi domain dari DigiCert?
Jika Anda memiliki entri CNAME untuk custom domain yang menunjuk langsung ke nama host endpoint dan Anda tidak menggunakan nama subdomain afdverify, Anda tidak akan menerima email verifikasi domain. Validasi terjadi secara otomatis. Jika tidak, jika Anda tidak memiliki entri CNAME dan tidak menerima email dalam waktu 24 jam, hubungi dukungan Microsoft.
Apakah menggunakan sertifikat SAN kurang aman daripada sertifikat khusus?
Sertifikat SAN mengikuti standar enkripsi dan keamanan yang sama dengan sertifikat khusus. Semua sertifikat TLS/SSL yang diterbitkan menggunakan SHA-256 untuk meningkatkan keamanan server.
Apakah saya memerlukan catatan Otorisasi Otoritas Sertifikat dengan penyedia DNS saya?
Tidak, catatan Otorisasi Otoritas Sertifikat saat ini tidak diperlukan. Namun, jika Anda memilikinya, itu harus menyertakan DigiCert sebagai Otoritas Sertifikat yang sah.
Membersihkan sumber daya
Untuk menonaktifkan HTTPS di domain kustom Anda:
Menonaktifkan fitur HTTPS
Di portal Azure, buka konfigurasi Azure Front Door Anda.
Pilih domain kustom yang ingin Anda nonaktifkan HTTPS-nya.
Pilih Dinonaktifkan dan pilih Simpan.
Tunggu penyebaran
Setelah menonaktifkan fitur HTTPS domain kustom, diperlukan waktu hingga 6-8 jam untuk diterapkan. Setelah selesai, status HTTPS kustom di portal Azure diatur ke Dinonaktifkan.
Progres operasi
Tabel berikut menunjukkan kemajuan operasi saat menonaktifkan HTTPS:
| Progres operasi | Detail operasi |
|---|---|
| 1. Mengirimkan permintaan | Mengirimkan permintaan Anda |
| 2. Pencabutan sertifikat | Menghapus sertifikat |
| 3. Selesai | Sertifikat dihapus |