Mengonfigurasi HTTPS pada domain kustom Azure Front Door dengan menggunakan portal Azure

  • Artikel

Azure Front Door memungkinkan pengiriman Keamanan Lapisan Transportasi (TLS) yang aman ke aplikasi Anda secara default saat Anda menggunakan domain kustom Anda sendiri. Untuk mempelajari selengkapnya tentang domain kustom, termasuk cara kerja domain kustom dengan HTTPS, lihat Domain di Azure Front Door.

Azure Front Door mendukung sertifikat yang dikelola Azure dan sertifikat yang dikelola pelanggan. Dalam artikel ini, Anda mempelajari cara mengonfigurasi kedua jenis sertifikat untuk domain kustom Azure Front Door Anda.

Prasyarat

  • Sebelum Anda dapat mengonfigurasi HTTPS untuk domain kustom Anda, Anda harus terlebih dahulu membuat profil Azure Front Door. Untuk informasi selengkapnya, lihat Membuat profil Azure Front Door.
  • Jika belum memiliki domain kustom, Anda harus membelinya ke penyedia domain terlebih dahulu. Sebagai contoh, lihat Membeli nama domain kustom.
  • Jika Anda menggunakan Azure untuk menghosting domain DNS, Anda harus mendelegasikan sistem nama domain (DNS) penyedia layanan domain ke Azure DNS. Untuk informasi lebih lanjut, lihat Mendelegasikan domain ke Azure DNS. Sebaliknya, jika menggunakan penyedia domain untuk menangani domain DNS, Anda harus memvalidasi domain secara manual dengan memasukkan catatan TXT DNS yang diminta.

Sertifikat yang dikelola Azure Front Door untuk domain non-Azure yang telah divalidasi sebelumnya

Jika Anda memiliki domain Anda sendiri, dan domain belum dikaitkan dengan layanan Azure lain yang memvalidasi domain untuk Azure Front Door, ikuti langkah-langkah berikut:

  1. Di bawah Pengaturan, pilih Domain untuk profil Azure Front Door Anda. Lalu pilih + Tambahkan untuk menambahkan domain baru.

    Cuplikan layar yang memperlihatkan panel arahan konfigurasi domain.

  2. Pada panel Tambahkan domain , masukkan atau pilih informasi berikut ini. Lalu pilih Tambahkan untuk onboarding domain kustom.

    Cuplikan layar yang memperlihatkan panel Tambahkan domain dengan DNS terkelola Azure dipilih.

    Pengaturan Nilai
    Jenis domain Pilih Domain non-Azure yang telah divalidasi sebelumnya.
    Manajemen DNS Pilih DNS terkelola Azure (Disarankan).
    Zona DNS Pilih zona Azure DNS yang menghosting domain kustom.
    Domain kustom Pilih domain yang sudah ada atau tambahkan domain baru.
    HTTPS Pilih Terkelola AFD (Disarankan).

  3. Validasi dan kaitkan domain kustom ke titik akhir dengan mengikuti langkah-langkah untuk mengaktifkan domain kustom.

  4. Setelah domain kustom berhasil dikaitkan dengan titik akhir, Azure Front Door menghasilkan sertifikat dan menyebarkannya. Proses ini mungkin memakan waktu beberapa menit hingga satu jam untuk menyelesaikannya.

Sertifikat yang dikelola Azure untuk domain azure yang telah divalidasi sebelumnya

Jika Anda memiliki domain Anda sendiri, dan domain dikaitkan dengan layanan Azure lain yang memvalidasi domain untuk Azure Front Door, ikuti langkah-langkah berikut:

  1. Di bawah Pengaturan, pilih Domain untuk profil Azure Front Door Anda. Lalu pilih + Tambahkan untuk menambahkan domain baru.

    Cuplikan layar yang memperlihatkan panel arahan Domain.

  2. Pada panel Tambahkan domain , masukkan atau pilih informasi berikut ini. Lalu pilih Tambahkan untuk onboarding domain kustom.

    Cuplikan layar yang memperlihatkan panel Tambahkan domain dengan domain yang telah divalidasi sebelumnya.

    Pengaturan Nilai
    Jenis domain Pilih Domain yang telah divalidasi sebelumnya.
    Domain kustom yang telah divalidasi sebelumnya Pilih nama domain kustom dari daftar dropdown layanan Azure.
    HTTPS Pilih Terkelola Azure.

  3. Validasi dan kaitkan domain kustom ke titik akhir dengan mengikuti langkah-langkah untuk mengaktifkan domain kustom.

  4. Setelah domain kustom berhasil dikaitkan dengan titik akhir, sertifikat yang dikelola Azure Front Door disebarkan ke Azure Front Door. Proses ini mungkin memakan waktu beberapa menit hingga satu jam untuk menyelesaikannya.

Menggunakan sertifikat Anda sendiri

Anda juga dapat memilih untuk menggunakan sertifikat TLS Anda sendiri. Sertifikat TLS Anda harus memenuhi persyaratan tertentu. Untuk informasi lebih lanjut, lihat Persyaratan sertifikat.

Menyiapkan brankas kunci dan sertifikat Anda

Buat instans Azure Key Vault terpisah tempat Anda menyimpan sertifikat Azure Front Door TLS. Untuk informasi selengkapnya, lihat Membuat instans Key Vault. Jika Anda sudah memiliki sertifikat, Anda dapat mengunggahnya ke instans Key Vault baru Anda. Jika tidak, Anda dapat membuat sertifikat baru melalui Key Vault dari salah satu mitra otoritas sertifikat (CA).

Peringatan

Azure Front Door saat ini hanya mendukung Key Vault dalam langganan yang sama. Memilih Key Vault di bawah langganan yang berbeda mengalihkan kegagalan.

Poin lain yang perlu diperhatikan tentang sertifikat:

  • Azure Front Door tidak mendukung sertifikat dengan algoritma kriptografi kurva elips. Selain itu, sertifikat Anda harus memiliki rantai sertifikat lengkap dengan daun dan sertifikat perantara. CA akar juga harus menjadi bagian dari Daftar CA Tepercaya Microsoft.
  • Kami menyarankan agar Anda menggunakan identitas terkelola untuk mengizinkan akses ke sertifikat Key Vault Anda karena pendaftaran aplikasi akan dihentikan di masa mendatang.

Daftarkan Azure Front Door

Daftarkan perwakilan layanan untuk Azure Front Door sebagai aplikasi di ID Microsoft Entra Anda dengan menggunakan Azure PowerShell atau Azure CLI.

Catatan

  • Tindakan ini mengharuskan Anda memiliki izin Administrator Global di ID Microsoft Entra. Pendaftaran hanya perlu dilakukan sekali per penyewa Microsoft Entra.
  • ID aplikasi 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 dan d4631ece-daab-479b-be77-ccb713491fc0 telah ditentukan sebelumnya oleh Azure untuk Azure Front Door Standard dan Premium di semua penyewa dan langganan Azure. Azure Front Door (klasik) memiliki ID aplikasi yang berbeda.

  1. Jika diperlukan, pasang Azure PowerShell di PowerShell pada komputer lokal Anda.

  2. Gunakan PowerShell untuk menjalankan perintah berikut:

    Cloud publik Azure:

    New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'

    Cloud azure government:

     New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'

Berikan akses Azure Front Door ke brankas kunci Anda

Berikan izin Azure Front Door untuk mengakses sertifikat di akun Key Vault baru yang Anda buat khusus untuk Azure Front Door. Anda hanya perlu memberikan GET izin ke sertifikat dan rahasia agar Azure Front Door dapat mengambil sertifikat.

  1. Di akun Key Vault Anda, pilih Kebijakan akses.

  2. Pilih Tambahkan baru atau Buat untuk membuat kebijakan akses baru.

  3. Di Izin rahasia, pilih Dapatkan untuk mengizinkan Azure Front Door mengambil sertifikat.

  4. Di Izin sertifikat, pilih Dapatkan untuk mengizinkan Azure Front Door mengambil sertifikat.

  5. Di Pilih prinsipal, cari 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 dan pilih Microsoft.AzureFrontDoor-Cdn. Pilih Selanjutnya.

  6. Di Aplikasi, pilih Berikutnya.

  7. Di Tinjau + buat, pilih Buat.

Catatan

Jika brankas kunci dilindungi dengan pembatasan akses jaringan, pastikan Anda mengizinkan layanan Microsoft tepercaya untuk mengakses brankas kunci Anda.

Azure Front Door kini dapat mengakses brankas kunci ini dan sertifikat yang ada di dalamnya.

Memilih sertifikat untuk Azure Front Door yang akan disebarkan

  1. Kembali ke Azure Front Door Standard/Premium Anda di portal.

  2. Di bawah Pengaturan, buka Rahasia dan pilih + Tambahkan sertifikat.

    Cuplikan layar yang memperlihatkan panel arahan rahasia Azure Front Door.

  3. Pada panel Tambahkan sertifikat , pilih kotak centang untuk sertifikat yang ingin Anda tambahkan ke Azure Front Door Standard/Premium.

  4. Saat memilih sertifikat, Anda harus memilih versi sertifikat. Jika Anda memilih Terbaru, Azure Front Door secara otomatis diperbarui setiap kali sertifikat diputar (diperbarui). Anda juga dapat memilih versi sertifikat tertentu jika Anda lebih suka mengelola rotasi sertifikat sendiri.

    Biarkan pilihan versi sebagai Terbaru dan pilih Tambahkan.

    Cuplikan layar yang memperlihatkan panel Tambahkan sertifikat.

  5. Setelah sertifikat berhasil disediakan, Anda dapat menggunakannya saat menambahkan domain kustom baru.

    Cuplikan layar yang memperlihatkan sertifikat berhasil ditambahkan ke rahasia.

  6. Di bawah Pengaturan, buka Domain dan pilih + Tambahkan untuk menambahkan domain kustom baru. Pada panel Tambahkan domain , untuk HTTPS, pilih Bring Your Own Certificate (BYOC). Untuk Rahasia, pilih sertifikat yang ingin Anda gunakan dari daftar dropdown.

    Catatan

    Nama umum sertifikat yang dipilih harus cocok dengan domain kustom yang ditambahkan.

    Cuplikan layar yang memperlihatkan panel Tambahkan domain kustom dengan HTTPS.

  7. Ikuti langkah-langkah di layar untuk memvalidasi sertifikat. Kemudian kaitkan domain kustom yang baru dibuat ke titik akhir seperti yang diuraikan dalam Mengonfigurasi domain kustom.

Beralih antar jenis sertifikat

Anda dapat mengubah domain antara menggunakan sertifikat yang dikelola Azure Front Door dan sertifikat yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Domain di Azure Front Door.

  1. Pilih status sertifikat untuk membuka panel Detail sertifikat.

    Cuplikan layar yang memperlihatkan status sertifikat pada panel arahan Domain.

  2. Pada panel Detail sertifikat, Anda dapat mengubah antara Azure Front Door yang dikelola dan Bring Your Own Certificate (BYOC).

    Jika Anda memilih Bring Your Own Certificate (BYOC), ikuti langkah-langkah sebelumnya untuk memilih sertifikat.

  3. Pilih Perbarui untuk mengubah sertifikat yang terkait dengan domain.

    Cuplikan layar yang memperlihatkan panel Detail sertifikat.

Langkah berikutnya