Come configurare un dominio personalizzato per Servizio Azure SignalR

  • Articolo

Oltre al dominio predefinito fornito con Servizio Azure SignalR, è anche possibile aggiungere un dominio DNS personalizzato al servizio. In questo articolo si apprenderà come aggiungere un dominio personalizzato al Servizio SignalR.

Nota

I domini personalizzati sono una funzionalità di livello Premium. Le risorse del livello Standard possono essere aggiornate al livello Premium senza tempi di inattività.

Per configurare un dominio personalizzato, è necessario:

  1. Aggiungere un certificato di dominio personalizzato.
  2. Creare un record CNAME DNS.
  3. Aggiungere il dominio personalizzato.

Prerequisiti

  • Un dominio personalizzato registrato tramite un servizio app Azure o un registrar di terze parti.
  • Un account Azure con una sottoscrizione attiva.
  • Un gruppo di risorse di Azure.
  • Risorsa Servizio Azure SignalR.
  • Istanza di Azure Key Vault.
  • Un certificato SSL del dominio personalizzato archiviato nell'istanza di Key Vault. Vedere Introduzione ai certificati di Key Vault
  • Una zona DNS di Azure. (Valore facoltativo)

Aggiungere un certificato personalizzato

Prima di poter aggiungere un dominio personalizzato, è necessario aggiungere un certificato SSL personalizzato. Il Servizio SignalR accede al certificato archiviato nell'insieme di credenziali delle chiavi tramite un'identità gestita.

Esistono tre passaggi per aggiungere un certificato di dominio.

  1. Abilitare l'identità gestita nel Servizio SignalR.
  2. Concedere all'identità gestita l'accesso all'insieme di credenziali delle chiavi.
  3. Aggiungere un certificato personalizzato al Servizio SignalR.

Abilitare l'identità gestita in Servizio SignalR

È possibile usare un'identità gestita assegnata dal sistema o assegnata dall'utente. Questo articolo illustra l'uso di un'identità gestita assegnata dal sistema.

  1. Nella portale di Azure passare alla risorsa del servizio SignalR.

  2. Selezionare Identità dal menu a sinistra.

  3. Nella tabella Assegnata dal sistema impostare Stato su .

    Screenshot of enabling managed identity.

  4. Selezionare Salva e quindi Sì quando viene richiesto di abilitare l'identità gestita assegnata dal sistema.

Dopo aver creato l'identità, viene visualizzato l'ID oggetto (entità). Servizio SignalR userà l'ID oggetto dell'identità gestita assegnata dal sistema per accedere all'insieme di credenziali delle chiavi. Il nome dell'identità gestita corrisponde al nome dell'istanza di Servizio SignalR. Nella sezione successiva sarà necessario cercare l'entità (identità gestita) usando il nome o l'ID oggetto.

Concedere all'identità gestita l'accesso all'insieme di credenziali delle chiavi

Servizio SignalR usa un'identità gestita per accedere all'insieme di credenziali delle chiavi. È necessario concedere all'identità gestita l'autorizzazione per accedere all'insieme di credenziali delle chiavi.

La procedura per concedere l'autorizzazione dipende dal fatto che sia stato selezionato il criterio di accesso dell'insieme di credenziali o il controllo degli accessi in base al ruolo di Azure come modello di autorizzazione dell'insieme di credenziali delle chiavi.

Se si usano i criteri di accesso di Insieme di credenziali come modello di autorizzazione dell'insieme di credenziali delle chiavi, seguire questa procedura per aggiungere un nuovo criterio di accesso.

  1. Passare alla risorsa dell'insieme di credenziali delle chiavi.

  2. Selezionare Criteri di accesso dal menu a sinistra.

  3. Seleziona Crea. Screenshot of Key Vault's access policy page.

  4. Nella scheda Autorizzazioni :

    1. Selezionare Recupera in Autorizzazioni segrete.
    2. Selezionare Recupera in Autorizzazioni certificato.

  5. Selezionare Avanti per passare alla scheda Entità .

    Screenshot of Permissions tab of Key Vault's Create an access policy page.

  6. Immettere l'ID oggetto dell'identità gestita nella casella di ricerca.

  7. Selezionare l'identità gestita nei risultati della ricerca.

  8. Selezionare la scheda Rivedi e crea.

    Screenshot of the Principal tab of Key Vault's Create an access policy page.

  9. Selezionare Crea dalla scheda Rivedi e crea .

L'identità gestita per l'istanza di Servizio SignalR è elencata nella tabella dei criteri di accesso.

Screenshot of Key Vault's Access policies page.

Aggiungere un certificato personalizzato al Servizio SignalR

Per aggiungere il certificato personalizzato al Servizio SignalR, seguire questa procedura:

  1. Nella portale di Azure passare alla risorsa Servizio SignalR.

  2. Nel riquadro dei menu selezionare Dominio personalizzato.

  3. In Certificato personalizzato selezionare Aggiungi.

    Screenshot of custom certificate management.

  4. Immettere un nome del certificato personalizzato.

  5. Selezionare Seleziona dall'insieme di credenziali delle chiavi per scegliere un certificato dell'insieme di credenziali delle chiavi. Dopo aver selezionato l'URI di base dell'insieme di credenziali delle chiavi seguente, il nome del segreto dell'insieme di credenziali delle chiavi deve essere compilato automaticamente. In alternativa, è anche possibile compilare questi campi manualmente.

  6. Facoltativamente, è possibile specificare una versione privata dell'insieme di credenziali delle chiavi se si vuole aggiungere il certificato a una versione specifica.

  7. Selezionare Aggiungi.

Screenshot of adding a custom certificate.

Il Servizio SignalR recupera il certificato e ne convalida il contenuto. Al termine, lo stato di provisioning del certificato sarà Completato.

Screenshot of an added custom certificate.

Creare un record CNAME di dominio personalizzato

È necessario creare un record CNAME per il dominio personalizzato in una zona DNS di Azure o con il servizio di registrazione di terze parti. Il record CNAME crea un alias dal dominio personalizzato al dominio predefinito di Servizio SignalR. Il Servizio SignalR usa il record per convalidare la proprietà del dominio personalizzato.

Ad esempio, se il dominio predefinito è contoso.service.signalr.nete il dominio personalizzato è contoso.example.com, è necessario creare un record CNAME in example.com.

Dopo aver creato il record CNAME, è possibile eseguire una ricerca DNS per visualizzare le informazioni CNAME. Ad esempio, l'output del comando linux dig (ricerca DNS) dovrebbe essere simile a questo output:

 contoso.example.com. 0 IN CNAME contoso.service.signalr.net.

Se si usa la zona DNS di Azure, vedere Gestire i record DNS per informazioni su come aggiungere un record CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Se si usano altri provider DNS, seguire la guida del provider per creare un record CNAME.

Aggiungere un dominio personalizzato

Aggiungere ora il dominio personalizzato al Servizio SignalR.

  1. Nella portale di Azure passare alla risorsa Servizio SignalR.

  2. Nel riquadro dei menu selezionare Dominio personalizzato.

  3. In Dominio personalizzato selezionare Aggiungi.

    Screenshot of custom domain management.

  4. Immettere un nome per il dominio personalizzato.

  5. Immettere il nome di dominio completo del dominio personalizzato, contoso.comad esempio .

  6. Selezionare un certificato personalizzato applicabile a questo dominio personalizzato.

  7. Selezionare Aggiungi.

    Screenshot of adding a custom domain.

Verificare un dominio personalizzato

Per verificare il dominio personalizzato, è possibile usare l'API di integrità. L'API di integrità è un endpoint pubblico che restituisce lo stato di integrità dell'istanza di Servizio SignalR. L'API di integrità è disponibile all'indirizzo https://<your custom domain>/api/health.

Ecco un esempio che usa cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK

Deve restituire 200 il codice di stato senza errori di certificato.

Accedere a Key Vault nella rete privata

Se è stato configurato un endpoint privato nell'insieme di credenziali delle chiavi, il Servizio SignalR non sarà in grado di accedere all'insieme di credenziali delle chiavi tramite una rete pubblica. È possibile concedere all'Servizio SignalR l'accesso all'insieme di credenziali delle chiavi tramite una rete privata creando un endpoint privato condiviso.

Dopo aver creato un endpoint privato condiviso, è possibile aggiungere un certificato personalizzato come descritto nella sezione aggiungere un certificato personalizzato al Servizio SignalR precedente.

Importante

Non è necessario modificare il dominio nell'URI dell'insieme di credenziali delle chiavi. Ad esempio, se l'URI di base dell'insieme di credenziali delle chiavi è https://contoso.vault.azure.net, si userà questo URI per configurare un certificato personalizzato.

Non è necessario consentire in modo esplicito Servizio SignalR indirizzi IP nelle impostazioni del firewall dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Diagnostica dei collegamenti privati di Key Vault.

Rotazione dei certificati

Se non si specifica una versione privata durante la creazione di un certificato personalizzato, Servizio Azure SignalR controlla periodicamente la versione più recente in Key Vault. Quando viene osservata una nuova versione, viene applicata automaticamente. Il ritardo è in genere entro 1 ora.

In alternativa, è anche possibile aggiungere un certificato personalizzato a una versione privata specifica in Key Vault. Quando è necessario applicare un nuovo certificato, è possibile modificare la versione del segreto e quindi aggiornare in modo proattivo il certificato personalizzato.

Pulizia

Se non si prevede di usare le risorse create in questo articolo, è possibile eliminare il gruppo di risorse.

Attenzione

L'eliminazione del gruppo di risorse elimina tutte le risorse contenute al suo interno. Se nel gruppo di risorse specificato sono presenti anche risorse diverse da quelle usate in questo articolo, verranno eliminate.

Passaggi successivi