Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: ✔️ Frontdoor Standard ✔️ Frontdoor Premium
Un dominio rappresenta un nome di dominio personalizzato usato da Frontdoor di Azure per ricevere il traffico dell'applicazione. Frontdoor di Azure supporta l'aggiunta di tre tipi di nomi di dominio:
-
I sottodomini sono il tipo più comune di nome di dominio personalizzato. Un sottodominio di esempio è
myapplication.contoso.com. -
I domini Apex non contengono un sottodominio. Un dominio Apex di esempio è
contoso.com. Per altre informazioni sull'uso di domini Apex con Frontdoor di Azure, vedere Domini Apex. -
I domini con caratteri jolly consentono la ricezione del traffico per qualsiasi sottodominio. Un dominio con caratteri jolly di esempio è
*.contoso.com. Per altre informazioni sull'uso di domini con caratteri jolly con Frontdoor di Azure, vedere Domini con caratteri jolly.
I domini vengono aggiunti al profilo Frontdoor di Azure. È possibile usare un dominio in più route all'interno di un endpoint, purché si usino percorsi diversi in ogni route.
Per informazioni su come aggiungere un dominio personalizzato al profilo Frontdoor di Azure, vedere Configurare un dominio personalizzato in Frontdoor di Azure usando il portale di Azure.
Configurazione del DNS
Quando si aggiunge un dominio al profilo Frontdoor di Azure, si configurano due record nel server DNS:
- Un record TXT DNS, necessario per convalidare la proprietà del nome di dominio. Per altre informazioni sui record TXT DNS, vedere Convalida del dominio.
- Un record CNAME DNS, che controlla il flusso del traffico Internet verso Frontdoor di Azure.
Suggerimento
È possibile aggiungere un nome di dominio al profilo Frontdoor di Azure prima di apportare modifiche al DNS. Questo approccio può essere utile se è necessario impostare simultaneamente la configurazione di Frontdoor di Azure o se si dispone di un team distinto che modifica i record DNS.
È anche possibile aggiungere il record TXT DNS per convalidare la proprietà del dominio prima di aggiungere il record CNAME per controllare il flusso del traffico. Questo approccio può essere utile per evitare tempi di inattività durante la migrazione se si dispone già di un'applicazione in produzione.
Convalida del dominio
Tutti i domini aggiunti a Frontdoor di Azure devono essere convalidati. La convalida protegge dal rischio di eseguire accidentalmente configurazioni errate e consente anche di proteggere altri utenti dallo spoofing del dominio. In alcuni scenari, i domini possono essere pre-convalidati da un altro servizio di Azure. In caso contrario, è necessario seguire il processo di convalida del dominio di Frontdoor di Azure per dimostrare la proprietà del nome di dominio.
I domini pre-convalidati di Azure sono domini convalidati da un altro servizio di Azure supportato. Se si eseguono l'onboarding e la convalida di un dominio in un altro servizio di Azure e quindi si configura Frontdoor di Azure in un secondo momento, è possibile usare un dominio pre-convalidato. Quando si usa questo tipo di dominio, non è necessario convalidare il dominio tramite Frontdoor di Azure.
Note
Frontdoor di Azure attualmente accetta solo domini pre-convalidati che sono stati configurati con App Web statiche di Azure.
I domini non convalidati da Azure sono domini non convalidati da un servizio di Azure supportato. Questo tipo di dominio può essere ospitato con qualsiasi servizio DNS, incluso DNS di Azure, e richiede che la proprietà del dominio sia convalidata da Frontdoor di Azure.
Convalida del record TXT
Per convalidare un dominio, è necessario creare un record TXT DNS. Il nome del record TXT deve essere nel formato _dnsauth.{subdomain}. Frontdoor di Azure fornisce un valore univoco per il record TXT quando si inizia ad aggiungere il dominio a Frontdoor di Azure.
Si supponga, ad esempio, di voler usare il sottodominio myapplication.contoso.com personalizzato con Frontdoor di Azure. Prima di tutto, è necessario aggiungere il dominio al profilo Frontdoor di Azure e prendere nota del valore del record TXT da usare. È quindi necessario configurare un record DNS con le proprietà seguenti:
| Proprietà | valore |
|---|---|
| Nome del record | _dnsauth.myapplication |
| Valore del record | usare il valore fornito da Frontdoor di Azure |
| Durata (TTL) | 1 ora |
Una volta convalidato il dominio, è possibile eliminare in modo sicuro il record TXT dal server DNS.
Per altre informazioni sull'aggiunta di un record TXT DNS per un dominio personalizzato, vedere Configurare un dominio personalizzato in Frontdoor di Azure usando il portale di Azure.
Stati di convalida del dominio
Nella tabella seguente sono elencati gli stati di convalida che potrebbero essere visualizzati in un dominio.
| Stato di convalida del dominio | Descrizione e azioni |
|---|---|
| Invio | È in corso la creazione del dominio personalizzato. Attendere che la risorsa di dominio sia pronta. |
| In sospeso | Il valore del record TXT DNS è stato generato e Frontdoor di Azure è pronto per l'aggiunta del record TXT DNS. Aggiungere il record TXT DNS al provider DNS e attendere il completamento della convalida. Se lo stato rimane In sospeso anche dopo l'aggiornamento del record TXT con il provider DNS, selezionare Rigenera per aggiornare il record TXT, quindi aggiungere nuovamente il record TXT al provider DNS. |
| Riconvalida in sospeso | Il certificato gestito scade tra meno di 45 giorni. Se è già presente un record CNAME che punta all'endpoint di Frontdoor di Azure, non è necessaria alcuna azione per il rinnovo del certificato. Se il dominio personalizzato punta a un altro record CNAME, selezionare lo stato Rivalutazione in sospeso, quindi scegliere Rigenera nella pagina Convalidare il dominio personalizzato. Infine, selezionare Aggiungi se si usa DNS di Azure o aggiungere manualmente il record TXT con la gestione DNS del proprio provider DNS. |
| Aggiornamento del token di convalida | Un dominio passa allo stato Aggiornamento del token di convalida per un breve periodo dopo che è stato selezionato il pulsante Rigenera. Una volta generato un nuovo valore di record TXT, lo stato diventa In sospeso. Non è richiesta alcuna azione. |
| Approved | Il dominio è stato convalidato correttamente e Frontdoor di Azure può accettare il traffico che usa questo dominio. Non è richiesta alcuna azione. |
| Rifiutato | Il provider o l'autorità di certificazione ha rifiutato il rilascio del certificato gestito. Ad esempio, il nome di dominio potrebbe non essere valido. Selezionare il collegamento Rifiutato e quindi Rigenera nella pagina Convalidare il dominio personalizzato, come illustrato negli screenshot sotto questa tabella. Selezionare quindi Aggiungi per aggiungere il record TXT nel provider DNS. |
| Interruzione temporanea | Il record TXT non è stato aggiunto al provider DNS entro sette giorni oppure è stato aggiunto un record TXT DNS non valido. Selezionare il collegamento Timeout e quindi Rigenera nella pagina Convalidare il dominio personalizzato. Selezionare quindi Aggiungi per aggiungere un nuovo record TXT al provider DNS. Assicurarsi di usare il valore aggiornato. |
| Errore interno | Si è verificato un errore sconosciuto. Ripetere la convalida selezionando il pulsante Aggiorna o Rigenera. Se il problema persiste, inviare una richiesta di supporto al supporto tecnico di Azure. |
Note
- Il valore TTL predefinito per i record TXT è 1 ora. Quando è necessario rigenerare il record TXT per la riconvalida, prestare attenzione al TTL per il record TXT precedente. Se non scade, la convalida avrà esito negativo fino alla scadenza del record TXT precedente.
- Se il pulsante Rigenera non funziona, eliminare e ricreare il dominio.
- Se lo stato del dominio non è quello previsto, selezionare il pulsante Aggiorna.
HTTPS per domini personalizzati
Usando il protocollo HTTPS nel dominio personalizzato, ci si assicura che i dati sensibili vengano recapitati in modo sicuro con crittografia TLS/SSL in caso di invio su Internet. Quando un client, come un browser Web, è connesso a un sito Web tramite HTTPS, il client convalida il certificato di sicurezza del sito Web e verifica che sia stato emesso da un'autorità di certificazione legittima. Questo processo offre sicurezza e protezione delle applicazioni Web da attacchi.
Frontdoor di Azure supporta l'uso di HTTPS con i propri domini ed esegue l'offload della gestione dei certificati TLS (Transport Layer Security) dai server di origine. Con i domini personalizzati, è possibile usare i certificati TLS gestiti da Azure (scelta consigliata) o acquistare e usare i propri certificati TLS.
Per altre informazioni sul funzionamento di Frontdoor di Azure con TLS, vedere TLS end-to-end con Frontdoor di Azure.
Certificati TLS gestiti da Frontdoor di Azure
Frontdoor di Azure può gestire automaticamente i certificati TLS per sottodomini e domini Apex. Quando si usano certificati gestiti, non è necessario creare chiavi o richieste di firma del certificato e non è necessario caricare, archiviare o installare i certificati. Inoltre, Frontdoor di Azure può ruotare (rinnovare) automaticamente i certificati gestiti senza alcun intervento umano. Questo processo evita i tempi di inattività causati da un errore durante il rinnovo dei certificati TLS.
Il completamento del processo di generazione, rilascio e installazione di un certificato TLS gestito può richiedere da diversi minuti a un'ora e in alcuni casi può durare più tempo.
Note
I certificati gestiti di Frontdoor di Azure (Standard e Premium) vengono ruotati automaticamente se il record CNAME del dominio punta direttamente a un endpoint di Frontdoor. In caso contrario, è necessario convalidare nuovamente la proprietà del dominio per ruotare i certificati.
Tipi di dominio
La tabella seguente riepiloga le funzionalità disponibili con i certificati TLS gestiti quando si usano diversi tipi di domini:
| Considerazioni | Sottodominio | Dominio Apex | Dominio con caratteri jolly |
|---|---|---|---|
| Certificati TLS gestiti disponibili | Sì | Sì | NO |
| I certificati TLS gestiti vengono ruotati automaticamente | Sì | Vedere di seguito | NO |
Quando si usano i certificati TLS gestiti da Frontdoor di Azure con domini Apex, la rotazione automatica dei certificati potrebbe richiedere la riconvalida della proprietà del dominio. Per altre informazioni, vedere Domini Apex in Frontdoor di Azure.
Rilascio di certificati gestiti
I certificati di Frontdoor di Azure vengono rilasciati dall'autorità di certificazione partner DigiCert. Per alcuni domini, è necessario acconsentire in modo esplicito a DigiCert come autorità di certificazione creando un record di dominio CAA con il valore: 0 issue digicert.com.
Azure gestisce completamente i certificati per conto dell’utente. Pertanto, qualsiasi aspetto del certificato gestito, come l’autorità di certificazione radice, può cambiare in qualsiasi momento. Queste modifiche esulano dal controllo dell’utente. Assicurarsi di evitare rigide dipendenze dagli aspetti di un certificato gestito, come la verifica dell'identificazione personale del certificato o l'associazione del certificato gestito o di qualsiasi parte della gerarchia di certificati. Per aggiungere certificati, è consigliabile usare un certificato TLS gestito dal cliente, come illustrato nella sezione successiva.
Certificati TLS gestiti dal cliente
In alcuni casi, potrebbe essere necessario fornire i propri certificati TLS. Gli scenari comuni per fornire i propri certificati includono:
- L'organizzazione richiede l'uso di certificati rilasciati da un'autorità di certificazione specifica.
- Si vuole che Azure Key Vault rilasci il certificato usando un'autorità di certificazione partner.
- È necessario usare un certificato TLS riconosciuto da un'applicazione client.
- È necessario usare lo stesso certificato TLS in più sistemi.
- Si usano domini con caratteri jolly. Frontdoor di Azure non fornisce certificati gestiti per i domini con caratteri jolly.
Note
- A partire da settembre 2023, Frontdoor di Azure supporta Bring Your Own Certificates (BYOC) per la convalida della proprietà del dominio. Frontdoor approva la proprietà del dominio se il nome del certificato o il nome alternativo del soggetto del certificato corrisponde al dominio personalizzato. Se si seleziona il certificato gestito da Azure, la convalida del dominio usa il record TXT DNS.
- Per i domini personalizzati creati prima della convalida basata su BYOC e lo stato di convalida del dominio non è Approvato, è necessario attivare l'approvazione automatica della convalida della proprietà del dominio selezionando lo stato di convalida e facendo clic sul pulsante Revalidate nel portale. Se si usa lo strumento da riga di comando, è possibile attivare la convalida del dominio inviando una richiesta PATCH vuota all'API di dominio.
Requisiti per i certificati
Per usare il certificato con Frontdoor di Azure, è necessario soddisfare i requisiti seguenti:
- Catena di certificati completa: quando si crea il certificato TLS/SSL, è necessario creare una catena di certificati completa con un'autorità di certificazione (CA) consentita che faccia parte dell'elenco delle CA attendibili di Microsoft. Se si usa una CA non consentita, la richiesta viene rifiutata. La CA radice deve far parte dell'elenco delle CA attendibili di Microsoft. Se viene presentato un certificato senza catena completa, le richieste che coinvolgono tale certificato non funzioneranno necessariamente come previsto.
- Nome comune: il nome comune del certificato deve corrispondere al dominio configurato in Frontdoor di Azure.
- Algoritmo: Frontdoor di Azure non supporta i certificati con algoritmi di crittografia a curva ellittica.
-
Tipo di file (contenuto): il certificato deve essere caricato nell'insieme di credenziali delle chiavi da un file PFX, che usa il tipo di contenuto
application/x-pkcs12.
Importare un certificato in Azure Key Vault
I certificati TLS personalizzati devono essere importati in Azure Key Vault prima di poterli usare con Frontdoor di Azure. Per informazioni su come importare un certificato in un insieme di credenziali delle chiavi, vedere Esercitazione: Importare un certificato in Azure Key Vault.
L'insieme di credenziali delle chiavi deve trovarsi nella stessa sottoscrizione di Azure del profilo Frontdoor di Azure.
Avviso
Frontdoor di Azure supporta solo gli insiemi di credenziali delle chiavi nella stessa sottoscrizione del profilo Frontdoor. La scelta di un insieme di credenziali delle chiavi in una sottoscrizione diversa dal proprio profilo Frontdoor di Azure genererà un errore.
I certificati devono essere caricati come oggetto certificato e non come segreto.
Concedere l'accesso a Frontdoor di Azure
Frontdoor di Azure deve accedere all'insieme di credenziali delle chiavi per leggere il certificato. Per l'insieme di credenziali è necessario configurare sia il firewall di rete che il controllo di accesso.
Se l'insieme di credenziali delle chiavi ha restrizioni di accesso alla rete abilitate, è necessario configurare l'insieme di credenziali delle chiavi per consentire ai servizi Microsoft attendibili di ignorare il firewall.
Esistono due modi per configurare il controllo di accesso nell'insieme di credenziali delle chiavi:
- Frontdoor di Azure può usare un'identità gestita per accedere all'insieme di credenziali delle chiavi. È possibile usare questo approccio quando l'insieme di credenziali delle chiavi usa l'autenticazione Microsoft Entra. Per altre informazioni, vedere Usare le identità gestite con Frontdoor di Azure Standard/Premium.
- In alternativa, è possibile concedere all'entità servizio di Frontdoor di Azure l'accesso all'insieme di credenziali delle chiavi. È possibile usare questo approccio quando si usano i criteri di accesso all'insieme di credenziali.
Aggiungere il certificato personalizzato a Frontdoor di Azure
Dopo aver importato il certificato in un insieme di credenziali delle chiavi, creare una risorsa per il segreto di Frontdoor di Azure, ovvero un riferimento al certificato aggiunto all'insieme di credenziali delle chiavi.
Configurare quindi il dominio per l'uso del segreto di Frontdoor di Azure per il certificato TLS.
Per una procedura guidata di questi passaggi, vedere Configurare HTTPS in un dominio personalizzato di Frontdoor di Azure usando il portale di Azure.
Passare da un tipo di certificato all'altro
È possibile modificare un dominio in modo che usi un certificato gestito da Frontdoor di Azure o uno gestito dall'utente.
- Quando si passa da un tipo di certificato all'altro, la distribuzione del nuovo certificato può richiedere fino a un'ora.
- Se lo stato del dominio è Approvato, il passaggio da un certificato gestito dall'utente a un certificato gestito non causerà tempi di inattività.
- Quando si passa a un certificato gestito, Frontdoor di Azure continua a usare il certificato precedente finché la proprietà del dominio non viene riconvalidata e lo stato del dominio diventa Approvato.
- Se si passa da BYOC al certificato gestito, è necessario riconvalidare il dominio. Se si passa dal certificato gestito a BYOC, non è necessario riconvalidare il dominio.
Rinnovo del certificato
Rinnovare i certificati gestiti da Frontdoor di Azure
Per la maggior parte dei domini personalizzati, Frontdoor di Azure rinnova (ruota) automaticamente i certificati gestiti quando sono prossimi alla scadenza, senza che sia necessario eseguire alcuna operazione.
Tuttavia, Frontdoor di Azure non ruota automaticamente i certificati negli scenari seguenti:
- Il record CNAME del dominio personalizzato punta a un record DNS diverso dal dominio dell'endpoint di Frontdoor di Azure.
- Il dominio personalizzato punta all'endpoint di Frontdoor di Azure tramite una catena.
- Il dominio personalizzato usa un record A. È consigliabile usare sempre un record CNAME per puntare a Frontdoor di Azure.
- Il dominio personalizzato è un dominio Apex e usa l'appiattimento CNAME.
Se uno degli scenari precedenti si applica al dominio personalizzato, lo stato di convalida del dominio diventa Riconvalida in sospeso 45 giorni prima della scadenza del certificato gestito. Lo stato Riconvalida in sospeso indica che è necessario creare un nuovo record TXT DNS per riconvalidare la proprietà del dominio.
Note
I record TXT DNS scadono dopo sette giorni. Se un record TXT di convalida del dominio è stato aggiunto in precedenza al server DNS, è necessario sostituirlo con un nuovo record TXT. Assicurarsi di usare il nuovo valore. In caso contrario, il processo di convalida del dominio avrà esito negativo.
Se il dominio non può essere convalidato, lo stato di convalida del dominio diventa Rifiutato. Questo stato indica che l'autorità di certificazione ha rifiutato la richiesta di nuovo rilascio di un certificato gestito.
Per altre informazioni sugli stati di convalida del dominio, vedere Stati di convalida del dominio.
Rinnovare i certificati gestiti da Azure per i domini pre-convalidati da altri servizi di Azure
I certificati gestiti da Azure vengono ruotati automaticamente dal servizio di Azure che convalida il dominio.
Rinnovare i certificati TLS gestiti dal cliente
Quando si aggiorna il certificato nell'insieme di credenziali delle chiavi, Frontdoor di Azure può rilevare e usare automaticamente il certificato aggiornato. Per consentire il funzionamento di questa funzionalità, impostare la versione del segreto su "Più recente" quando si configura il certificato in Frontdoor di Azure.
Se si seleziona una versione specifica del certificato, è necessario riselezionare la nuova versione manualmente quando si aggiorna il certificato.
Sono necessarie fino a 72 ore per la distribuzione automatica della nuova versione del certificato/segreto.
Se si vuole modificare la versione del segreto da "Più recente" a una versione specificata o viceversa, aggiungere un nuovo certificato.
Criteri di sicurezza
È possibile usare Web application firewall (WAF) di Frontdoor di Azure per rilevare eventuali minacce nelle richieste all'applicazione e applicare altri requisiti di sicurezza.
Per usare WAF con un dominio personalizzato, usare una risorsa dei criteri di sicurezza di Frontdoor di Azure. Un criterio di sicurezza associa un dominio a un criterio WAF. Facoltativamente, è possibile creare più criteri di sicurezza in modo da usare criteri WAF diversi con domini diversi.
Contenuti correlati
- Per informazioni su come aggiungere un dominio personalizzato al profilo Frontdoor di Azure, vedere Configurare un dominio personalizzato in Frontdoor di Azure usando il portale di Azure.
- Altre informazioni sul funzionamento di TLS end-to-end con Frontdoor di Azure.