Questo articolo illustra come abilitare HTTPS per un dominio personalizzato associato alla frontdoor (versione classica). L'uso di HTTPS nel dominio personalizzato (ad esempio, https://www.contoso.com) garantisce la trasmissione sicura dei dati tramite la crittografia TLS/SSL. Quando un Web browser si connette a un sito Web tramite HTTPS, convalida il certificato di sicurezza del sito Web e ne verifica la legittimità, fornendo sicurezza e proteggendo le applicazioni Web da attacchi dannosi.
Frontdoor di Azure supporta HTTPS per impostazione predefinita nel nome host predefinito , ad esempio https://contoso.azurefd.net. Tuttavia, è necessario abilitare HTTPS separatamente per domini personalizzati come www.contoso.com.
Gli attributi chiave della funzionalità HTTPS personalizzata includono:
Nessun costo aggiuntivo: nessun costo per l'acquisizione, il rinnovo o il traffico HTTPS del certificato.
Abilitazione semplice: provisioning con selezione singola tramite il portale di Azure, l'API REST o altri strumenti di sviluppo.
Gestione completa dei certificati: approvvigionamento e rinnovo automatici dei certificati, eliminando il rischio di interruzione del servizio a causa di certificati scaduti.
Per abilitare HTTPS in un dominio personalizzato di Frontdoor (versione classica), è necessario un certificato TLS/SSL. È possibile usare un certificato gestito da Frontdoor di Azure o dal proprio certificato.
Opzione 1 (predefinita): Usare un certificato gestito da Frontdoor
L'uso di un certificato gestito da Frontdoor di Azure consente di abilitare HTTPS con alcune modifiche alle impostazioni. Frontdoor di Azure gestisce tutte le attività di gestione dei certificati, inclusi l'approvvigionamento e il rinnovo. Se il dominio personalizzato è già mappato all'host front-end predefinito di Frontdoor ({hostname}.azurefd.net), non sono necessarie altre azioni. In caso contrario, è necessario convalidare la proprietà del dominio tramite posta elettronica.
Il limite di 64 caratteri di DigiCert viene applicato per i certificati gestiti da Frontdoor di Azure. La convalida avrà esito negativo se questo limite viene superato.
L'abilitazione di HTTPS tramite il certificato gestito di Frontdoor non è supportata per i domini apex/root , ad esempio contoso.com. Usare il proprio certificato per questo scenario (vedere Opzione 2).
Opzione 2: Usare il certificato personale
È possibile usare il proprio certificato tramite un'integrazione con Azure Key Vault. Verificare che il certificato provena da un elenco ca attendibile Microsoft e abbia una catena di certificati completa.
Preparare l’insieme di credenziali delle chiavi di Azure e il certificato
Creare un account dell'insieme di credenziali delle chiavi nella stessa sottoscrizione di Azure di Frontdoor.
Configurare l'insieme di credenziali delle chiavi per consentire ai servizi Microsoft attendibili di ignorare il firewall se sono abilitate le restrizioni di accesso alla rete.
Usare il modello di autorizzazione dei criteri di accesso di Key Vault.
Caricare il certificato come oggetto certificato , non come segreto.
Nota
Frontdoor non supporta i certificati con algoritmi di crittografia a curva ellittica (EC). Il certificato deve avere una catena di certificati completa con certificati foglia e intermedi e l'autorità di certificazione radice deve far parte dell'elenco di autorità di certificazione attendibili Microsoft.
Registrare il servizio Frontdoor di Azure
Registrare l'entità servizio Frontdoor di Azure nell'ID Microsoft Entra usando Azure PowerShell o l'interfaccia della riga di comando di Azure.
az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
Concedere al servizio Frontdoor di Azure l'accesso all'insieme di credenziali delle chiavi
Nell'account dell'insieme di credenziali delle chiavi selezionare Criteri di accesso.
Selezionare Crea per creare un nuovo criterio di accesso.
In Autorizzazioni segrete selezionare Recupera.
In Autorizzazioni certificato selezionare Recupera.
In Select principal (Seleziona entità) cercare ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 e selezionare Microsoft.Azure.Frontdoor. Selezionare Avanti.
Selezionare Avanti in Applicazione.
Selezionare Crea in Rivedi e crea.
Nota
Se l'insieme di credenziali delle chiavi presenta restrizioni di accesso alla rete, consentire agli servizi Microsoft attendibili di accedere all'insieme di credenziali delle chiavi.
Selezionare il certificato per Frontdoor di Azure da distribuire
Tornare alla frontdoor nel portale.
Selezionare il dominio personalizzato per il quale si vuole abilitare HTTPS.
In Tipo di gestione certificati selezionare Usa il certificato personale.
Selezionare un insieme di credenziali delle chiavi, un segreto e una versione del segreto.
Nota
Per abilitare la rotazione automatica dei certificati, impostare la versione privata su 'Latest'. Se è selezionata una versione specifica, è necessario aggiornarla manualmente per la rotazione dei certificati.
Avviso
Verificare che l'entità servizio disponga dell'autorizzazione GET per Key Vault. Per visualizzare il certificato nell'elenco a discesa del portale, l'account utente deve disporre delle autorizzazioni LIST e GET per Key Vault.
Quando si usa il proprio certificato, la convalida del dominio non è necessaria. Passare ad Attendere la propagazione.
Se il record CNAME è corretto, DigiCert verifica automaticamente il dominio personalizzato e crea un certificato dedicato. Il certificato è valido per un anno e si rinnova automaticamente prima della scadenza. Continuare con Attendere la propagazione.
Nota
Se si ha un record di autorizzazione dell'autorità di certificazione (CAA, Certificate Authority Authorization) con il provider DNS, il record deve includere DigiCert come CA valida. Per altre informazioni, vedere Gestire record CAA.
Il dominio personalizzato non è mappato alla frontdoor
Se la voce di record CNAME per l'endpoint non esiste più o contiene il sottodominio afdverify, seguire queste istruzioni.
Dopo aver abilitato HTTPS nel dominio personalizzato, DigiCert convalida la proprietà contattando il registrante del dominio tramite posta elettronica o telefono elencato nella registrazione WHOIS. È necessario completare la convalida del dominio entro sei giorni lavorativi. La convalida del dominio DigiCert funziona a livello di sottodominio.
DigiCert invia anche un messaggio di posta elettronica di verifica agli indirizzi seguenti se le informazioni sul registrante WHOIS sono private:
admin@<nome-dominio.com>
administrator@<nome-dominio.com>
webmaster@<nome-dominio.com>
hostmaster@<nome-dominio.com>
postmaster@<nome-dominio.com>
Si dovrebbe ricevere un messaggio di posta elettronica in cui viene chiesto di approvare la richiesta. Se non si riceve un messaggio di posta elettronica entro 24 ore, contattare il supporto tecnico Microsoft.
Dopo l'approvazione, DigiCert completa la creazione del certificato. Il certificato è valido per un anno e autorenews se il record CNAME è mappato al nome host predefinito di Frontdoor di Azure.
Nota
Il rinnovo automatico del certificato gestito richiede che il dominio personalizzato venga mappato direttamente al nome host predefinito di Frontdoor azurefd.net da un record CNAME.
Attendere la propagazione
Dopo la convalida del dominio, l'attivazione della funzionalità HTTPS del dominio personalizzato può richiedere fino a 6-8 ore. Al termine, lo stato HTTPS personalizzato nella portale di Azure è impostato su Abilitato.
Avanzamento dell'operazione
La tabella seguente illustra lo stato dell'operazione durante l'abilitazione di HTTPS:
Passaggio dell'operazione
Dettagli del passaggio secondario dell'operazione
1. Invio della richiesta
Invio della richiesta
La richiesta HTTPS è in fase di invio.
La richiesta HTTPS è stata inviata correttamente.
2. Convalida del dominio
Il dominio viene convalidato automaticamente se CNAME è mappato all'host front-end predefinito azurefd.net. In caso contrario, una richiesta di verifica viene inviata all'indirizzo di posta elettronica elencato nel record di registrazione del dominio (registrante WHOIS). Verificare il dominio non appena possibile.
La proprietà del dominio è stata convalidata correttamente.
La richiesta di convalida della proprietà del dominio è scaduta (il cliente probabilmente non ha risposto entro sei giorni). HTTPS non è abilitato nel dominio. *
La richiesta di convalida della proprietà del dominio è stata rifiutata dal cliente. HTTPS non è abilitato nel dominio. *
3. Provisioning del certificato
L'autorità di certificazione rilascia il certificato necessario per abilitare HTTPS nel dominio.
Il certificato è stato emesso e viene distribuito per frontdoor. Questo processo può richiedere alcuni minuti a un'ora.
Il certificato è stato distribuito correttamente per frontdoor.
4. Operazione completata
HTTPS è stato abilitato correttamente nel dominio.
* Questo messaggio viene visualizzato solo se si verifica un errore.
Se si verifica un errore prima dell'invio della richiesta, viene visualizzato il messaggio di errore seguente:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Domande frequenti
Chi è il provider di certificati e quale tipo di certificato viene usato?
Un certificato dedicato/singolo, fornito da DigiCert, viene usato per il dominio personalizzato.
Viene usata una configurazione TLS/SSL basata su IP o su SNI?
Il servizio Frontdoor di Azure usa SNI TLS/SSL.
Cosa accade se non si riceve il messaggio di verifica del dominio da DigiCert?
Se si dispone di una voce CNAME per il dominio personalizzato che punta direttamente al nome host dell'endpoint e non si usa il nome del sottodominio afdverify, non si riceve un messaggio di posta elettronica di verifica del dominio. La convalida viene eseguita automaticamente. In caso contrario, se non si ha una voce CNAME e non si riceve un messaggio di posta elettronica entro 24 ore, contattare il supporto tecnico Microsoft.
L'uso di un certificato SAN è meno sicuro rispetto a un certificato dedicato?
Un certificato SAN applica gli stessi standard di crittografia e sicurezza di un certificato dedicato. Tutti i certificati TLS/SSL emessi usano l'algoritmo SHA-256 per la protezione avanzata dei server.
È necessario avere un record di autorizzazione dell'autorità di certificazione presso il provider DNS?
No, attualmente non è obbligatorio un record CAA (Certificate Authority Authorization). Se tuttavia se ne ha uno, deve includere DigiCert come CA valida.
Pulire le risorse
Per disabilitare HTTPS nel dominio personalizzato:
Selezionare il dominio personalizzato per il quale si vuole disabilitare HTTPS.
Selezionare Disabilitato e selezionare Salva.
Attendere la propagazione
Dopo aver disabilitato la funzionalità HTTPS del dominio personalizzato, possono essere necessarie fino a 6-8 ore. Al termine, lo stato HTTPS personalizzato nella portale di Azure è impostato su Disabilitato.
Avanzamento dell'operazione
La tabella seguente illustra lo stato dell'operazione durante la disabilitazione di HTTPS:
Frontdoor di Azure offre una rete cloud per la distribuzione dei contenuti moderna, veloce, affidabile e sicura, integrata con la protezione intelligente dalle minacce.
Dimostrare di possedere le competenze necessarie per implementare i controlli di sicurezza, gestire la postura di sicurezza di un'organizzazione e identificare e correggere le vulnerabilità della sicurezza.
