Configurare HTTPS in un dominio personalizzato di Frontdoor di Azure (versione classica)

Si applica a: ✔️ Frontdoor (versione classica)

Importante

Frontdoor di Azure (classico) verrà ritirato il 31 marzo 2027. Per evitare interruzioni del servizio, è importante migrare i tuoi profili Azure Front Door (classico) al livello Azure Front Door Standard o Premium entro marzo 2027. Per altre informazioni, vedere Ritiro di Frontdoor di Azure (classico).

Questo articolo illustra come abilitare HTTPS per un dominio personalizzato associato alla frontdoor (versione classica). L'uso di HTTPS nel dominio personalizzato (ad esempio, https://www.contoso.com) garantisce la trasmissione sicura dei dati tramite la crittografia TLS/SSL. Quando un Web browser si connette a un sito Web tramite HTTPS, convalida il certificato di sicurezza del sito Web e ne verifica la legittimità, fornendo sicurezza e proteggendo le applicazioni Web da attacchi dannosi.

Frontdoor di Azure supporta HTTPS per impostazione predefinita nel nome host predefinito , ad esempio https://contoso.azurefd.net. Tuttavia, è necessario abilitare HTTPS separatamente per domini personalizzati come www.contoso.com.

Gli attributi chiave della funzionalità HTTPS personalizzata includono:

• Nessun costo aggiuntivo: nessun costo per l'acquisizione, il rinnovo o il traffico HTTPS del certificato.
• Abilitazione semplice: provisioning con selezione singola tramite il portale di Azure, l'API REST o altri strumenti di sviluppo.
• Gestione completa dei certificati: approvvigionamento e rinnovo automatici dei certificati, eliminando il rischio di interruzione del servizio a causa di certificati scaduti.

Questa esercitazione apprendi come:

• Abilitare HTTPS nel dominio personalizzato.
• Usare un certificato gestito da AFD.
• Usare il proprio certificato TLS/SSL.
• Convalidare il dominio
• Disabilitare HTTPS nel dominio personalizzato.

Prerequisiti

PowerShell

• Un account Azure con una sottoscrizione attiva. Creare un account gratuito.

• Azure Front Door con almeno un dominio personalizzato registrato. Per altre informazioni, vedere Esercitazione: Aggiungere un dominio personalizzato alla frontdoor.

• Azure Cloud Shell o Azure PowerShell per registrare il servizio principale di Front Door nel tuo Microsoft Entra ID quando usando il proprio certificato.

  I passaggi descritti in questo articolo eseguono i cmdlet di Azure PowerShell in modo interattivo in Azure Cloud Shell. Per eseguire i cmdlet in Cloud Shell, selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. Selezionare Copia per copiare il codice e incollarlo in Cloud Shell per eseguirlo. È anche possibile eseguire Cloud Shell dal portale di Azure.

  È anche possibile installare Azure PowerShell in locale per eseguire i cmdlet. Se si esegue PowerShell in locale, accedere ad Azure usando il cmdlet Connect-AzAccount.

Interfaccia della riga di comando di Azure

• Un account Azure con una sottoscrizione attiva. Creare un account gratuito.

• Azure Front Door con almeno un dominio personalizzato registrato. Per altre informazioni, vedere Esercitazione: Aggiungere un dominio personalizzato alla frontdoor.

• Azure Cloud Shell o l'interfaccia della riga di comando di Azure per registrare l'entità servizio Frontdoor nell'ID Microsoft Entra quando si usa il proprio certificato.

  I passaggi descritti in questo articolo eseguono i comandi dell'interfaccia della riga di comando di Azurel in modo interattivo in Azure Cloud Shell. Per eseguire i comandi in Cloud Shell, selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. Selezionare Copia per copiare il codice e incollarlo in Cloud Shell per eseguirlo. È anche possibile eseguire Cloud Shell dal portale di Azure.

  È anche possibile installare l'interfaccia della riga di comando di Azure in locale per eseguire i comandi. Se esegui il CLI di Azure in locale, effettua l'accesso ad Azure usando il comando az login.

Certificati TLS/SSL

Per abilitare HTTPS in un dominio personalizzato di Frontdoor (versione classica), è necessario un certificato TLS/SSL. È possibile usare un certificato gestito da Frontdoor di Azure o dal proprio certificato.

Opzione 1 (predefinita): Usare un certificato gestito da Frontdoor

L'uso di un certificato gestito da Frontdoor di Azure consente di abilitare HTTPS con alcune modifiche alle impostazioni. Frontdoor di Azure gestisce tutte le attività di gestione dei certificati, inclusi l'approvvigionamento e il rinnovo. Se il dominio personalizzato è già mappato all'host front-end predefinito di Frontdoor ({hostname}.azurefd.net), non sono necessarie altre azioni. In caso contrario, è necessario convalidare la proprietà del dominio tramite posta elettronica.

Per abilitare HTTPS in un dominio personalizzato:

1. Nella portale di Azure passare al profilo frontdoor.

2. Selezionare il dominio personalizzato per cui si vuole abilitare HTTPS dall'elenco di host front-end.

3. In Dominio personalizzato HTTPS selezionare Abilitato e scegliere Frontdoor gestito come origine del certificato.

4. Seleziona Salva.

5. Procedere a Convalidare il dominio.

Nota

• Il limite di 64 caratteri di DigiCert viene applicato per i certificati gestiti da Frontdoor di Azure. La convalida avrà esito negativo se questo limite viene superato.
• L'abilitazione di HTTPS tramite il certificato gestito di Frontdoor non è supportata per i domini apex/root , ad esempio contoso.com. Usare il proprio certificato per questo scenario (vedere Opzione 2).

Opzione 2: Usare il certificato personale

È possibile usare il proprio certificato tramite un'integrazione con Azure Key Vault. Verificare che il certificato provena da un elenco ca attendibile Microsoft e abbia una catena di certificati completa.

Preparare l’insieme di credenziali delle chiavi di Azure e il certificato

• Creare un account dell'insieme di credenziali delle chiavi nella stessa sottoscrizione di Azure di Frontdoor.
• Configurare l'insieme di credenziali delle chiavi per consentire ai servizi Microsoft attendibili di ignorare il firewall se sono abilitate le restrizioni di accesso alla rete.
• Usare il modello di autorizzazione dei criteri di accesso di Key Vault.
• Caricare il certificato come oggetto certificato , non come segreto.

Nota

Frontdoor non supporta i certificati con algoritmi di crittografia a curva ellittica (EC). Il certificato deve avere una catena di certificati completa con certificati foglia e intermedi e l'autorità di certificazione radice deve far parte dell'elenco di autorità di certificazione attendibili Microsoft.

Registrare il servizio Frontdoor di Azure

Registrare l'entità servizio Frontdoor di Azure nell'ID Microsoft Entra usando Azure PowerShell o l'interfaccia della riga di comando di Azure.

PowerShell

Usare il cmdlet New-AzADServicePrincipal per registrare l'entità servizio Frontdoor nell'ID Microsoft Entra.

New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"

Interfaccia della riga di comando di Azure

Usare az-ad-sp create per registrare il servizio principale Front Door nell'ID Microsoft Entra.

az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Concedere al servizio Frontdoor di Azure l'accesso all'insieme di credenziali delle chiavi

1. Nell'account dell'insieme di credenziali delle chiavi selezionare Criteri di accesso.

2. Selezionare Crea per creare un nuovo criterio di accesso.

3. In Autorizzazioni segrete selezionare Recupera.

4. In Autorizzazioni certificato selezionare Recupera.

5. In Select principal (Seleziona entità) cercare ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 e selezionare Microsoft.Azure.Frontdoor. Selezionare Avanti.

6. Selezionare Avanti in Applicazione.

7. Selezionare Crea in Rivedi e crea.

Nota

Se l'insieme di credenziali delle chiavi presenta restrizioni di accesso alla rete, consentire agli servizi Microsoft attendibili di accedere all'insieme di credenziali delle chiavi.

Selezionare il certificato per Frontdoor di Azure da distribuire

1. Tornare alla frontdoor nel portale.

2. Selezionare il dominio personalizzato per il quale si vuole abilitare HTTPS.

3. In Tipo di gestione certificati selezionare Usa il certificato personale.

4. Selezionare un insieme di credenziali delle chiavi, un segreto e una versione del segreto.

   Nota

   Per abilitare la rotazione automatica dei certificati, impostare la versione privata su 'Latest'. Se è selezionata una versione specifica, è necessario aggiornarla manualmente per la rotazione dei certificati.

   Avviso

   Verificare che l'entità servizio disponga dell'autorizzazione GET per Key Vault. Per visualizzare il certificato nell'elenco a discesa del portale, l'account utente deve disporre delle autorizzazioni LIST e GET per Key Vault.

5. Quando si usa il proprio certificato, la convalida del dominio non è necessaria. Passare ad Attendere la propagazione.

Convalidare il dominio

Se il record CNAME esiste ancora e non contiene il sottodominio, DigiCert convalida automaticamente la afdverify proprietà del dominio personalizzato.

Il record CNAME deve essere nel formato seguente:

Nome	TIPO	Valore
<www.contoso.com>	CNAME	contoso.azurefd.net

Per altre informazioni sui record CNAME, vedere Create the CNAME DNS record (Creare un record DNS CNAME).

Se il record CNAME è corretto, DigiCert verifica automaticamente il dominio personalizzato e crea un certificato dedicato. Il certificato è valido per un anno e si rinnova automaticamente prima della scadenza. Continuare con Attendere la propagazione.

Nota

Se si ha un record di autorizzazione dell'autorità di certificazione (CAA, Certificate Authority Authorization) con il provider DNS, il record deve includere DigiCert come CA valida. Per altre informazioni, vedere Gestire record CAA.

Importante

A partire dall'8 maggio 2025, DigiCert non supporta più il metodo di convalida del dominio basato su WHOIS.

Attendere la propagazione

Dopo la convalida del dominio, l'attivazione della funzionalità HTTPS del dominio personalizzato può richiedere fino a 6-8 ore. Al termine, lo stato HTTPS personalizzato nella portale di Azure è impostato su Abilitato.

Avanzamento dell'operazione

La tabella seguente illustra lo stato dell'operazione durante l'abilitazione di HTTPS:

Passaggio dell'operazione	Dettagli del passaggio secondario dell'operazione
1. Invio della richiesta	Invio della richiesta
	La richiesta HTTPS è in fase di invio.
	La richiesta HTTPS è stata inviata correttamente.
2. Convalida del dominio	Il dominio viene convalidato automaticamente se CNAME è mappato all'host front-end predefinito azurefd.net.
	La proprietà del dominio è stata convalidata correttamente.
	La richiesta di convalida della proprietà del dominio è scaduta (il cliente probabilmente non ha risposto entro sei giorni). HTTPS non è abilitato nel dominio. *
	La richiesta di convalida della proprietà del dominio è stata rifiutata dal cliente. HTTPS non è abilitato nel dominio. *
3. Provisioning del certificato	L'autorità di certificazione rilascia il certificato necessario per abilitare HTTPS nel dominio.
	Il certificato è stato emesso e viene distribuito per frontdoor. Questo processo può richiedere alcuni minuti a un'ora.
	Il certificato è stato distribuito correttamente per frontdoor.
4. Operazione completata	HTTPS è stato abilitato correttamente nel dominio.

* Questo messaggio viene visualizzato solo se si verifica un errore.

Se si verifica un errore prima dell'invio della richiesta, viene visualizzato il messaggio di errore seguente:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Domande frequenti

1. Chi è il provider di certificati e quale tipo di certificato viene usato?

   Un certificato dedicato/singolo, fornito da DigiCert, viene usato per il dominio personalizzato.

2. Viene usata una configurazione TLS/SSL basata su IP o su SNI?

   Il servizio Frontdoor di Azure usa SNI TLS/SSL.

3. Cosa accade se non si riceve il messaggio di verifica del dominio da DigiCert?

   Se si dispone di una voce CNAME per il dominio personalizzato che punta direttamente al nome host dell'endpoint e non si usa il nome del sottodominio afdverify, non si riceve un messaggio di posta elettronica di verifica del dominio. La convalida viene eseguita automaticamente. In caso contrario, se non si ha una voce CNAME e non si riceve un messaggio di posta elettronica entro 24 ore, contattare il supporto tecnico Microsoft.

4. L'uso di un certificato SAN è meno sicuro rispetto a un certificato dedicato?

   Un certificato SAN applica gli stessi standard di crittografia e sicurezza di un certificato dedicato. Tutti i certificati TLS/SSL emessi usano l'algoritmo SHA-256 per la protezione avanzata dei server.

5. È necessario avere un record di autorizzazione dell'autorità di certificazione presso il provider DNS?

   No, attualmente non è obbligatorio un record CAA (Certificate Authority Authorization). Se tuttavia se ne ha uno, deve includere DigiCert come CA valida.

Pulire le risorse

Per disabilitare HTTPS nel dominio personalizzato:

Disabilitare la funzionalità HTTPS

1. Nella portale di Azure passare alla configurazione di Frontdoor di Azure.

2. Selezionare il dominio personalizzato per il quale si vuole disabilitare HTTPS.

3. Selezionare Disabilitato e selezionare Salva.

Attendere la propagazione

Dopo aver disabilitato la funzionalità HTTPS del dominio personalizzato, possono essere necessarie fino a 6-8 ore. Al termine, lo stato HTTPS personalizzato nella portale di Azure è impostato su Disabilitato.

Avanzamento dell'operazione

La tabella seguente illustra lo stato dell'operazione durante la disabilitazione di HTTPS:

Avanzamento dell'operazione	Dettagli dell'operazione
1. Invio della richiesta	Invio della richiesta
2. Deprovisioning del certificato	Eliminazione del certificato
3. Operazione completata	Il certificato è stato eliminato

Passo successivo

Configurare un criterio di filtro geografico