Configurare HTTPS in un dominio personalizzato di Frontdoor di Azure usando il portale di Azure
Frontdoor di Azure consente il recapito sicuro di Transport Layer Security (TLS) alle applicazioni per impostazione predefinita quando si usano domini personalizzati. Per altre informazioni sui domini personalizzati, incluso il funzionamento dei domini personalizzati con HTTPS, vedere Domini in Frontdoor di Azure.
Frontdoor di Azure supporta i certificati gestiti da Azure e i certificati gestiti dal cliente. Questo articolo illustra come configurare entrambi i tipi di certificati per i domini personalizzati di Frontdoor di Azure.
Prerequisiti
- Prima di poter configurare HTTPS per il dominio personalizzato, è necessario creare un profilo frontdoor di Azure. Per altre informazioni, vedere Creare un profilo frontdoor di Azure.
- Se non si ha già un dominio personalizzato, è necessario acquistarne uno con un provider di dominio. Ad esempio, vedere Acquistare un nome di dominio personalizzato.
- Se si usa Azure per ospitare i domini DNS, è necessario delegare il dns (Domain Name System) del provider di dominio a un DNS di Azure. Per altre informazioni, vedere Delegare un dominio a DNS di Azure. In caso contrario, se si usa un provider di dominio per gestire il dominio DNS, è necessario convalidare manualmente il dominio immettendo i record TXT DNS richiesti.
Certificati gestiti da Frontdoor di Azure per domini non convalidati di Azure
Se si ha un dominio personalizzato e il dominio non è già associato a un altro servizio di Azure che prevalida i domini per Frontdoor di Azure, seguire questa procedura:
In Impostazioni selezionare Domini per il profilo frontdoor di Azure. Selezionare quindi + Aggiungi per aggiungere un nuovo dominio.
Nel riquadro Aggiungi un dominio immettere o selezionare le informazioni seguenti. Selezionare quindi Aggiungi per eseguire l'onboarding del dominio personalizzato.
Impostazione Valore Tipo di dominio Selezionare Dominio non convalidato in Azure. Gestione DNS Selezionare DNS gestito di Azure (scelta consigliata). Zona DNS Selezionare la zona DNS di Azure che ospita il dominio personalizzato. Dominio personalizzato Selezionare un dominio esistente o aggiungere un nuovo dominio. HTTPS Selezionare AfD gestito (scelta consigliata).Select AFD managed (Recommended). Convalidare e associare il dominio personalizzato a un endpoint seguendo la procedura per abilitare un dominio personalizzato.
Dopo che il dominio personalizzato è stato associato a un endpoint, Frontdoor di Azure genera un certificato e lo distribuisce. Il completamento di questo processo può richiedere da alcuni minuti a un'ora.
Certificati gestiti da Azure per domini prevalidati di Azure
Se si ha un dominio personalizzato e il dominio è associato a un altro servizio di Azure che prevalida i domini per Frontdoor di Azure, seguire questa procedura:
In Impostazioni selezionare Domini per il profilo frontdoor di Azure. Selezionare quindi + Aggiungi per aggiungere un nuovo dominio.
Nel riquadro Aggiungi un dominio immettere o selezionare le informazioni seguenti. Selezionare quindi Aggiungi per eseguire l'onboarding del dominio personalizzato.
Impostazione Valore Tipo di dominio Selezionare Dominio pre-convalidato di Azure. Domini personalizzati pre-convalidati Selezionare un nome di dominio personalizzato dall'elenco a discesa dei servizi di Azure. HTTPS Selezionare Azure gestito. Convalidare e associare il dominio personalizzato a un endpoint seguendo la procedura per abilitare un dominio personalizzato.
Dopo che il dominio personalizzato è stato associato a un endpoint, un certificato gestito da Frontdoor di Azure viene distribuito in Frontdoor di Azure. Il completamento di questo processo può richiedere da alcuni minuti a un'ora.
Usare un certificato personale
È anche possibile scegliere di usare il proprio certificato TLS. Il certificato TLS deve soddisfare determinati requisiti. Per altre informazioni, vedere Requisiti dei certificati.
Preparare l’insieme di credenziali delle chiavi di Azure e il certificato
È consigliabile creare un'istanza separata di Azure Key Vault in cui archiviare i certificati TLS di Frontdoor di Azure. Per altre informazioni, vedere Creare un'istanza di Key Vault. Se si ha già un certificato, è possibile caricarlo nella nuova istanza di Key Vault. In caso contrario, è possibile creare un nuovo certificato tramite Key Vault da uno dei partner dell'autorità di certificazione (CA).
Avviso
Frontdoor di Azure supporta attualmente solo Key Vault nella stessa sottoscrizione. Se si seleziona Key Vault in una sottoscrizione diversa, si verifica un errore.
Altri punti da notare sui certificati:
- Frontdoor di Azure non supporta i certificati con algoritmi di crittografia a curva ellittica. Inoltre, il certificato deve avere una catena di certificati completa con certificati foglia e intermedi. La CA radice deve anche far parte dell'elenco ca attendibile Microsoft.
- È consigliabile usare l'identità gestita per consentire l'accesso ai certificati di Key Vault perché la registrazione dell'app verrà ritirata in futuro.
Registrare il servizio Frontdoor di Azure
Registrare l'entità servizio per Frontdoor di Azure come app nell'ID Microsoft Entra usando Azure PowerShell o l'interfaccia della riga di comando di Azure.
Nota
- Questa azione richiede di disporre delle autorizzazioni global Amministrazione istrator in Microsoft Entra ID. La registrazione deve essere eseguita una sola volta per ogni tenant di Microsoft Entra.
- Gli ID applicazione 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e d4631ece-daab-479b-be77-ccb713491fc0 sono predefiniti da Azure per Azure Frontdoor Standard e Premium in tutti i tenant e le sottoscrizioni di Azure. Frontdoor di Azure (versione classica) ha un ID applicazione diverso.
Se necessario, installare Azure PowerShell in PowerShell nel computer locale.
Usare PowerShell per eseguire il comando seguente:
Cloud pubblico di Azure:
New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Cloud di Azure per enti pubblici:
New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
Concedere al servizio Frontdoor di Azure l'accesso all'insieme di credenziali delle chiavi
Concedere a Frontdoor di Azure l'autorizzazione per accedere ai certificati nell'account Key Vault. È sufficiente concedere GET l'autorizzazione al certificato e al segreto affinché Frontdoor di Azure recuperi il certificato.
Nell'account Key Vault selezionare Criteri di accesso.
Selezionare Aggiungi nuovo o Crea per creare un nuovo criterio di accesso.
In Autorizzazioni segrete selezionare Ottieni per consentire ad Azure Frontdoor di recuperare il certificato.
In Autorizzazioni certificato selezionare Ottieni per consentire a Frontdoor di Azure di recuperare il certificato.
In Select principal (Seleziona entità) cercare 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 e selezionare Microsoft.AzureFrontDoor-Cdn. Selezionare Avanti.
In Applicazione selezionare Avanti.
In Rivedi e crea selezionare Crea.
Nota
Se l'insieme di credenziali delle chiavi è protetto con restrizioni di accesso alla rete, assicurarsi di consentire all'servizi Microsoft attendibile di accedere all'insieme di credenziali delle chiavi.
Frontdoor di Azure può ora accedere a questo insieme di credenziali delle chiavi e ai certificati contenuti.
Selezionare il certificato per Frontdoor di Azure da distribuire
Tornare a Frontdoor di Azure Standard/Premium nel portale.
In Impostazioni passare a Segreti e selezionare + Aggiungi certificato.
Nel riquadro Aggiungi certificato selezionare la casella di controllo per il certificato da aggiungere a Frontdoor di Azure Standard/Premium.
Quando si seleziona un certificato, è necessario selezionare la versione del certificato. Se si seleziona Più recente, Frontdoor di Azure viene aggiornato automaticamente ogni volta che il certificato viene ruotato (rinnovato). È anche possibile selezionare una versione specifica del certificato se si preferisce gestire manualmente la rotazione dei certificati.
Lasciare la selezione della versione più recente e selezionare Aggiungi.
Dopo il provisioning del certificato, è possibile usarlo quando si aggiunge un nuovo dominio personalizzato.
In Impostazioni passare a Domini e selezionare + Aggiungi per aggiungere un nuovo dominio personalizzato. Nel riquadro Aggiungi un dominio selezionare Bring Your Own Certificate (BYOC) per HTTPS. In Segreto selezionare il certificato da usare nell'elenco a discesa.
Nota
Il nome comune del certificato selezionato deve corrispondere al dominio personalizzato aggiunto.
Seguire i passaggi sullo schermo per convalidare il certificato. Associare quindi il dominio personalizzato appena creato a un endpoint come descritto in Configurare un dominio personalizzato.
Passare da un tipo di certificato all'altro
È possibile modificare un dominio in modo che usi un certificato gestito da Frontdoor di Azure oppure uno gestito dal cliente. Per altre informazioni, vedere Domini in Frontdoor di Azure.
Selezionare lo stato del certificato per aprire il riquadro Dettagli certificato.
Nel riquadro Dettagli certificato è possibile cambiare tra Frontdoor di Azure gestito e Bring Your Own Certificate (BYOC) di Azure.
Se si seleziona Bring Your Own Certificate (BYOC), seguire i passaggi precedenti per selezionare un certificato.
Selezionare Aggiorna per modificare il certificato associato a un dominio.
Passaggi successivi
- Informazioni sulla memorizzazione nella cache con Frontdoor di Azure Standard/Premium.
- Informazioni sui domini personalizzati in Frontdoor di Azure.
- Informazioni su TLS end-to-end con Frontdoor di Azure.