Domeinen in Azure Front Door
Een domein vertegenwoordigt een aangepaste domeinnaam die Azure Front Door gebruikt om het verkeer van uw toepassing te ontvangen. Azure Front Door biedt ondersteuning voor het toevoegen van drie typen domeinnamen:
- Subdomeinen zijn het meest voorkomende type aangepaste domeinnaam. Een voorbeeld van een subdomein is
myapplication.contoso.com. - Apex-domeinen bevatten geen subdomein. Een voorbeeld van een apex-domein is
contoso.com. Zie Apex-domeinen voor meer informatie over het gebruik van apex-domeinen met Azure Front Door. - Met jokertekendomeinen kan verkeer worden ontvangen voor elk subdomein. Een voorbeeld van een jokertekendomein is
*.contoso.com. Zie Jokertekendomeinen voor meer informatie over het gebruik van jokertekendomeinen met Azure Front Door.
Domeinen worden toegevoegd aan uw Azure Front Door-profiel. U kunt een domein in meerdere routes binnen een eindpunt gebruiken als u verschillende paden in elke route gebruikt.
Zie Een aangepast domein configureren in Azure Front Door met behulp van Azure Portal voor meer informatie over het toevoegen van een aangepast domein aan uw Azure Front Door-profiel.
DNS-configuratie
Wanneer u een domein toevoegt aan uw Azure Front Door-profiel, configureert u twee records op uw DNS-server:
- Een DNS TXT-record, die vereist is om het eigendom van uw domeinnaam te valideren. Zie Domeinvalidatie voor meer informatie over de DNS TXT-records.
- Een DNS CNAME-record, waarmee de stroom van internetverkeer naar Azure Front Door wordt beheerd.
Tip
U kunt een domeinnaam toevoegen aan uw Azure Front Door-profiel voordat u DNS-wijzigingen aanbrengt. Deze aanpak kan handig zijn als u uw Azure Front Door-configuratie wilt instellen of als u een afzonderlijk team hebt dat uw DNS-records wijzigt.
U kunt ook uw DNS TXT-record toevoegen om uw domeineigendom te valideren voordat u de CNAME-record toevoegt om de verkeersstroom te beheren. Deze aanpak kan handig zijn om uitvaltijd van migratie te voorkomen als u al een toepassing in productie hebt.
Domeinvalidatie
Alle domeinen die zijn toegevoegd aan Azure Front Door, moeten worden gevalideerd. Validatie helpt u te beschermen tegen onbedoelde onjuiste configuratie en helpt ook andere personen te beschermen tegen domeinvervalsing. In sommige gevallen kunnen domeinen vooraf worden gevalideerd door een andere Azure-service. Anders moet u het validatieproces van het Azure Front Door-domein volgen om uw eigendom van de domeinnaam te bewijzen.
Vooraf gevalideerde Azure-domeinen zijn domeinen die zijn gevalideerd door een andere ondersteunde Azure-service. Als u een domein onboardt en valideert naar een andere Azure-service en vervolgens Azure Front Door later configureert, werkt u mogelijk met een vooraf gevalideerd domein. U hoeft het domein niet te valideren via Azure Front Door wanneer u dit type domein gebruikt.
Notitie
Azure Front Door accepteert momenteel alleen vooraf gevalideerde domeinen die zijn geconfigureerd met Azure Static Web Apps.
Niet-Azure-gevalideerde domeinen zijn domeinen die niet worden gevalideerd door een ondersteunde Azure-service. Dit domeintype kan worden gehost met elke DNS-service, inclusief Azure DNS, en vereist dat het domeineigendom wordt gevalideerd door Azure Front Door.
TXT-recordvalidatie
Als u een domein wilt valideren, moet u een DNS TXT-record maken. De naam van de TXT-record moet van het formulier _dnsauth.{subdomain}zijn. Azure Front Door biedt een unieke waarde voor uw TXT-record wanneer u begint met het toevoegen van het domein aan Azure Front Door.
Stel dat u het aangepaste subdomein myapplication.contoso.com wilt gebruiken met Azure Front Door. Eerst moet u het domein toevoegen aan uw Azure Front Door-profiel en de TXT-recordwaarde noteren die u moet gebruiken. Vervolgens moet u een DNS-record configureren met de volgende eigenschappen:
| Eigenschappen | Weergegeven als |
|---|---|
| Recordnaam | _dnsauth.myapplication |
| Recordwaarde | de waarde van Azure Front Door gebruiken |
| Time to live (TTL) | 1 uur |
Nadat uw domein is gevalideerd, kunt u de TXT-record veilig van uw DNS-server verwijderen.
Zie Een aangepast domein configureren in Azure Front Door met behulp van Azure Portal voor meer informatie over het toevoegen van een DNS TXT-record voor een aangepast domein.
Domeinvalidatiestatussen
De volgende tabel bevat de validatiestatussen die een domein kan weergeven.
| Domeinvalidatiestatus | Beschrijving en acties |
|---|---|
| Indienen | Het aangepaste domein wordt gemaakt. Wacht totdat de domeinresource gereed is. |
| In behandeling | De waarde van de DNS TXT-record is gegenereerd en Azure Front Door is klaar om de DNS TXT-record toe te voegen. Voeg de DNS TXT-record toe aan uw DNS-provider en wacht tot de validatie is voltooid. Als de status in behandeling blijft, zelfs nadat de TXT-record is bijgewerkt met de DNS-provider, selecteert u Opnieuw genereren om de TXT-record te vernieuwen en voegt u de TXT-record opnieuw toe aan uw DNS-provider. |
| Hervalidatie in behandeling | Het beheerde certificaat verloopt minder dan 45 dagen. Als u al een CNAME-record hebt die verwijst naar het Azure Front Door-eindpunt, is er geen actie vereist voor certificaatvernieuwing. Als het aangepaste domein naar een andere CNAME-record wordt verwezen, selecteert u de status Opnieuw valideren en selecteert u Opnieuw genereren op de pagina Het aangepaste domein valideren. Selecteer Ten slotte Toevoegen als u Azure DNS gebruikt of handmatig de TXT-record toevoegt met het DNS-beheer van uw eigen DNS-provider. |
| Validatietoken vernieuwen | Een domein krijgt de status Validatietoken vernieuwen gedurende een korte periode nadat de knop Opnieuw genereren is geselecteerd. Zodra een nieuwe TXT-recordwaarde is uitgegeven, verandert de status in In behandeling. Er is geen actie vereist. |
| Goedgekeurd | Het domein is gevalideerd en Azure Front Door kan verkeer accepteren dat dit domein gebruikt. Er is geen actie vereist. |
| Afgewezen | De certificaatprovider/instantie heeft de uitgifte voor het beheerde certificaat afgewezen. De domeinnaam kan bijvoorbeeld ongeldig zijn. Selecteer de koppeling Geweigerd en selecteer vervolgens Opnieuw genereren op de pagina Aangepast domein valideren, zoals wordt weergegeven in de schermafbeeldingen onder deze tabel. Selecteer vervolgens Toevoegen om de TXT-record toe te voegen in de DNS-provider. |
| Timeout | De TXT-record is niet binnen zeven dagen toegevoegd aan uw DNS-provider of er is een ongeldige DNS TXT-record toegevoegd. Selecteer de time-outkoppeling en selecteer vervolgens Opnieuw genereren op de pagina Het aangepaste domein valideren. Selecteer Vervolgens Toevoegen om een nieuwe TXT-record toe te voegen aan de DNS-provider. Zorg ervoor dat u de bijgewerkte waarde gebruikt. |
| Interne fout | Er is een onbekende fout opgetreden. Validatie opnieuw proberen door de knop Vernieuwen of Opnieuw genereren te selecteren. Als u nog steeds problemen ondervindt, dient u een ondersteuningsaanvraag in bij ondersteuning voor Azure. |
Notitie
- De standaard-TTL voor TXT-records is 1 uur. Wanneer u de TXT-record opnieuw moet genereren voor hervalidatie, moet u letten op de TTL voor de vorige TXT-record. Als deze niet verloopt, mislukt de validatie totdat de vorige TXT-record verloopt.
- Als de knop Opnieuw genereren niet werkt, verwijdert u het domein en maakt u het opnieuw.
- Als de domeinstatus niet wordt weergegeven zoals verwacht, selecteert u de knop Vernieuwen .
HTTPS voor aangepaste domeinen
Door het HTTPS-protocol in uw aangepaste domein te gebruiken, zorgt u ervoor dat uw gevoelige gegevens veilig worden geleverd met TLS/SSL-versleuteling wanneer deze via internet worden verzonden. Wanneer een client, zoals een webbrowser, is verbonden met een website via HTTPS, valideert de client het beveiligingscertificaat van de website en zorgt deze ervoor dat het is uitgegeven door een legitieme certificeringsinstantie. Via dit proces zijn uw webtoepassingen beveiligd tegen aanvallen.
Azure Front Door biedt ondersteuning voor het gebruik van HTTPS met uw eigen domeinen en offload transport layer security (TLS) certificaatbeheer vanaf uw oorspronkelijke servers. Wanneer u aangepaste domeinen gebruikt, kunt u door Azure beheerde TLS-certificaten (aanbevolen) gebruiken of uw eigen TLS-certificaten aanschaffen en gebruiken.
Zie End-to-end TLS met Azure Front Door voor meer informatie over de werking van Azure Front Door met TLS.
Door Azure Front Door beheerde TLS-certificaten
Azure Front Door kan AUTOMATISCH TLS-certificaten voor subdomeinen en apex-domeinen beheren. Wanneer u beheerde certificaten gebruikt, hoeft u geen sleutels of aanvragen voor certificaatondertekening te maken en hoeft u de certificaten niet te uploaden, op te slaan of te installeren. Daarnaast kan Azure Front Door automatisch beheerde certificaten roteren (vernieuwen) zonder tussenkomst van de mens. Dit proces voorkomt downtime die wordt veroorzaakt door een fout bij het vernieuwen van uw TLS-certificaten op tijd.
Het proces voor het genereren, uitgeven en installeren van een beheerd TLS-certificaat kan enkele minuten tot een uur duren en af en toe kan het langer duren.
Notitie
Beheerde certificaten van Azure Front Door (Standard en Premium) worden automatisch geroteerd als de domein-CNAME-record rechtstreeks naar een Front Door-eindpunt verwijst of indirect verwijst naar een Traffic Manager-eindpunt. Anders moet u het eigendom van het domein opnieuw valideren om de certificaten te roteren.
Domeintypen
De volgende tabel bevat een overzicht van de functies die beschikbaar zijn voor beheerde TLS-certificaten wanneer u verschillende typen domeinen gebruikt:
| Overweging | Subdomein | Apex-domein | Wildcard-domein |
|---|---|---|---|
| Beheerde TLS-certificaten beschikbaar | Ja | Ja | Nr. |
| Beheerde TLS-certificaten worden automatisch geroteerd | Ja | Zie hieronder | Nee |
Wanneer u Door Azure Front Door beheerde TLS-certificaten met apex-domeinen gebruikt, moet u voor automatische certificaatrotatie mogelijk uw domeineigendom opnieuwvalideren. Zie Apex-domeinen in Azure Front Door voor meer informatie.
Beheerde certificaatuitgifte
De certificaten van Azure Front Door worden uitgegeven door onze partnercertificeringsinstantie DigiCert. Voor sommige domeinen moet u DigiCert expliciet toestaan als certificaatverlener door een CAA-domeinrecord te maken met de waarde: 0 issue digicert.com
Azure beheert de certificaten volledig namens u, zodat elk aspect van het beheerde certificaat, inclusief de basisverlener, op elk gewenst moment kan worden gewijzigd. Deze wijzigingen vallen buiten uw beheer. Zorg ervoor dat u harde afhankelijkheden voor elk aspect van een beheerd certificaat vermijdt, zoals het controleren van de vingerafdruk van het certificaat of het vastmaken van het beheerde certificaat of een deel van de certificaathiërarchie. Als u certificaten wilt vastmaken, moet u een door de klant beheerd TLS-certificaat gebruiken, zoals wordt uitgelegd in de volgende sectie.
Door de klant beheerde TLS-certificaten
Soms moet u mogelijk uw eigen TLS-certificaten opgeven. Veelvoorkomende scenario's voor het leveren van uw eigen certificaten zijn:
- Uw organisatie vereist dat u certificaten gebruikt die zijn uitgegeven door een specifieke certificeringsinstantie.
- U wilt dat Azure Key Vault uw certificaat uitgifte met behulp van een partnercertificeringsinstantie.
- U moet een TLS-certificaat gebruiken dat een clienttoepassing herkent.
- U moet hetzelfde TLS-certificaat op meerdere systemen gebruiken.
- U gebruikt jokertekendomeinen. Azure Front Door biedt geen beheerde certificaten voor jokertekendomeinen.
Notitie
- Vanaf september 2023 biedt Azure Front Door ondersteuning voor BYOC (Bring Your Own Certificates) voor validatie van domeineigendom. Front Door keurt het domeineigendom goed als de certificaatnaam (CN) of alternatieve onderwerpnaam (SAN) van het certificaat overeenkomt met het aangepaste domein. Als u een door Azure beheerd certificaat selecteert, gebruikt de domeinvalidatie de DNS TXT-record.
- Voor aangepaste domeinen die zijn gemaakt vóór byOC-validatie en de domeinvalidatiestatus niet is goedgekeurd, moet u de automatische goedkeuring van de validatie van het domeineigendom activeren door de validatiestatus te selecteren en op de knop Opnieuw valideren in de portal te klikken. Als u het opdrachtregelprogramma gebruikt, kunt u domeinvalidatie activeren door een lege PATCH-aanvraag naar de domein-API te verzenden.
Certificaatvereisten
Als u uw certificaat wilt gebruiken met Azure Front Door, moet het voldoen aan de volgende vereisten:
- Volledige certificaatketen: wanneer u uw TLS/SSL-certificaat maakt, moet u een volledige certificaatketen maken met een toegestane certificeringsinstantie (CA) die deel uitmaakt van de lijst met vertrouwde MICROSOFT-CA's. Als u een niet-toegestane CA gebruikt, wordt uw aanvraag geweigerd. De basis-CA moet deel uitmaken van de lijst met vertrouwde MICROSOFT-CA's. Als een certificaat zonder volledige keten wordt gepresenteerd, werken de aanvragen die betrekking hebben op dat certificaat niet gegarandeerd naar behoren.
- Algemene naam: de algemene naam (CN) van het certificaat moet overeenkomen met het domein dat is geconfigureerd in Azure Front Door.
- Algoritme: Azure Front Door biedt geen ondersteuning voor certificaten met ec-cryptografiealgoritmen (elliptic curve).
- Bestand (inhoudstype): uw certificaat moet vanuit een PFX-bestand naar uw sleutelkluis worden geüpload, dat gebruikmaakt van het
application/x-pkcs12inhoudstype.
Een certificaat importeren in Azure Key Vault
Aangepaste TLS-certificaten moeten worden geïmporteerd in Azure Key Vault voordat u deze kunt gebruiken met Azure Front Door. Zie zelfstudie: Een certificaat importeren in Azure Key Vault voor meer informatie over het importeren van een certificaat in een sleutelkluis.
De sleutelkluis moet zich in hetzelfde Azure-abonnement bevinden als uw Azure Front Door-profiel.
Waarschuwing
Azure Front Door ondersteunt alleen sleutelkluizen in hetzelfde abonnement als het Front Door-profiel. Het kiezen van een sleutelkluis onder een ander abonnement dan uw Azure Front Door-profiel leidt tot een fout.
Certificaten moeten worden geüpload als certificaatobject in plaats van een geheim.
Toegang verlenen tot Azure Front Door
Azure Front Door moet toegang hebben tot uw sleutelkluis om uw certificaat te kunnen lezen. U moet zowel de netwerkfirewall van de sleutelkluis als het toegangsbeheer van de kluis configureren.
Als voor uw sleutelkluis netwerktoegangsbeperkingen zijn ingeschakeld, dan moet u uw sleutelkluis zo configureren dat vertrouwde Microsoft-services de firewall kunnen omzeilen.
Er zijn twee manieren waarop u toegangsbeheer voor uw sleutelkluis kunt configureren:
- Azure Front Door kan een beheerde identiteit gebruiken voor toegang tot uw sleutelkluis. U kunt deze methode gebruiken wanneer uw sleutelkluis gebruikmaakt van Microsoft Entra-verificatie. Zie Beheerde identiteiten gebruiken met Azure Front Door Standard/Premium voor meer informatie.
- U kunt ook de service-principal van Azure Front Door toegang verlenen tot uw sleutelkluis. U kunt deze methode gebruiken wanneer u toegangsbeleid voor kluizen gebruikt.
Uw aangepaste certificaat toevoegen aan Azure Front Door
Nadat u uw certificaat hebt geïmporteerd in een sleutelkluis, maakt u een Azure Front Door-geheimresource. Dit is een verwijzing naar het certificaat dat u hebt toegevoegd aan uw sleutelkluis.
Configureer vervolgens uw domein voor het gebruik van het Azure Front Door-geheim voor het TLS-certificaat.
Zie HTTPS configureren in een aangepast Azure Front Door-domein met behulp van De Azure-portal voor een begeleide procedure van deze stappen.
Schakelen tussen certificaattypen
U kunt een domein wijzigen tussen het gebruik van een door azure Front Door beheerd certificaat en een door de gebruiker beheerd certificaat.
- Het kan een uur duren voordat het nieuwe certificaat is geïmplementeerd wanneer u schakelt tussen certificaattypen.
- Als uw domeinstatus is goedgekeurd, veroorzaakt het schakelen tussen een door de gebruiker beheerd certificaat en een beheerd certificaat geen downtime.
- Wanneer u overschakelt naar een beheerd certificaat, blijft Azure Front Door het vorige certificaat gebruiken totdat het domeineigendom opnieuw wordt gevalideerd en de domeinstatus wordt goedgekeurd.
- Als u overschakelt van BYOC naar een beheerd certificaat, is domeinvalidatie vereist. Als u overschakelt van beheerd certificaat naar BYOC, hoeft u het domein niet opnieuw tevalideren.
Certificaat vernieuwen
Door Azure Front Door beheerde certificaten vernieuwen
Voor de meeste aangepaste domeinen worden door Azure Front Door beheerde certificaten automatisch vernieuwd (gedraaid) wanneer ze bijna verlopen en hoeft u niets te doen.
Azure Front Door roteert certificaten echter niet automatisch in de volgende scenario's:
- De CNAME-record van het aangepaste domein verwijst naar een andere DNS-record dan het domein van uw Azure Front Door-eindpunt.
- Het aangepaste domein verwijst naar het Azure Front Door-eindpunt via een keten. Als uw DNS-record bijvoorbeeld verwijst naar Azure Traffic Manager, die op zijn beurt wordt omgezet in Azure Front Door, is
contoso.comde CNAME-keten CNAME incontoso.trafficmanager.netCNAME in CNAME.contoso.z01.azurefd.netAzure Front Door kan de hele keten niet verifiëren. - Het aangepaste domein maakt gebruik van een A-record. U wordt aangeraden altijd een CNAME-record te gebruiken om naar Azure Front Door te verwijzen.
- Het aangepaste domein is een apex-domein en maakt gebruik van CNAME-afvlakken.
Als een van de bovenstaande scenario's van toepassing is op uw aangepaste domein, wordt de validatiestatus van het domein 45 dagen voordat het beheerde certificaat verloopt in behandeling. De status Revalidatie in behandeling geeft aan dat u een nieuwe DNS TXT-record moet maken om uw domeineigendom opnieuw tevalideren.
Notitie
DNS TXT-records verlopen na zeven dagen. Als u eerder een TXT-record voor domeinvalidatie aan uw DNS-server hebt toegevoegd, moet u deze vervangen door een nieuwe TXT-record. Zorg ervoor dat u de nieuwe waarde gebruikt, anders mislukt het domeinvalidatieproces.
Als uw domein niet kan worden gevalideerd, wordt de validatiestatus van het domein geweigerd. Deze status geeft aan dat de certificeringsinstantie de aanvraag voor het opnieuw uitgeven van een beheerd certificaat heeft afgewezen.
Zie Domeinvalidatiestatussen voor meer informatie over de domeinvalidatiestatussen.
Door Azure beheerde certificaten vernieuwen voor domeinen die vooraf zijn gevalideerd door andere Azure-services
Door Azure beheerde certificaten worden automatisch gedraaid door de Azure-service waarmee het domein wordt gevalideerd.
Door de klant beheerde TLS-certificaten vernieuwen
Wanneer u het certificaat in uw sleutelkluis bijwerkt, kan Azure Front Door het bijgewerkte certificaat automatisch detecteren en gebruiken. Als deze functionaliteit werkt, stelt u de geheime versie in op 'Nieuwste' wanneer u uw certificaat configureert in Azure Front Door.
Als u een specifieke versie van uw certificaat selecteert, moet u de nieuwe versie handmatig opnieuw selecteren wanneer u uw certificaat bijwerkt.
Het duurt maximaal 72 uur voordat de nieuwe versie van het certificaat/geheim automatisch wordt geïmplementeerd.
Als u de geheime versie wilt wijzigen van 'Nieuwste' in een opgegeven versie of omgekeerd, voegt u een nieuw certificaat toe.
Beveiligingsbeleid
U kunt de Web Application Firewall (WAF) van Azure Front Door gebruiken om aanvragen voor uw toepassing te scannen op bedreigingen en om andere beveiligingsvereisten af te dwingen.
Als u de WAF wilt gebruiken met een aangepast domein, gebruikt u een Azure Front Door-beveiligingsbeleidsresource. Een beveiligingsbeleid koppelt een domein aan een WAF-beleid. U kunt desgewenst meerdere beveiligingsbeleidsregels maken, zodat u verschillende WAF-beleidsregels met verschillende domeinen kunt gebruiken.
Volgende stappen
- Zie Een aangepast domein configureren in Azure Front Door met behulp van Azure Portal voor meer informatie over het toevoegen van een aangepast domein aan uw Azure Front Door-profiel.
- Meer informatie over end-to-end TLS met Azure Front Door.