HTTPS configureren in een aangepast Front Door-domein (klassiek)
Belangrijk
Azure Front Door (klassiek) wordt op 31 maart 2027 buiten gebruik gesteld. Om serviceonderbrekingen te voorkomen, is het belangrijk dat u uw Azure Front Door-profielen (klassiek) tegen maart 2027 migreert naar de Azure Front Door Standard- of Premium-laag. Zie De buitengebruikstelling van Azure Front Door (klassiek) voor meer informatie.
In dit artikel wordt beschreven hoe u het HTTPS-protocol inschakelt voor een aangepast domein dat is gekoppeld aan uw Front Door (klassiek) onder de sectie front-endhosts. Door het HTTPS-protocol in uw aangepaste domein te gebruiken (bijvoorbeeld https://www.contoso.com), zorgt u ervoor dat uw gevoelige gegevens veilig worden geleverd via TLS/SSL-versleuteling wanneer deze via internet worden verzonden. Wanneer uw webbrowser is verbonden met een website via HTTPS, wordt het beveiligingscertificaat van de website gevalideerd en wordt gecontroleerd of deze is uitgegeven door een legitieme certificeringsinstantie. Dit proces biedt beveiliging en beschermt uw webtoepassingen tegen schadelijke aanvallen.
Azure Front Door ondersteunt HTTPS voor een standaardhostnaam van Front Door, zonder dat er aanpassingen nodig zijn. Als u bijvoorbeeld een Front Door maakt (zoals https:https://contoso.azurefd.net), wordt HTTPS automatisch ingeschakeld voor aanvragen naar https://contoso.azurefd.net. Wanneer u echter het aangepaste domein 'www.contoso.com' onboardt, moet u https voor deze front-endhost ook inschakelen.
Enkele belangrijke kenmerken van de aangepaste HTTPS-functie zijn:
Geen extra kosten: er zijn geen kosten voor het verkrijgen of verlengen van certificaten en geen extra kosten voor HTTPS-verkeer.
Eenvoudig inschakelen: inrichten met één klik is beschikbaar in Azure Portal. U kunt ook REST API of andere hulpprogramma’s voor ontwikkelaars gebruiken om de functie in te schakelen.
Volledig certificaatbeheer is beschikbaar: alle aanschaf en beheer van certificaten wordt voor u afgehandeld. Certificaten worden automatisch ingericht en vernieuwd vóór de vervaldatum, waardoor de risico's van serviceonderbreking worden verwijderd vanwege een verlopen certificaat.
In deze zelfstudie leert u het volgende:
- Het HTTPS-protocol inschakelen in uw aangepast domein
- Een met AFD beheerd certificaat gebruiken
- Uw eigen certificaat gebruiken, dat wil zeggen, een aangepast TLS/SSL-certificaat
- Het domein valideren
- Het HTTPS-protocol uitschakelen in uw aangepast domein
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Vereisten
Voordat u de stappen in deze zelfstudie kunt voltooien, moet u een Front Door maken waaraan ten minste één aangepast domein is toegevoegd. Zie Zelfstudie: Een aangepast domein toevoegen aan uw Front Door voor meer informatie.
TLS/SSL-certificaten
Als u het HTTPS-protocol wilt inschakelen voor het veilig leveren van inhoud in een aangepast front door (klassiek) domein, moet u een TLS/SSL-certificaat gebruiken. U kunt ervoor kiezen om een certificaat te gebruiken dat wordt beheerd door Azure Front Door of uw eigen certificaat gebruiken.
Optie 1 (standaard): gebruik een certificaat dat wordt beheerd door Front Door
Wanneer u een certificaat gebruikt dat wordt beheerd door Azure Front Door, kan de HTTPS-functie worden ingeschakeld met enkele instellingswijzigingen. Azure Front Door verwerkt certificaatbeheertaken van begin tot eind. Denk hierbij aan taken zoals het kopen en vernieuwen van certificaten. Zodra u de functie hebt ingeschakeld, wordt de procedure onmiddellijk gestart. Als het aangepaste domein al is toegewezen aan de standaardfront-endhost van Front Door ({hostname}.azurefd.net), is geen verdere actie vereist. Front Door verwerkt de stappen en voltooit uw aanvraag automatisch. Als uw aangepaste domein echter elders is toegewezen, moet u e-mail gebruiken om uw domeinbezit te valideren.
Volg deze stappen om HTTPS in te schakelen in een aangepast domein:
Blader in de Azure-portal naar uw profiel van Front Door.
Selecteer in de lijst met front-endhosts de host met het aangepaste domein waarvoor u HTTPS wilt inschakelen.
Selecteer Ingeschakeld onder de sectie Aangepast domein HTTPS en selecteer Front Door beheerd als de certificaatbron.
Selecteer Opslaan.
Ga door naar Het domein valideren.
Notitie
- Voor door Azure Front Door beheerde certificaten wordt de limiet van 64 tekens van DigiCert afgedwongen. De validatie mislukt als deze limiet wordt overschreden.
- Het inschakelen van HTTPS via een beheerd Front Door-certificaat wordt niet ondersteund voor apex-/hoofddomeinen (bijvoorbeeld: contoso.com). U kunt uw eigen certificaat gebruiken voor dit scenario. Ga verder met optie 2 voor meer informatie.
Optie 2: gebruik uw eigen certificaat
U kunt uw eigen certificaat gebruiken voor het inschakelen van de HTTPS-functie. Dit proces verloopt via een integratie met Azure Key Vault, waarmee u uw certificaten veilig kunt opslaan. Azure Front Door maakt gebruik van dit beveiligde mechanisme om uw certificaat op te vragen en er zijn maar een paar extra stappen voor nodig. Wanneer u uw TLS/SSL-certificaat maakt, moet u een volledige certificaatketen maken met een toegestane certificeringsinstantie (CA) die deel uitmaakt van de lijst met vertrouwde Microsoft-CA's. Als u een niet-toegestane CA gebruikt, wordt uw aanvraag geweigerd. Als een certificaat zonder volledige keten wordt gepresenteerd, werken de aanvragen die betrekking hebben op dat certificaat niet gegarandeerd naar behoren.
Bereid uw sleutelkluis en certificaat voor
U moet een key vault-account hebben in hetzelfde Azure-abonnement als uw front door. Maak een sleutelkluisaccount als u er nog geen hebt.
Waarschuwing
Azure Front Door ondersteunt momenteel alleen Key Vault-accounts in hetzelfde abonnement als de Front Door-configuratie. Als u een sleutelkluis kiest van een ander abonnement dan de Front Door, treedt er een fout op.
Als voor uw sleutelkluis netwerktoegangsbeperkingen zijn ingeschakeld, dan moet u uw sleutelkluis zo configureren dat vertrouwde Microsoft-services de firewall kunnen omzeilen.
Uw sleutelkluis moet zijn geconfigureerd voor het gebruik van het machtigingsmodel voor key Vault-toegangsbeleid .
Als u al een certificaat hebt, kunt u het rechtstreeks uploaden naar uw sleutelkluis. Maak anders rechtstreeks een nieuw certificaat via Azure Key Vault van een van de partnercertificeringsinstanties (CA's) waarmee Azure Key Vault integreert. Upload uw certificaat als een certificaat-object in plaats van een geheim.
Notitie
Front Door biedt geen ondersteuning voor certificaten met ec-cryptografiealgoritmen (elliptic curve). Het certificaat moet een volledige certificaatketen met leaf- en tussenliggende certificaten hebben en de basis-CA moet deel uitmaken van de lijst met vertrouwde CERTIFICERINGsinstanties van Microsoft.
Azure Front Door registreren
Registreer de service-principal voor Azure Front Door als een app in uw Microsoft Entra-id met behulp van Azure PowerShell of de Azure CLI.
Notitie
- Voor deze actie zijn ten minste de rolmachtigingen van de toepassing Beheer istrator in Microsoft Entra-id vereist. De registratie hoeft slechts eenmaal per Microsoft Entra-tenant te worden uitgevoerd.
- De toepassings-id wordt specifiek toegewezen door Azure voor Azure Front Door (klassiek).
- Azure Front Door (klassiek) heeft een andere toepassings-id dan de Azure Front Door Standard-/Premium-laag.
- De toegewezen rol is alleen voor het geselecteerde abonnement, tenzij u een ander bereik definieert.
Azure PowerShell
Installeer zo nodig Azure PowerShell in PowerShell op uw lokale computer.
Voer in PowerShell de volgende opdracht uit:
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure-CLI
Installeer zo nodig Azure CLI op uw lokale computer.
Voer in CLI de volgende opdracht uit:
az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
Azure Front Door toegang verlenen tot uw sleutelkluis
Geef Azure Front Door toegang tot de certificaten in uw Azure Key Vault-account.
Selecteer toegangsbeleid in uw sleutelkluisaccount.
Selecteer Maken om een nieuw toegangsbeleid te maken.
Selecteer in Geheime machtigingende optie Ophalen om Front Door het certificaat te laten ophalen.
Selecteer in Certificaatmachtigingende optie Ophalen om Front Door het certificaat te laten ophalen.
Zoek bij Principal selecteren naar ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 en selecteer Microsoft.Azure.Frontdoor. Selecteer Volgende.
In Toepassing selecteert u Volgende.
Bij Controleren en maken selecteert u Maken.
Notitie
Als uw sleutelkluis is beveiligd met netwerktoegangsbeperkingen, moet u ervoor zorgen dat vertrouwde Microsoft-services toegang hebben tot uw sleutelkluis.
Azure Front Door heeft nu toegang tot deze sleutelkluis en de certificaten die deze bevat.
Selecteer het certificaat voor implementatie door Azure Front Door
Ga terug naar uw Front Door in de portal.
Selecteer in de lijst met aangepaste domeinen het aangepaste domein waarvoor u HTTPS wilt inschakelen.
De pagina Aangepast domein wordt weergegeven.
Kies onder Certificaatbeheertype Mijn eigen certificaat gebruiken.
Azure Front Door vereist dat het abonnement van het Key Vault-account hetzelfde is als dat van uw Front Door. Selecteer een sleutelkluis, geheim en geheime versie.
Azure Front Door geeft de volgende gegevens weer:
- De sleutelkluis-accounts voor uw abonnement-ID.
- De geheimen onder de geselecteerde sleutelkluis.
- De beschikbare geheime versies.
Notitie
Als u wilt dat het certificaat automatisch wordt geroteerd naar de nieuwste versie wanneer er een nieuwere versie van het certificaat beschikbaar is in uw Key Vault, stelt u de geheimversie in op 'Nieuwste'. Als er een specifieke versie is geselecteerd, moet u de nieuwe versie handmatig opnieuw selecteren voor certificaatrotatie. Het duurt 72 tot 96 uur voordat de nieuwe versie van het certificaat/geheim is geïmplementeerd.
Waarschuwing
Dit is alleen een waarschuwing voor Azure Portal. U moet uw service-principal configureren om een GET-machtiging voor de Key Vault te hebben. Als een gebruiker het certificaat in de vervolgkeuzelijst van de portal kan zien, moet het gebruikersaccount LIJST- en GET-machtigingen hebben voor de Key Vault. Als een gebruiker niet over deze machtigingen beschikt, wordt er een ontoegankelijk foutbericht weergegeven in de portal. Een ontoegankelijk foutbericht heeft geen invloed op het automatisch rouleren van certificaten of een HTTPS-functie. Er zijn geen acties vereist voor dit foutbericht als u geen wijzigingen wilt aanbrengen in het certificaat of de versie. Als u de informatie op deze pagina wilt wijzigen, raadpleegt u De machtiging voor Key Vault opgeven om uw account toe te voegen aan de LIJST en DE MACHTIGING GET van de Key Vault.
Wanneer u uw eigen certificaat gebruikt, is domeinvalidatie niet nodig. Ga verder met Wachten op doorgifte.
Het domein valideren
Als u al een aangepast domein hebt dat wordt toegewezen aan uw aangepaste eindpunt met een CNAME-record of als u uw eigen certificaat gebruikt, wordt het aangepaste domein toegewezen aan uw Front Door. Als de CNAME-recordvermelding voor uw domein niet meer bestaat of het afdverify-subdomein bevat, wordt het aangepaste domein niet toegewezen aan uw Front Door.
Er is geen aangepast domein toegewezen aan uw Front Door met een CNAME-record
Toen u een aangepast domein toevoegde aan de front-endhosts van uw Front Door, hebt u een CNAME-record gemaakt in de DNS-tabel van uw domeinregistrar om het domein toe te wijzen aan de standaardhostnaam .azurefd.net van uw Front Door. Als deze CNAME-record nog steeds bestaat en het afdverify-subdomein niet bevat, gebruikt de DigiCert-certificeringsinstantie deze om het eigendom van uw aangepaste domein automatisch te valideren.
Als u uw eigen certificaat gebruikt, is domeinvalidatie niet vereist.
Uw CNAME-record moet de volgende indeling hebben, waarbij Naam de naam van het aangepaste domein is en Waarde de standaardhostnaam .azurefd.net van uw Front Door:
| Name | Type | Weergegeven als |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Zie Create the CNAME DNS record (De CNAME DNS-record maken) voor meer informatie over CNAME-records.
Als de CNAME-record de juiste indeling heeft, wordt de naam van het aangepaste domein automatisch geverifieerd met DigiCert en wordt er een toegewezen certificaat voor uw domeinnaam gemaakt. DigitCert stuurt u geen verificatie-e-mail en u hoeft uw aanvraag niet goed te keuren. Het certificaat is één jaar geldig en autorenews voordat het verloopt. Ga verder met Wachten op doorgifte.
Automatische validatie duurt meestal een paar minuten. Als het domein na een uur nog niet is gevalideerd, opent u een ondersteuningsticket.
Notitie
Als u beschikt over een CAA-record (Certificate Authority Authorization) bij uw DNS-provider, moet deze DigiCert bevatten als een geldige CA. Met een CAA-record kunnen domeineigenaars bij hun DNS-provider opgeven welke CA’s zijn geautoriseerd om certificaten te verlenen voor hun domein. Als een CA een bestelling ontvangt voor een certificaat voor een domein met een CAA-record, en deze CA wordt niet vermeld als een geautoriseerde verlener, mag de CA het certificaat niet verlenen aan dit domein of subdomein. Zie CAA-records beheren voor meer informatie over het beheren van CAA-records. Zie CAA-record Helper voor een hulpprogramma voor CAA-records.
Aangepast domein is niet toegewezen aan uw Front Door
Als de CNAME-record voor uw eindpunt niet meer bestaat of als deze het subdomein afdverify bevat, volgt u de rest van de instructies in deze stap.
Nadat u HTTPS hebt ingeschakeld voor uw aangepaste domein, wordt met de DigiCert-CA het eigendom van het domein gevalideerd door contact op te nemen met de bijbehorende registrator, op basis van de WHOIS-registratiegegevens van het domein. Contact verloopt via het e-mailadres (standaard) of het telefoonnummer dat staat vermeld in de WHOIS-registratie. U moet de domeinvalidatie voltooien voordat HTTPS actief is in uw aangepaste domein. U hebt zes werkdagen de tijd om het domein goed te keuren. Aanvragen die niet binnen zes werkdagen zijn goedgekeurd, worden automatisch geannuleerd. DigiCert-domeinvalidatie werkt op subdomeinniveau. U moet het eigendom van elk subdomein afzonderlijk bewijzen.
DigiCert verzendt ook een verificatie-e-mail naar andere e-mailadressen. Als de WHOIS-registratiegegevens privé zijn, verifieert u dat u direct kunt goedkeuren vanaf een van de volgende adressen:
<admin@your-domain-name.com> administrator@<your-domain-name.com> webmaster@<your-domain-name.com hostmaster@your-domain-name.com>> postmaster@<<your-domain-name.com>
U ontvangt binnen enkele minuten een e-mailbericht, vergelijkbaar met het bericht in het volgende voorbeeld, waarin u wordt gevraagd om de aanvraag goed te keuren. Als u een spamfilter gebruikt, voegt u deze toe no-reply@digitalcertvalidation.com aan de acceptatielijst. In bepaalde scenario's kan DigiCert de domeincontactpersonen mogelijk niet ophalen uit de WHOIS-registratiegegevens om u een e-mail te sturen. Als u na 24 uur nog geen e-mailbericht hebt ontvangen, neemt u contact op met Microsoft Ondersteuning.
Wanneer u de goedkeuringskoppeling selecteert, wordt u doorgestuurd naar een onlinegoedkeuringsformulier. Volg de instructies op het formulier. U hebt twee verificatieopties:
U kunt alle toekomstige bestellingen goedkeuren die met hetzelfde account zijn geplaatst voor hetzelfde hoofddomein, bijvoorbeeld contoso.com. Deze benadering wordt aanbevolen als u van plan bent om meer aangepaste domeinen toe te voegen voor hetzelfde hoofddomein.
U kunt alleen de specifieke hostnaam goedkeuren die wordt gebruikt in deze aanvraag. Er is extra goedkeuring vereist voor volgende aanvragen.
Na goedkeuring wordt het certificaat voor de naam van het aangepaste domein met DigiCert voltooid. Het certificaat is één jaar geldig en wordt automatisch opnieuw ingesteld voordat het verloopt.
Wachten op doorgifte
Nadat de domeinnaam is gevalideerd, duurt het maximaal 6 tot 8 uur voordat de HTTPS-functie van het aangepaste domein is geactiveerd. Wanneer het proces is voltooid, is de aangepaste HTTPS-status in Azure Portal ingesteld op Ingeschakeld en zijn de vier bewerkingsstappen in het dialoogvenster Aangepast domein gemarkeerd als Voltooid. Het aangepaste domein is nu klaar voor gebruik van HTTPS.
Bewerkingsvoortgang
In de volgende tabel wordt de bewerkingsvoortgang weergegeven die plaatsvindt nadat u HTTPS hebt ingeschakeld. Als u HTTPS hebt ingeschakeld, worden vier bewerkingsstappen weergegeven in het dialoogvenster Aangepast domein. Wanneer elke stap actief wordt, worden meer details van de substap weergegeven onder de stap terwijl deze vordert. Niet al deze substeps vinden plaats. Nadat een stap is voltooid, wordt naast deze stap een groen vinkje weergegeven.
| Bewerkingsstap | Details van bewerkingssubstap |
|---|---|
| 1. Aanvraag indienen | Aanvraag verzenden |
| De HTTPS-aanvraag wordt verzonden. | |
| De HTTPS-aanvraag is verzonden. | |
| 2. Domeinvalidatie | Domein wordt automatisch gevalideerd als het CNAME is toegewezen aan de standaard .azurefd.net front-endhost van uw Front Door. Anders wordt een verificatieaanvraag verzonden naar de e-mail die wordt vermeld in de registratierecord van uw domein (WHOIS-registrator). Verifieer het domein zo snel mogelijk. |
| Uw domeineigendom is gevalideerd. | |
| Validatieaanvraag voor eigendom van het domein is verlopen (de klant heeft waarschijnlijk niet binnen zes dagen gereageerd). HTTPS wordt niet ingeschakeld voor uw domein. * | |
| Validatieaanvraag voor domeineigendom geweigerd door de klant. HTTPS wordt niet ingeschakeld voor uw domein. * | |
| 3. Certificaatinrichting | De certificeringsinstantie verleent momenteel het certificaat dat nodig is om HTTPS in te schakelen in uw domein. |
| Het certificaat is verleend en wordt momenteel geïmplementeerd naar uw Front Door. Dit proces kan enkele minuten tot een uur duren. | |
| Het certificaat is geïmplementeerd naar uw Front Door. | |
| 4. Voltooien | HTTPS is ingeschakeld in uw domein. |
* Dit bericht wordt alleen weergegeven als er een fout is opgetreden.
Als er een fout optreedt voordat de aanvraag is verzonden, wordt het volgende foutbericht weergegeven:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Veelgestelde vragen
Wie is de certificaatprovider en welk type certificaat is gebruikt?
Er wordt een gereserveerd/specifiek certificaat, geleverd via Digicert, gebruikt voor uw aangepaste domein.
Gebruikt u IP of SNI TLS/SSL?
Azure Front Door maakt gebruik van SNI TLS/SSL.
Wat moet ik doen als ik geen verificatie-e-mail voor het domein heb ontvangen van DigiCert?
Als u een CNAME-vermelding voor uw aangepaste domein hebt die rechtstreeks naar uw eindpunthostnaam verwijst (en u niet de naam van het afdverify-subdomein gebruikt), ontvangt u geen e-mail over domeinverificatie. Validatie wordt dan automatisch uitgevoerd. In andere gevallen waarbij u geen CNAME-vermelding hebt en binnen 24 uur geen e-mail hebt ontvangen, neemt u contact op met Microsoft Ondersteuning.
Is het gebruik van een SAN-certificaat minder veilig dan wanneer ik een toegewezen certificaat gebruik?
Voor een SAN-certificaat gelden dezelfde standaarden voor versleuteling en beveiliging als voor een toegewezen certificaat. Alle verleende TLS/SSL-certificaten maken gebruik van SHA-256 voor verbeterde serverbeveiliging.
Heb ik een CAA-record nodig bij mijn DNS-provider?
Nee, er is momenteel geen autorisatierecord van de certificeringsinstantie vereist. Als u er echter wel een hebt, moet deze DigiCert bevatten als een geldige CA.
Resources opschonen
In de voorgaande stappen hebt u het HTTPS-protocol in uw aangepaste domein ingeschakeld. Als u uw aangepaste domein niet meer wilt gebruiken met HTTPS, kunt u HTTPS uitschakelen door de volgende stappen uit te voeren:
De HTTPS-functie uitschakelen
Blader in Azure Portal naar de configuratie van Azure Front Door.
Selecteer in de lijst met front-endhosts het aangepaste domein waarvoor u HTTPS wilt uitschakelen.
Selecteer Uitgeschakeld om HTTPS uit te schakelen en selecteer Vervolgens Opslaan.
Wachten op doorgifte
Nadat de HTTPS-functie voor aangepaste domeinen is uitgeschakeld, duurt het maximaal 6 tot 8 uur voordat dit is doorgevoerd. Wanneer het proces is voltooid, wordt de aangepaste HTTPS-status in Azure Portal ingesteld op Uitgeschakeld en worden de drie bewerkingsstappen in het dialoogvenster aangepast domein gemarkeerd als voltooid. Het aangepaste domein kan niet meer gebruikmaken van HTTPS.
Bewerkingsvoortgang
In de volgende tabel wordt de bewerkingsvoortgang weergegeven die plaatsvindt nadat u HTTPS hebt uitgeschakeld. Als u HTTPS hebt uitgeschakeld, worden drie bewerkingsstappen weergegeven in het dialoogvenster Aangepast domein. Wanneer elke stap actief wordt, worden er meer details weergegeven onder de stap. Nadat een stap is voltooid, wordt naast deze stap een groen vinkje weergegeven.
| Bewerkingsvoortgang | Bewerkingsdetails |
|---|---|
| 1. Aanvraag indienen | De aanvraag verzenden |
| 2. Inrichting van certificaat ongedaan maken | Certificaat verwijderen |
| 3. Voltooien | Certificaat is verwijderd |
Volgende stappen
Als u wilt weten hoe u een beleid voor geofiltering instelt voor uw Front Door, gaat u verder met de volgende zelfstudie.