Samouczek: konfigurowanie protokołu HTTPS w domenie niestandardowej usługi Azure CDN

W tym samouczku pokazano, jak włączyć protokół HTTPS dla domeny niestandardowej skojarzonej z punktem końcowym usługi Azure CDN.

Protokół HTTPS w domenie niestandardowej (na przykład https://www.contoso.com) zapewnia bezpieczne dostarczanie poufnych danych za pośrednictwem protokołu TLS/SSL. Gdy przeglądarka internetowa jest połączona za pośrednictwem protokołu HTTPS, przeglądarka weryfikuje certyfikat witryny internetowej. Przeglądarka sprawdza, czy jest wystawiona przez legalny urząd certyfikacji. Ten proces zapewnia bezpieczeństwo i chroni aplikacje internetowe przed atakami.

Domyślnie usługa Azure CDN obsługuje protokół HTTPS w obrębie nazwy hosta punktu końcowego usługi CDN. Jeśli na przykład utworzysz punkt końcowy usługi CDN (na przykład https://contoso.azureedge.net), protokół HTTPS zostanie automatycznie włączony.

Niektóre z kluczowych atrybutów niestandardowej funkcji HTTPS to:

• Brak dodatkowych kosztów: nie ma kosztów pozyskiwania lub odnawiania certyfikatów i nie ma dodatkowych kosztów dla ruchu HTTPS. Płacisz tylko za ruch wychodzący z sieci CDN (GB).

• Proste włączanie: w witrynie Azure Portal jest dostępna aprowizacja przy użyciu jednego kliknięcia. Aby włączyć tę funkcję, można użyć interfejsu API REST lub innych narzędzi dla deweloperów.

• Dostępne jest kompletne zarządzanie certyfikatami:

  • wszystkie operacje nabywania certyfikatów i zarządzania nimi są obsługiwane za użytkownika.
  • Certyfikaty są automatycznie aprowidowane i odnawiane przed wygaśnięciem.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Włączanie protokołu HTTPS w domenie niestandardowej
• Używanie certyfikatu zarządzanego przez usługę CDN
• Używanie własnego certyfikatu
• Weryfikowanie domeny
• Wyłączanie protokołu HTTPS w domenie niestandardowej

Wymagania wstępne

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Przed wykonaniem kroków opisanych w tym samouczku utwórz profil usługi CDN i co najmniej jeden punkt końcowy usługi CDN. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie profilu i punktu końcowego usługi Azure CDN.

Skojarz domenę niestandardową usługi Azure CDN z punktem końcowym usługi CDN. Aby uzyskać więcej informacji, zobacz Samouczek: dodawanie domeny niestandardowej do punktu końcowego usługi Azure CDN.

Ważne

Certyfikaty zarządzane przez usługę CDN nie są dostępne dla domen głównych lub wierzchołka. Jeśli domena niestandardowa usługi Azure CDN jest domeną główną lub wierzchołkową, musisz użyć funkcji Bring your own certificate(Przynieś własny certyfikat).

---

Certyfikat TLS/SSL

Aby włączyć protokół HTTPS w domenie niestandardowej usługi Azure CDN, należy użyć certyfikatu TLS/SSL. Możesz użyć certyfikatu zarządzanego przez usługę Azure CDN lub użyć certyfikatu.

Opcja 1 (domyślna): włączanie funkcji HTTPS przy użyciu certyfikatu zarządzanego przez usługę Azure CDN

Usługa Azure CDN obsługuje zadania zarządzania certyfikatami, takie jak zaopatrzenie i odnawianie. Po włączeniu funkcji proces rozpocznie się automatycznie.

Jeśli domena niestandardowa jest już mapowana na punkt końcowy usługi CDN, nie jest wymagana żadna dalsza akcja. Usługa Azure CDN przetwarza kroki i automatycznie wykonuje żądanie.

Jeśli domena niestandardowa jest mapowana w innym miejscu, użyj poczty e-mail, aby zweryfikować własność domeny.

Aby włączyć protokół HTTPS w domenie niestandardowej, wykonaj następujące kroki:

1. Przejdź do witryny Azure Portal , aby znaleźć certyfikat zarządzany przez usługę Azure CDN. Wyszukaj i wybierz pozycję Profile CDN.

2. Wybierz swój profil:

   • Azure CDN Standard from Microsoft
   • Azure CDN Standard from Edgio
   • Azure CDN Premium from Edgio

3. Na liście punktów końcowych usługi CDN wybierz punkt końcowy zawierający domenę niestandardową.

   

   Zostanie wyświetlona strona Punkt końcowy.

4. Na liście domen niestandardowych wybierz domenę niestandardową, dla której chcesz włączyć protokół HTTPS.

   

   Zostanie wyświetlona strona Domena niestandardowa.

5. W obszarze typu zarządzania certyfikatem wybierz pozycję Zarządzany przez usługę CDN.

6. Wybierz pozycję Wł., aby włączyć protokół HTTPS.

   

7. Przejdź do sekcji Weryfikowanie domeny.

Opcja 2: włączanie funkcji HTTPS przy użyciu własnego certyfikatu

Ważne

Ta opcja jest dostępna tylko w przypadku usługi Azure CDN firmy Microsoft i usługi Azure CDN z profilów Edgio .

Możesz włączyć funkcję HTTPS przy użyciu własnego certyfikatu. Ten proces odbywa się dzięki integracji z usługą Azure Key Vault, umożliwiającą bezpieczne przechowywanie certyfikatów. Usługa Azure CDN używa tego bezpiecznego mechanizmu w celu uzyskania certyfikatu i wymaga kilku dodatkowych kroków. Podczas tworzenia certyfikatu TLS/SSL należy utworzyć pełny łańcuch certyfikatów z dozwolonym urzędem certyfikacji, który jest częścią listy zaufanych urzędów certyfikacji firmy Microsoft. Jeśli używasz urzędu certyfikacji, który nie jest niedozwolony, żądanie zostanie odrzucone. Jeśli zostanie wyświetlony certyfikat bez pełnego łańcucha, żądania, które obejmują ten certyfikat, nie będą działać zgodnie z oczekiwaniami. W przypadku usługi Azure CDN z usługi Edgio wszystkie prawidłowe urzędy certyfikacji są akceptowane.

Przygotowywanie konta i certyfikatu usługi Azure Key Vault

1. Usługa Azure Key Vault: musisz mieć konto usługi Azure Key Vault uruchomione w ramach tej samej subskrypcji co profil usługi Azure CDN i punkty końcowe CDN, dla których chcesz włączyć niestandardowy protokół HTTPS. Utwórz konto usługi Azure Key Vault, jeśli go nie masz.

2. Certyfikaty usługi Azure Key Vault: jeśli masz certyfikat, przekaż go bezpośrednio do konta usługi Azure Key Vault. Jeśli nie masz certyfikatu, utwórz nowy certyfikat bezpośrednio za pośrednictwem usługi Azure Key Vault.

Uwaga

• Usługa Azure Content Delivery Network obsługuje tylko certyfikaty PFX.
• Certyfikat musi mieć pełny łańcuch certyfikatów z certyfikatami liścia i certyfikatów pośrednich, a główny urząd certyfikacji musi być częścią listy zaufanych urzędów certyfikacji firmy Microsoft.

Rejestrowanie usługi Azure CDN

Zarejestruj usługę Azure CDN jako aplikację w identyfikatorze Entra firmy Microsoft.

Uwaga

• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 jest jednostką usługi dla elementu Microsoft.AzureFrontDoor-Cdn.
• Aby uruchomić to polecenie, musisz mieć rolę globalnego Administracja istratora.
• Nazwa główna usługi została zmieniona z Microsoft.Azure.Cdn na Microsoft.AzureFrontDoor-Cdn.

Azure PowerShell

1. W razie potrzeby zainstaluj program Azure PowerShell na maszynie lokalnej.

2. W programie PowerShell uruchom następujące polecenie:

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
   
   Secret                :
   ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8,
    			https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
   ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   ObjectType            : ServicePrincipal DisplayName           : Microsoft.AzureFrontDoor-Cdn Id                    : abcdef12-3456-7890-abcd-ef1234567890
   Type                  :
   

Interfejs wiersza polecenia platformy Azure

1. W razie potrzeby zainstaluj interfejs wiersza polecenia platformy Azure na komputerze lokalnym.

2. Użyj interfejsu wiersza polecenia platformy Azure, aby uruchomić następujące polecenie:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

Udzielanie usłudze Azure CDN dostępu do magazynu kluczy

Udziel usłudze Azure CDN uprawnień dostępu do certyfikatów (wpisów tajnych) na koncie usługi Azure Key Vault.

1. W magazynie kluczy w sekcji Ustawienia wybierz pozycję Zasady dostępu. W okienku po prawej stronie wybierz pozycję + Dodaj zasady dostępu:

   

2. Na stronie Dodawanie zasad dostępu wybierz pozycję Brak wybrane obok pozycji Wybierz podmiot zabezpieczeń. Na stronie Podmiot zabezpieczeń wprowadź wartość 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Wybierz pozycję Microsoft.AzureFrontdoor-Cdn. Wybierz pozycję Wybierz:

3. W obszarze Wybierz podmiot zabezpieczeń wyszukaj ciąg 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, wybierz pozycję Microsoft.AzureFrontDoor-Cdn. Naciśnij przycisk Wybierz.

   

4. Wybierz pozycję Uprawnienia certyfikatu. Zaznacz pole wyboru Pobierz , aby zezwolić na uzyskiwanie certyfikatów przez uprawnienia usługi CDN.

5. Wybierz pozycję Uprawnienia wpisu tajnego. Zaznacz pole wyboru Pobierz , aby zezwolić na uzyskiwanie wpisów tajnych przez uprawnienia usługi CDN:

   

6. Wybierz Dodaj.

Uwaga

Usługa Azure CDN ma teraz dostęp do tego magazynu kluczy i certyfikatów (kluczy tajnych), które są przechowywane w tym magazynie kluczy. Każde wystąpienie usługi CDN utworzone w tej subskrypcji będzie miało dostęp do certyfikatów w tym magazynie kluczy.

Wybieranie certyfikatu do wdrożenia dla usługi Azure CDN

1. Wróć do portalu usługi Azure CDN, a następnie wybierz profil i punkt końcowy CDN, dla którego chcesz włączyć niestandardowy protokół HTTPS.

2. Na liście domen niestandardowych wybierz domenę niestandardową, dla której chcesz włączyć protokół HTTPS.

   Zostanie wyświetlona strona Domena niestandardowa.

3. W obszarze Typ zarządzania certyfikatami wybierz pozycję Użyj własnego certyfikatu.

   

4. Wybierz magazyn kluczy, certyfikat/wpis tajny i wersję certyfikatu/wpisu tajnego.

   Usługa Azure CDN wyświetli następujące informacje:

   • Konta usługi Key Vault dla identyfikatora subskrypcji.
   • Certyfikaty/wpisy tajne w wybranym magazynie kluczy.
   • Dostępne wersje certyfikatu/wpisu tajnego.

   Uwaga

   • Usługa Azure Content Delivery Network obsługuje tylko certyfikaty PFX.
   • Aby certyfikat był automatycznie obracany do najnowszej wersji, gdy nowsza wersja certyfikatu jest dostępna w magazynie kluczy, ustaw wersję certyfikatu/wpisu tajnego na "Najnowsza". Jeśli wybrano określoną wersję, musisz ręcznie wybrać nową wersję na potrzeby rotacji certyfikatów. Wdrożenie nowej wersji certyfikatu/wpisu tajnego trwa do 72 godzin. Tylko standardowa jednostka SKU firmy Microsoft obsługuje automatyczną rotację certyfikatów.

5. Wybierz pozycję Wł., aby włączyć protokół HTTPS.

6. W przypadku korzystania z certyfikatu weryfikacja domeny nie jest wymagana. Przejdź do sekcji Oczekiwanie na propagację.

Weryfikowanie domeny

Jeśli masz domenę niestandardową używaną do niestandardowego punktu końcowego z rekordem CNAME lub używasz własnego certyfikatu, przejdź do domeny niestandardowej zamapowanej na punkt końcowy usługi Content Delivery Network.

W przeciwnym razie, jeśli wpis rekordu CNAME dla punktu końcowego nie istnieje lub zawiera domenę podrzędną cdnverify, przejdź do domeny niestandardowej, która nie jest mapowana na punkt końcowy usługi CDN.

Domena niestandardowa została zamapowana na punkt końcowy usługi CDN według rekordu CNAME

Po dodaniu domeny niestandardowej do punktu końcowego utworzono rekord CNAME u rejestratora domen DNS zamapowanego na nazwę hosta punktu końcowego usługi CDN.

Jeśli ten rekord CNAME nadal istnieje i nie zawiera poddomeny cdnverify, urząd certyfikacji DigiCert używa go do automatycznego weryfikowania własności domeny niestandardowej.

Jeśli używasz własnego certyfikatu, weryfikacja domeny nie jest wymagana.

Rekord CNAME powinien mieć następujący format:

• Nazwa to nazwa domeny niestandardowej.
• Wartość to nazwa hosta punktu końcowego sieci dostarczania zawartości.

Nazwisko	Typ	Wartość
<www.contoso.com>	CNAME	contoso.azureedge.net

Aby uzyskać więcej informacji na temat rekordów CNAME, zobacz Tworzenie rekordu DNS CNAME.

Jeśli rekord CNAME jest w poprawnym formacie, firma DigiCert automatycznie weryfikuje niestandardową nazwę domeny i tworzy certyfikat dla domeny. Aplikacja DigitCert nie wysyła weryfikacyjnej wiadomości e-mail i nie musisz zatwierdzać żądania. Certyfikat jest ważny przez jeden rok i zostanie automatycznie odnowiony przed jego wygaśnięciem. Przejdź do sekcji Oczekiwanie na propagację.

Automatyczna walidacja zwykle trwa kilka godzin. Jeśli domena nie jest zweryfikowana w ciągu 24 godzin, otwórz bilet pomocy technicznej.

Uwaga

Jeśli masz rekord autoryzacji urzędu certyfikacji (CAA) u dostawcy DNS, musi on zawierać odpowiednie urzędy certyfikacji do autoryzacji. DigiCert to urząd certyfikacji dla profilów firmy Microsoft i Edgio. Informacje o zarządzaniu rekordami CAA można znaleźć w temacie Manage CAA records (Zarządzanie rekordami CAA). Informacje o narzędziu obsługi rekordów CAA można znaleźć w temacie CAA Record Helper (Pomocnik rekordów CAA).

Domena niestandardowa nie jest mapowana na punkt końcowy usługi CDN

Jeśli wpis rekordu CNAME zawiera poddomenę cdnverify, wykonaj pozostałe instrukcje w tym kroku.

Firma DigiCert wysyła weryfikacyjną wiadomość e-mail na następujące adresy e-mail. Sprawdź, czy możesz zatwierdzić bezpośrednio z jednego z następujących adresów:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Wiadomość e-mail powinna zostać odebrana w ciągu kilku minut, aby zatwierdzić żądanie. Jeśli używasz filtru spamu, dodaj verification@digicert.com go do listy dozwolonych. Jeśli w ciągu 24 godzin nie otrzymasz wiadomości e-mail, skontaktuj się z działem pomocy technicznej firmy Microsoft.

Po wybraniu linku zatwierdzenia następuje przekierowanie do następującego formularza zatwierdzania online:

Postępuj zgodnie z instrukcjami w formularzu. Dostępne są dwie opcje weryfikacji:

• Możesz zatwierdzać wszystkie przyszłe zamówienia składane za pośrednictwem tego samego konta dla tej samej domeny głównej; na przykład contoso.com. To podejście jest zalecane, jeśli planujesz dodać inne domeny niestandardowe dla tej samej domeny głównej.

• Możesz zatwierdzać tylko nazwę określonego hosta używaną w tym żądaniu. Kolejne zatwierdzenie jest wymagane w przypadku późniejszych żądań.

Po zatwierdzeniu firma DigiCert kończy tworzenie certyfikatu dla niestandardowej nazwy domeny. Certyfikat jest ważny przez jeden rok i zostanie automatycznie odnowiony przed wygaśnięciem.

Oczekiwanie na propagację

Po zweryfikowaniu nazwy domeny aktywowanie funkcji protokołu HTTPS domeny niestandardowej może potrwać 6–8 godzin. Po zakończeniu procesu stan niestandardowego protokołu HTTPS w witrynie Azure Portal zostanie zmieniony na Włączone. Cztery kroki operacji w oknie dialogowym domeny niestandardowej są oznaczone jako ukończone. Domena niestandardowa jest teraz gotowa do korzystania z protokołu HTTPS.

Postęp operacji

W poniższej tabeli przedstawiono postęp operacji w przypadku włączania protokołu HTTPS. Po włączeniu protokołu HTTPS w oknie dialogowym domeny niestandardowej są wyświetlane cztery kroki operacji. Gdy każdy krok stanie się aktywny, inne szczegóły podrzędne są wyświetlane w kroku w miarę postępu. Nie wszystkie te kroki podrzędne występują. Po pomyślnym ukończeniu kroku obok niego zostanie wyświetlony zielony znacznik wyboru.

Krok operacji	Szczegóły kroku podrzędnego operacji
1 Przesyłanie żądania	Przesyłanie żądania
	Trwa przesyłanie żądania HTTPS.
	Żądanie HTTPS zostało pomyślnie przesłane.
2 Walidacja domeny	Domena jest automatycznie weryfikowana, czy jest mapowana na punkt końcowy usługi CDN. W przeciwnym razie żądanie weryfikacji jest wysyłane do poczty e-mail wymienionej w rekordzie rejestracji domeny (registrant WHOIS).
	Własność domeny została pomyślnie zweryfikowana.
	Żądanie weryfikacji własności domeny wygasło (prawdopodobnie klient nie odpowiedział w ciągu 6 dni). Protokół HTTPS nie zostanie włączony w domenie. *
	Żądanie weryfikacji własności klienta zostało odrzucone przez klienta. Protokół HTTPS nie zostanie włączony w domenie. *
3 Aprowizowanie certyfikatu	Trwa wystawianie przez urząd certyfikacji certyfikatu wymaganego do włączenia obsługi protokołu HTTPS w domenie.
	Certyfikat został wystawiony i trwa jego wdrażanie w sieci CDN. Może to potrwać do 6 godzin.
	Certyfikat został pomyślnie wdrożony w sieci CDN.
4 Ukończenie	Obsługa protokołu HTTPS została pomyślnie włączona w domenie.

* Ten komunikat nie jest wyświetlany, chyba że wystąpił błąd.

Jeśli przed przesłaniem żądania wystąpi błąd, zostanie wyświetlony następujący komunikat o błędzie:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Oczyszczanie zasobów — wyłączanie protokołu HTTPS

W tej sekcji dowiesz się, jak wyłączyć protokół HTTPS dla domeny niestandardowej.

Wyłączanie funkcji protokołu HTTPS

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Profile CDN.

2. Wybierz standardową usługę Azure CDN firmy Microsoft, usługę Azure CDN w warstwie Edgio lub azure CDN Premium z profilu Edgio .

3. Na liście punktów końcowych wybierz punkt końcowy zawierający domenę niestandardową.

4. Wybierz domenę niestandardową, dla której chcesz wyłączyć protokół HTTPS.

   

5. Wybierz pozycję Wyłączone , aby wyłączyć protokół HTTPS, a następnie wybierz pozycję Zastosuj.

   

Oczekiwanie na propagację

Po wyłączeniu funkcji protokołu HTTPS w domenie niestandardowej wprowadzenie tej zmiany może potrwać 6–8 godzin. Po zakończeniu procesu stan niestandardowego protokołu HTTPS w witrynie Azure Portal zostanie zmieniony na Wyłączone. Trzy kroki operacji w oknie dialogowym domeny niestandardowej są oznaczone jako ukończone. Domena niestandardowa nie może już używać protokołu HTTPS.

Postęp operacji

W poniższej tabeli przedstawiono postęp operacji w przypadku wyłączenia protokołu HTTPS. Po wyłączeniu protokołu HTTPS w oknie dialogowym domeny niestandardowej zostaną wyświetlone trzy kroki operacji. Gdy krok stanie się aktywny, szczegóły zostaną wyświetlone w kroku. Po pomyślnym ukończeniu kroku obok niego zostanie wyświetlony zielony znacznik wyboru.

Postęp operacji	Szczegóły operacji
1 Przesyłanie żądania	Przesyłanie żądania
2 Anulowanie aprowizacji certyfikatu	Usuwanie certyfikatu
3 Kończenie	Certyfikat został usunięty

Automatyczna rotacja certyfikatów za pomocą usługi Azure CDN z usługi Edgio

Zarządzane certyfikaty z usługi Azure Key Vault mogą korzystać z funkcji autorotatu certyfikatów, co umożliwia usłudze Azure CDN z usługi Edgio automatyczne pobieranie zaktualizowanych certyfikatów i propagowanie ich na platformę Edgio CDN. Aby włączyć tę funkcję:

1. Zarejestruj usługę Azure CDN jako aplikację w ramach identyfikatora entra firmy Microsoft.

2. Autoryzuj usługę Azure CDN, aby uzyskać dostęp do wpisów tajnych w usłudze Key Vault. Przejdź do pozycji "Zasady dostępu" w usłudze Key Vault, aby dodać nowe zasady, a następnie przyznaj jednostce usługi Microsoft.AzureFrontDoor-Cdn uprawnienie Uzyskiwanie wpisów tajnych.

3. Ustaw wersję certyfikatu na Najnowszy w obszarze Typ zarządzania certyfikatami w menu Domena niestandardowa. Jeśli wybrano określoną wersję certyfikatu, wymagane są aktualizacje ręczne.

Uwaga

• Należy pamiętać, że automatyczne obracanie certyfikatu może potrwać do 24 godzin, aby w pełni ukończyć propagację nowego certyfikatu.
• Jeśli certyfikat jest używany do obsługi wielu domen niestandardowych, konieczne jest włączenie automatycznego obracania certyfikatów we wszystkich domenach niestandardowych współużytkowanych ten certyfikat w celu zapewnienia prawidłowej operacji. Niepowodzenie tej czynności może spowodować, że platforma Edgio obsługuje niepoprawną wersję certyfikatu dla domeny niestandardowej, która nie ma włączonej tej funkcji".

Często zadawane pytania

1. Kto jest dostawcą certyfikatów i jaki typ certyfikatu jest używany?

   Dedykowany certyfikat dostarczony przez firmę Digicert jest używany dla domeny niestandardowej dla:

   • Usługa Azure Content Delivery Network z pakietu Edgio
   • Usługa Azure Content Delivery Network firmy Microsoft

2. Czy używasz protokołu TLS/SSL (SNI) opartego na adresie IP lub wskazania nazwy serwera?

   Zarówno usługa Azure CDN z usług Edgio, jak i Azure CDN Standard firmy Microsoft używają protokołu SNI TLS/SSL.

3. Co zrobić, jeśli nie otrzymam wiadomości e-mail weryfikującej domenę od firmy DigiCert?

   Jeśli nie używasz poddomeny cdnverify , a wpis CNAME dotyczy nazwy hosta punktu końcowego, nie otrzymasz wiadomości e-mail weryfikacyjnej domeny.

   Walidacja będzie wykonywana automatycznie. W przeciwnym razie, jeśli nie masz wpisu CNAME i nie otrzymasz wiadomości e-mail w ciągu 24 godzin, skontaktuj się z działem pomocy technicznej firmy Microsoft.

4. Czy używanie certyfikatu SAN jest mniejsze bezpieczne niż certyfikatu dedykowanego?

   Certyfikat SAN działa zgodnie z tymi samymi standardami szyfrowania i zabezpieczeń, co certyfikat dedykowany. Wszystkie wystawione certyfikaty TLS/SSL używają algorytmu SHA-256 w celu zapewnienia zwiększonych zabezpieczeń serwera.

5. Czy muszę mieć rekord autoryzacji urzędu certyfikacji z moim dostawcą DNS?

   Rekord autoryzacji urzędu certyfikacji nie jest obecnie wymagany. Jeśli jednak istnieje, musi zawierać firmę DigiCert jako prawidłowy urząd certyfikacji.

6. 20 czerwca 2018 r. usługa Azure CDN z usługi Edgio zaczęła domyślnie używać dedykowanego certyfikatu z protokołem TLS/SSL SNI. Co się stanie z moimi istniejącymi domenami niestandardowymi używającymi certyfikatu SAN (Subject Alternative Names) lub protokołu TLS/SSL opartego na protokole IP?

   Istniejące domeny są stopniowo migrowane do pojedynczego certyfikatu w nadchodzących miesiącach, jeśli firma Microsoft analizuje tylko żądania klientów SNI wysyłane do aplikacji.

   Jeśli wykryto klientów innych niż SNI, domeny pozostaną w certyfikacie SAN przy użyciu protokołu TLS/SSL opartego na adresie IP. Żądania do usługi lub klientów, które nie są SNI, nie mają wpływu.

7. Jak odnawianie certyfikatu działa z użyciem funkcji Bring Your Own Certificate?

   Aby zapewnić wdrożenie nowszego certyfikatu w infrastrukturze POP, przekaż nowy certyfikat do usługi Azure Key Vault. W ustawieniach protokołu TLS w usłudze Azure Content Delivery Network wybierz najnowszą wersję certyfikatu i wybierz pozycję Zapisz. Usługa Azure Content Delivery Network będzie następnie propagować nowy zaktualizowany certyfikat.

   W przypadku usługi Azure CDN z profilów Edgio , jeśli używasz tego samego certyfikatu usługi Azure Key Vault w kilku domenach niestandardowych (takich jak certyfikat wieloznaczny), upewnij się, że zaktualizujesz wszystkie domeny niestandardowe, które używają tego samego certyfikatu do nowszej wersji certyfikatu.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Włączanie protokołu HTTPS w domenie niestandardowej
• Używanie certyfikatu zarządzanego przez usługę CDN
• Używanie własnego certyfikatu
• Weryfikowanie domeny
• Wyłączanie protokołu HTTPS w domenie niestandardowej

Przejdź do następnego samouczka, aby dowiedzieć się, jak skonfigurować buforowanie w punkcie końcowym usługi CDN.

Samouczek: ustawianie reguł buforowania usługi Azure CDN