Domeny w usłudze Azure Front Door
Domena reprezentuje niestandardową nazwę domeny używaną przez usługę Azure Front Door do odbierania ruchu aplikacji. Usługa Azure Front Door obsługuje dodawanie trzech typów nazw domen:
- Poddomeny są najczęściej spotykanym typem niestandardowej nazwy domeny. Przykładowa poddomena to
myapplication.contoso.com. - Domeny wierzchołka nie zawierają poddomeny. Przykładowa domena wierzchołka to
contoso.com. Aby uzyskać więcej informacji na temat używania domen wierzchołka w usłudze Azure Front Door, zobacz Apex domains (Domeny wierzchołka). - Domeny z symbolami wieloznacznymi umożliwiają odbieranie ruchu dla dowolnej poddomeny. Przykładowa domena z symbolami wieloznacznymi to
*.contoso.com. Aby uzyskać więcej informacji na temat używania domen wieloznacznych w usłudze Azure Front Door, zobacz Domeny z symbolami wieloznacznymi.
Domeny są dodawane do profilu usługi Azure Front Door. Możesz użyć domeny w wielu trasach w punkcie końcowym, jeśli używasz różnych ścieżek w każdej trasie.
Aby dowiedzieć się, jak dodać domenę niestandardową do profilu usługi Azure Front Door, zobacz Konfigurowanie domeny niestandardowej w usłudze Azure Front Door przy użyciu witryny Azure Portal.
Konfiguracja DNS
Po dodaniu domeny do profilu usługi Azure Front Door należy skonfigurować dwa rekordy na serwerze DNS:
- Rekord TXT DNS, który jest wymagany do weryfikowania własności nazwy domeny. Aby uzyskać więcej informacji na temat rekordów TXT systemu DNS, zobacz Walidacja domeny.
- Rekord CNAME systemu DNS, który kontroluje przepływ ruchu internetowego do usługi Azure Front Door.
Napiwek
Przed wprowadzeniem jakichkolwiek zmian DNS można dodać nazwę domeny do profilu usługi Azure Front Door. Takie podejście może być przydatne, jeśli musisz ustawić konfigurację usługi Azure Front Door razem lub jeśli masz oddzielny zespół, który zmienia rekordy DNS.
Możesz również dodać rekord TXT DNS, aby zweryfikować własność domeny przed dodaniem rekordu CNAME w celu kontrolowania przepływu ruchu. Takie podejście może być przydatne, aby uniknąć przestoju migracji, jeśli masz już aplikację w środowisku produkcyjnym.
Walidacja domeny
Wszystkie domeny dodane do usługi Azure Front Door muszą zostać zweryfikowane. Walidacja pomaga chronić przed przypadkową błędną konfiguracją, a także pomaga chronić inne osoby przed fałszowaniem domeny. W niektórych sytuacjach domeny mogą być wstępnie oceniane przez inną usługę platformy Azure. W przeciwnym razie należy postępować zgodnie z procesem weryfikacji domeny usługi Azure Front Door, aby udowodnić własność nazwy domeny.
Wstępnie zweryfikowane domeny platformy Azure to domeny , które zostały zweryfikowane przez inną obsługiwaną usługę platformy Azure. Jeśli dołączysz i zweryfikujesz domenę do innej usługi platformy Azure, a następnie skonfigurujesz usługę Azure Front Door później, możesz pracować z wstępnie zawaloną domeną. Nie musisz weryfikować domeny za pośrednictwem usługi Azure Front Door, gdy używasz tego typu domeny.
Uwaga
Usługa Azure Front Door obecnie akceptuje tylko wstępnie zweryfikowane domeny skonfigurowane za pomocą usługi Azure Static Web Apps.
Domeny zweryfikowane przez platformę spoza platformy Azure to domeny , które nie są weryfikowane przez obsługiwaną usługę platformy Azure. Ten typ domeny może być hostowany z dowolną usługą DNS, w tym usługą Azure DNS, i wymaga, aby własność domeny została zweryfikowana przez usługę Azure Front Door.
Walidacja rekordu TXT
Aby zweryfikować domenę, należy utworzyć rekord TXT DNS. Nazwa rekordu TXT musi mieć postać _dnsauth.{subdomain}. Usługa Azure Front Door udostępnia unikatową wartość rekordu TXT po rozpoczęciu dodawania domeny do usługi Azure Front Door.
Załóżmy na przykład, że chcesz użyć niestandardowej poddomeny myapplication.contoso.com w usłudze Azure Front Door. Najpierw należy dodać domenę do profilu usługi Azure Front Door i zanotować wartość rekordu TXT, której należy użyć. Następnie należy skonfigurować rekord DNS z następującymi właściwościami:
| Właściwości | Wartość |
|---|---|
| Nazwa rekordu | _dnsauth.myapplication |
| Wartość rekordu | użyj wartości dostarczonej przez usługę Azure Front Door |
| Czas wygaśnięcia (TTL) | 1 godzina |
Po pomyślnym zweryfikowaniu domeny można bezpiecznie usunąć rekord TXT z serwera DNS.
Aby uzyskać więcej informacji na temat dodawania rekordu TXT DNS dla domeny niestandardowej, zobacz Konfigurowanie domeny niestandardowej w usłudze Azure Front Door przy użyciu witryny Azure Portal.
Stany weryfikacji domeny
W poniższej tabeli wymieniono stany weryfikacji, które mogą być wyświetlane w domenie.
| Stan weryfikacji domeny | Opis i akcje |
|---|---|
| Przesyłanie | Tworzona jest domena niestandardowa. Poczekaj, aż zasób domeny będzie gotowy. |
| Oczekiwanie | Wygenerowano wartość rekordu TXT DNS, a usługa Azure Front Door jest gotowa do dodania rekordu TXT DNS. Dodaj rekord TXT DNS do dostawcy DNS i poczekaj na zakończenie weryfikacji. Jeśli stan pozostanie Oczekujący nawet po zaktualizowaniu rekordu TXT u dostawcy DNS, wybierz pozycję Regeneruj ponownie, aby odświeżyć rekord TXT, a następnie ponownie dodaj rekord TXT do dostawcy DNS. |
| Oczekiwanie na zmianę | Certyfikat zarządzany jest krótszy niż 45 dni od wygaśnięcia. Jeśli masz już rekord CNAME wskazujący punkt końcowy usługi Azure Front Door, do odnowienia certyfikatu nie jest wymagana żadna akcja. Jeśli domena niestandardowa wskazuje inny rekord CNAME, wybierz stan Oczekujące na ponowną walidację, a następnie wybierz pozycję Wygeneruj ponownie na stronie Zweryfikuj domenę niestandardową. Na koniec wybierz pozycję Dodaj , jeśli używasz usługi Azure DNS lub ręcznie dodaj rekord TXT z zarządzaniem DNS własnego dostawcy DNS. |
| Odświeżanie tokenu weryfikacji | Domena przechodzi do stanu tokenu weryfikacji odświeżania przez krótki okres po wybraniu przycisku Wygeneruj ponownie . Po wystawieniu nowej wartości rekordu TXT stan zmieni się na Oczekujące. Nie trzeba podejmować żadnych działań. |
| Zatwierdzona | Domena została pomyślnie zweryfikowana, a usługa Azure Front Door może akceptować ruch korzystający z tej domeny. Nie trzeba podejmować żadnych działań. |
| Odrzucona | Dostawca/urząd certyfikatu odrzucił wystawianie zarządzanego certyfikatu. Na przykład nazwa domeny może być nieprawidłowa. Wybierz link Odrzucone, a następnie wybierz pozycję Wygeneruj ponownie na stronie Zweryfikuj domenę niestandardową, jak pokazano na zrzutach ekranu poniżej tej tabeli. Następnie wybierz pozycję Dodaj , aby dodać rekord TXT u dostawcy DNS. |
| Timeout | Rekord TXT nie został dodany do dostawcy DNS w ciągu siedmiu dni lub dodano nieprawidłowy rekord TXT DNS. Wybierz link Limit czasu, a następnie wybierz pozycję Regeneruj ponownie na stronie Zweryfikuj domenę niestandardową. Następnie wybierz pozycję Dodaj , aby dodać nowy rekord TXT do dostawcy DNS. Upewnij się, że używasz zaktualizowanej wartości. |
| Błąd wewnętrzny | Wystąpił nieznany błąd. Ponów próbę weryfikacji, wybierając przycisk Odśwież lub Wygeneruj ponownie. Jeśli nadal występują problemy, prześlij wniosek o pomoc techniczną, aby pomoc techniczna platformy Azure. |
Uwaga
- Domyślny czas wygaśnięcia rekordów TXT to 1 godzina. Jeśli musisz ponownie wygenerować rekord TXT w celu ponownej weryfikacji, zwróć uwagę na czas wygaśnięcia dla poprzedniego rekordu TXT. Jeśli nie wygaśnie, walidacja zakończy się niepowodzeniem do momentu wygaśnięcia poprzedniego rekordu TXT.
- Jeśli przycisk Wygeneruj ponownie nie działa, usuń i ponownie utwórz domenę.
- Jeśli stan domeny nie odzwierciedla się zgodnie z oczekiwaniami, wybierz przycisk Odśwież .
Protokół HTTPS dla domen niestandardowych
Korzystając z protokołu HTTPS w domenie niestandardowej, upewnij się, że poufne dane są bezpiecznie dostarczane przy użyciu szyfrowania TLS/SSL podczas ich wysyłania przez Internet. Gdy klient, podobnie jak przeglądarka internetowa, jest połączony z witryną internetową przy użyciu protokołu HTTPS, klient weryfikuje certyfikat zabezpieczeń witryny internetowej i zapewnia, że został wystawiony przez legalny urząd certyfikacji. Ten proces zapewnia bezpieczeństwo i chroni aplikacje internetowe przed atakami.
Usługa Azure Front Door obsługuje używanie protokołu HTTPS z własnymi domenami i odciąża zarządzanie certyfikatami zabezpieczeń warstwy transportu (TLS) z serwerów pochodzenia. W przypadku korzystania z domen niestandardowych można użyć certyfikatów TLS zarządzanych przez platformę Azure (zalecane) lub kupić i użyć własnych certyfikatów TLS.
Aby uzyskać więcej informacji na temat sposobu działania usługi Azure Front Door z protokołem TLS, zobacz Kompleksowe protokoły TLS z usługą Azure Front Door.
Certyfikaty TLS zarządzane przez usługę Azure Front Door
Usługa Azure Front Door może automatycznie zarządzać certyfikatami TLS dla domen podrzędnych i domen wierzchołków. W przypadku używania certyfikatów zarządzanych nie trzeba tworzyć kluczy ani żądań podpisywania certyfikatów i nie trzeba przekazywać, przechowywać ani instalować certyfikatów. Ponadto usługa Azure Front Door może automatycznie obracać (odnawiać) zarządzane certyfikaty bez żadnej interwencji człowieka. Ten proces pozwala uniknąć przestojów spowodowanych niepowodzeniem odnawiania certyfikatów TLS w czasie.
Proces generowania, wystawiania i instalowania zarządzanego certyfikatu TLS może potrwać od kilku minut do godziny, a czasami może to potrwać dłużej.
Uwaga
Certyfikaty zarządzane usługi Azure Front Door (Standardowa i Premium) są automatycznie obracane, jeśli rekord CNAME domeny wskazuje bezpośrednio punkt końcowy usługi Front Door lub wskazuje pośrednio punkt końcowy usługi Traffic Manager. W przeciwnym razie należy ponownie zweryfikować własność domeny w celu rotacji certyfikatów.
Typy domen
W poniższej tabeli przedstawiono podsumowanie funkcji dostępnych za pomocą zarządzanych certyfikatów TLS w przypadku używania różnych typów domen:
| Kwestie wymagające rozważenia | Poddomena | Domena wierzchołka | Domena z symbolami wieloznacznymi |
|---|---|---|---|
| Dostępne zarządzane certyfikaty TLS | Tak | Tak | Nie. |
| Zarządzane certyfikaty TLS są obracane automatycznie | Tak | Zobacz poniżej | Nie. |
W przypadku korzystania z certyfikatów TLS zarządzanych przez usługę Azure Front Door z domenami wierzchołkami automatyczna rotacja certyfikatów może wymagać ponownego zmiany własności domeny. Aby uzyskać więcej informacji, zobacz Apex domains in Azure Front Door (Domeny wierzchołka w usłudze Azure Front Door).
Wystawianie certyfikatów zarządzanych
Certyfikaty usługi Azure Front Door są wystawiane przez nasz urząd certyfikacji partnera, DigiCert. W przypadku niektórych domen należy jawnie zezwolić firmie DigiCert na wystawcę certyfikatów, tworząc rekord domeny CAA z wartością : 0 issue digicert.com.
Platforma Azure w pełni zarządza certyfikatami w Twoim imieniu, więc każdy aspekt certyfikatu zarządzanego, w tym wystawca główny, może ulec zmianie w dowolnym momencie. Te zmiany wykraczają poza twoją kontrolę. Pamiętaj, aby uniknąć twardych zależności od dowolnego aspektu zarządzanego certyfikatu, takiego jak sprawdzanie odcisku palca certyfikatu, lub przypinanie do zarządzanego certyfikatu lub dowolnej części hierarchii certyfikatów. Jeśli musisz przypiąć certyfikaty, należy użyć certyfikatu TLS zarządzanego przez klienta, zgodnie z opisem w następnej sekcji.
Certyfikaty TLS zarządzane przez klienta
Czasami może być konieczne podanie własnych certyfikatów TLS. Typowe scenariusze dostarczania własnych certyfikatów obejmują:
- Twoja organizacja wymaga używania certyfikatów wystawionych przez określony urząd certyfikacji.
- Chcesz, aby usługa Azure Key Vault wystawiła certyfikat przy użyciu urzędu certyfikacji partnera.
- Należy użyć certyfikatu TLS rozpoznawanego przez aplikację kliencką.
- Należy użyć tego samego certyfikatu TLS w wielu systemach.
- Używasz domen z symbolami wieloznacznymi. Usługa Azure Front Door nie udostępnia certyfikatów zarządzanych dla domen wieloznacznych.
Uwaga
- Od września 2023 r. usługa Azure Front Door obsługuje weryfikację własności domeny za pomocą usługi Bring Your Own Certificates (BYOC). Usługa Front Door zatwierdza własność domeny, jeśli nazwa certyfikatu (CN) lub alternatywna nazwa podmiotu (SAN) certyfikatu jest zgodna z domeną niestandardową. W przypadku wybrania certyfikatu zarządzanego platformy Azure weryfikacja domeny używa rekordu TXT DNS.
- W przypadku domen niestandardowych utworzonych przed weryfikacją opartą na protokole BYOC, a stan weryfikacji domeny nie jest zatwierdzony, należy wyzwolić automatyczne zatwierdzenie walidacji własności domeny, wybierając stan weryfikacji i klikając przycisk Realiduj w portalu. Jeśli używasz narzędzia wiersza polecenia, możesz wyzwolić walidację domeny, wysyłając puste żądanie PATCH do interfejsu API domeny.
Wymagania dotyczące certyfikatu
Aby używać certyfikatu z usługą Azure Front Door, musi spełniać następujące wymagania:
- Kompletny łańcuch certyfikatów: podczas tworzenia certyfikatu TLS/SSL należy utworzyć pełny łańcuch certyfikatów z dozwolonym urzędem certyfikacji, który jest częścią listy zaufanych urzędów certyfikacji firmy Microsoft. Jeśli używasz urzędu certyfikacji, który nie jest niedozwolony, żądanie zostanie odrzucone. Główny urząd certyfikacji musi być częścią listy zaufanych urzędów certyfikacji firmy Microsoft. Jeśli zostanie przedstawiony certyfikat bez kompletnego łańcucha, nie ma gwarancji, że żądania dotyczące tego certyfikatu będą działać zgodnie z oczekiwaniami.
- Nazwa pospolita: nazwa pospolita certyfikatu musi być zgodna z domeną skonfigurowaną w usłudze Azure Front Door.
- Algorytm: usługa Azure Front Door nie obsługuje certyfikatów za pomocą algorytmów kryptograficznych krzywej eliptycznej (EC).
- Typ pliku (zawartość): certyfikat musi zostać przekazany do magazynu kluczy z pliku PFX, który używa
application/x-pkcs12typu zawartości.
Importowanie certyfikatu do usługi Azure Key Vault
Aby można było używać go z usługą Azure Front Door, należy zaimportować niestandardowe certyfikaty TLS do usługi Azure Key Vault. Aby dowiedzieć się, jak zaimportować certyfikat do magazynu kluczy, zobacz Samouczek: importowanie certyfikatu w usłudze Azure Key Vault.
Magazyn kluczy musi znajdować się w tej samej subskrypcji platformy Azure co profil usługi Azure Front Door.
Ostrzeżenie
Usługa Azure Front Door obsługuje tylko magazyny kluczy w tej samej subskrypcji co profil usługi Front Door. Wybranie magazynu kluczy w ramach innej subskrypcji niż profil usługi Azure Front Door spowoduje niepowodzenie.
Certyfikaty muszą być przekazywane jako obiekt certyfikatu, a nie wpis tajny.
Udzielanie dostępu do usługi Azure Front Door
Usługa Azure Front Door musi uzyskać dostęp do magazynu kluczy w celu odczytania certyfikatu. Należy skonfigurować zarówno zaporę sieciową magazynu kluczy, jak i kontrolę dostępu magazynu.
Jeśli magazyn kluczy ma włączone ograniczenia dostępu do sieci, musisz skonfigurować magazyn kluczy, aby umożliwić zaufanym usługom firmy Microsoft omijanie zapory.
Istnieją dwa sposoby konfigurowania kontroli dostępu w magazynie kluczy:
- Usługa Azure Front Door może używać tożsamości zarządzanej do uzyskiwania dostępu do magazynu kluczy. Tego podejścia można użyć, gdy magazyn kluczy korzysta z uwierzytelniania firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Używanie tożsamości zarządzanych z usługą Azure Front Door Standard/Premium.
- Alternatywnie możesz udzielić jednostce usługi Azure Front Door dostępu do magazynu kluczy. Tego podejścia można użyć podczas korzystania z zasad dostępu do magazynu.
Dodawanie certyfikatu niestandardowego do usługi Azure Front Door
Po zaimportowaniu certyfikatu do magazynu kluczy utwórz zasób tajny usługi Azure Front Door, który jest odwołaniem do certyfikatu dodanego do magazynu kluczy.
Następnie skonfiguruj domenę tak, aby korzystała z wpisu tajnego usługi Azure Front Door dla certyfikatu TLS.
Aby zapoznać się z przewodnikiem po tych krokach, zobacz Konfigurowanie protokołu HTTPS w domenie niestandardowej usługi Azure Front Door przy użyciu witryny Azure Portal.
Przełączanie między typami certyfikatów
Domenę można zmienić przy użyciu certyfikatu zarządzanego przez usługę Azure Front Door i certyfikatu zarządzanego przez użytkownika.
- Wdrożenie nowego certyfikatu może potrwać do godziny podczas przełączania się między typami certyfikatów.
- Jeśli stan domeny ma wartość Zatwierdzone, przełączenie typu certyfikatu między zarządzanym przez użytkownika i zarządzanym certyfikatem nie spowoduje przestoju.
- Podczas przełączania do certyfikatu zarządzanego usługa Azure Front Door będzie nadal używać poprzedniego certyfikatu, dopóki własność domeny nie zostanie ponownie zatwierdzona, a stan domeny zostanie zatwierdzony.
- Jeśli przełączysz się z byOC do certyfikatu zarządzanego, wymagana jest zmiana domeny. Jeśli przełączysz się z certyfikatu zarządzanego na byOC, nie musisz ponownie zmieniać domeny.
Odnawianie certyfikatu
Odnawianie certyfikatów zarządzanych przez usługę Azure Front Door
W przypadku większości domen niestandardowych usługa Azure Front Door automatycznie odnawia (obraca) zarządzane certyfikaty, gdy zbliżają się do wygaśnięcia i nie trzeba wykonywać żadnych czynności.
Jednak usługa Azure Front Door nie będzie automatycznie obracać certyfikatów w następujących scenariuszach:
- Rekord CNAME domeny niestandardowej wskazuje rekord DNS inny niż domena punktu końcowego usługi Azure Front Door.
- Domena niestandardowa wskazuje punkt końcowy usługi Azure Front Door za pośrednictwem łańcucha. Jeśli na przykład rekord DNS wskazuje usługę Azure Traffic Manager, która z kolei jest rozpoznawana w usłudze Azure Front Door, łańcuch CNAME to
contoso.comCNAME w CNAMEcontoso.trafficmanager.netw systemiecontoso.z01.azurefd.net. Usługa Azure Front Door nie może zweryfikować całego łańcucha. - Domena niestandardowa używa rekordu A. Zalecamy, aby zawsze używać rekordu CNAME do wskazywania usługi Azure Front Door.
- Domena niestandardowa jest domeną wierzchołkową i używa spłaszczania CNAME.
Jeśli jeden z powyższych scenariuszy dotyczy domeny niestandardowej, to 45 dni przed wygaśnięciem zarządzanego certyfikatu stan weryfikacji domeny zmieni się na Oczekujące na zmianę. Stan Oczekujące na zmianę wskazuje, że należy utworzyć nowy rekord TXT DNS w celu ponownego zmiany własności domeny.
Uwaga
Rekordy TXT DNS wygasają po siedmiu dniach. Jeśli wcześniej dodano rekord TXT weryfikacji domeny do serwera DNS, należy zastąpić go nowym rekordem TXT. Upewnij się, że używasz nowej wartości, w przeciwnym razie proces weryfikacji domeny zakończy się niepowodzeniem.
Jeśli nie można zweryfikować domeny, stan weryfikacji domeny zostanie odrzucony. Ten stan wskazuje, że urząd certyfikacji odrzucił żądanie ponownego wystawiania zarządzanego certyfikatu.
Aby uzyskać więcej informacji na temat stanów weryfikacji domeny, zobacz Stany weryfikacji domeny.
Odnawianie certyfikatów zarządzanych przez platformę Azure dla domen wstępnie za pomocą innych usług platformy Azure
Certyfikaty zarządzane przez platformę Azure są automatycznie obracane przez usługę platformy Azure, która weryfikuje domenę.
Odnawianie certyfikatów TLS zarządzanych przez klienta
Po zaktualizowaniu certyfikatu w magazynie kluczy usługa Azure Front Door może automatycznie wykrywać i używać zaktualizowanego certyfikatu. Aby ta funkcja działała, ustaw wersję wpisu tajnego na "Latest" podczas konfigurowania certyfikatu w usłudze Azure Front Door.
Jeśli wybierzesz określoną wersję certyfikatu, musisz ponownie wybrać nową wersję ręcznie po zaktualizowaniu certyfikatu.
Automatyczne wdrażanie nowej wersji certyfikatu/wpisu tajnego trwa do 72 godzin.
Jeśli chcesz zmienić wersję wpisu tajnego z "Latest" na określoną wersję lub na odwrót, dodaj nowy certyfikat.
Zasady zabezpieczeń
Zapora aplikacji internetowej (WAF) usługi Azure Front Door umożliwia skanowanie żądań do aplikacji pod kątem zagrożeń oraz wymuszanie innych wymagań dotyczących zabezpieczeń.
Aby użyć zapory aplikacji internetowej z domeną niestandardową, użyj zasobu zasad zabezpieczeń usługi Azure Front Door. Zasady zabezpieczeń kojarzą domenę z zasadami zapory aplikacji internetowej. Opcjonalnie można utworzyć wiele zasad zabezpieczeń, aby można było używać różnych zasad zapory aplikacji internetowej z różnymi domenami.
Następne kroki
- Aby dowiedzieć się, jak dodać domenę niestandardową do profilu usługi Azure Front Door, zobacz Konfigurowanie domeny niestandardowej w usłudze Azure Front Door przy użyciu witryny Azure Portal.
- Dowiedz się więcej o sposobie kompleksowego szyfrowania TLS w usłudze Azure Front Door.