Skonfiguruj protokół HTTPS w niestandardowej domenie klasycznej usługi Azure Front Door.

Ważne

Usługa Azure Front Door (klasyczna) zostanie wycofana 31 marca 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure Front Door (wersja klasyczna) do warstwy Azure Front Door Standard lub Premium do marca 2027 r. Aby uzyskać więcej informacji, zobacz Wycofywanie usługi Azure Front Door (wersja klasyczna).

W tym artykule wyjaśniono, jak włączyć protokół HTTPS dla domeny niestandardowej skojarzonej z usługą Front Door (klasyczną). Użycie protokołu HTTPS w domenie niestandardowej (na przykład https://www.contoso.com) zapewnia bezpieczną transmisję danych za pośrednictwem szyfrowania TLS/SSL. Gdy przeglądarka internetowa łączy się z witryną internetową przy użyciu protokołu HTTPS, weryfikuje certyfikat zabezpieczeń witryny internetowej i weryfikuje jego legitymację, zapewniając bezpieczeństwo i ochronę aplikacji internetowych przed złośliwymi atakami.

Usługa Azure Front Door domyślnie obsługuje protokół HTTPS na domyślnej nazwie hosta (na przykład https://contoso.azurefd.net). Należy jednak włączyć protokół HTTPS oddzielnie dla domen niestandardowych, takich jak www.contoso.com.

Kluczowe atrybuty niestandardowej funkcji HTTPS obejmują:

• Brak dodatkowych kosztów: brak kosztów pozyskiwania, odnawiania certyfikatu ani ruchu HTTPS.
• Proste włączanie: jednoetapowa aprowizacja za pośrednictwem portalu Azure, interfejsu API REST lub innych narzędzi deweloperskich.
• Kompletne zarządzanie certyfikatami: Automatyczne zaopatrzenie certyfikatów i odnawianie, eliminując ryzyko przerwy w działaniu usługi z powodu wygasłych certyfikatów.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Włącz protokół HTTPS w domenie niestandardowej.
• Użyj certyfikatu zarządzanego przez usługę AFD.
• Użyj własnego certyfikatu TLS/SSL.
• Weryfikowanie domeny
• Wyłącz protokół HTTPS w domenie niestandardowej.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz usługę Front Door z co najmniej jedną domeną niestandardową dołączoną. Aby uzyskać więcej informacji, zobacz Samouczek: dodawanie do usługi Front Door domeny niestandardowej.

Certyfikat TLS/SSL

Aby włączyć protokół HTTPS w domenie niestandardowej usługi Front Door (klasycznej), potrzebny jest certyfikat TLS/SSL. Możesz użyć certyfikatu zarządzanego przez usługę Azure Front Door lub własnego certyfikatu.

Opcja 1 (ustawienie domyślne): użycie certyfikatu zarządzanego przez usługę Front Door

Korzystanie z certyfikatu zarządzanego przez usługę Azure Front Door umożliwia włączenie protokołu HTTPS z kilkoma zmianami ustawień. Usługa Azure Front Door obsługuje wszystkie zadania zarządzania certyfikatami, w tym zaopatrzenie i odnawianie. Jeśli domena niestandardowa jest już mapowana na domyślny host frontonu usługi Front Door ({hostname}.azurefd.net), nie jest wymagana żadna dalsza akcja. W przeciwnym razie musisz zweryfikować własność domeny za pośrednictwem poczty e-mail.

Aby włączyć protokół HTTPS w domenie niestandardowej:

1. W witrynie Azure Portal przejdź do profilu usługi Front Door .

2. Wybierz domenę niestandardową, dla której chcesz włączyć protokół HTTPS z listy hostów frontonu.

3. W obszarze Niestandardowy protokół HTTPS wybierz Włączone i jako źródło certyfikatu wybierz Zarządzane przez usługę Front Door.

4. Wybierz pozycję Zapisz.

5. Przejdź do kroku Weryfikowanie domeny.

Uwaga

• Limit znaków 64 firmy DigiCert jest wymuszany dla certyfikatów zarządzanych przez usługę Azure Front Door. Walidacja zakończy się niepowodzeniem, jeśli ten limit zostanie przekroczony.
• Włączanie protokołu HTTPS za pośrednictwem certyfikatu zarządzanego usługi Front Door nie jest obsługiwane w przypadku domenu głównej (np. contoso.com). Użyj własnego certyfikatu w tym scenariuszu (zobacz Opcję 2).

Opcja 2: użycie własnego certyfikatu

Możesz użyć własnego certyfikatu za pośrednictwem integracji z usługą Azure Key Vault. Upewnij się, że certyfikat pochodzi z listy zaufanych urzędów certyfikacji firmy Microsoft i ma pełny łańcuch certyfikatów.

Przygotuj magazyn kluczy i certyfikaty

• Utwórz konto Key Vault w tej samej subskrypcji Azure, co usługa Front Door.
• Skonfiguruj magazyn kluczy, aby zezwolić zaufanym usługi firmy Microsoft na obejście zapory, jeśli są włączone ograniczenia dostępu do sieci.
• Użyj modelu uprawnień dostępu Key Vault.
• Przekaż certyfikat jako obiekt certyfikatu, a nie wpis tajny.

Uwaga

Usługa Front Door nie obsługuje certyfikatów z algorytmami kryptografii krzywej eliptycznej (EC). Certyfikat musi mieć pełny łańcuch certyfikatów z certyfikatami końcowymi i pośrednimi, a główny urząd certyfikacji musi być częścią listy zaufanych urzędów certyfikacyjnych Microsoft.

Zarejestruj usługę Azure Front Door

Zarejestruj jednostkę usługi Azure Front Door w Microsoft Entra ID przy użyciu programu Azure PowerShell lub Azure CLI.

Azure PowerShell

1. Zainstaluj program Azure PowerShell w razie potrzeby.

2. Uruchom następujące polecenie:

   New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
   

Azure CLI

1. W razie potrzeby zainstaluj interfejs wiersza polecenia platformy Azure.

2. Uruchom następujące polecenie:

   az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
   

Udziel usłudze Azure Front Door dostępu do magazynu kluczy

1. Na koncie magazynu kluczy wybierz pozycję Zasady dostępu.

2. Wybierz pozycję Utwórz, aby utworzyć nowe zasady dostępu.

3. W Uprawnieniach tajnych wybierz Pobierz.

4. W obszarze Uprawnienia certyfikatu wybierz pozycję Pobierz.

5. W Wybierz podmiot główny, wyszukaj ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 i wybierz Microsoft.Azure.Frontdoor. Wybierz Dalej.

6. Wybierz pozycję Dalej w obszarze Aplikacja.

7. Wybierz Utwórz w Przeglądanie i tworzenie.

Uwaga

Jeśli magazyn kluczy ma ograniczenia dostępu do sieci, zezwól zaufanym usługom firmy Microsoft na dostęp do twojego magazynu kluczy.

Wybierz certyfikat do wdrożenia dla usługi Azure Front Door

1. Wróć do usługi Front Door w portalu.

2. Wybierz domenę niestandardową, dla której chcesz włączyć protokół HTTPS.

3. W obszarze Typ zarządzania certyfikatami wybierz pozycję Użyj własnego certyfikatu.

4. Wybierz magazyn kluczy, tajemnicę i wersję tajemnicy.

   Uwaga

   Aby włączyć automatyczną rotację certyfikatów, ustaw wersję sekretu na "Latest". Jeśli wybrano określoną wersję, należy ją ręcznie zaktualizować do rotacji certyfikatów.

   Ostrzeżenie

   Upewnij się, że jednostka usługi ma uprawnienia GET w usłudze Key Vault. Aby wyświetlić certyfikat na liście rozwijanej portalu, konto użytkownika musi mieć uprawnienia LIST i GET w usłudze Key Vault.

5. W przypadku korzystania z własnego certyfikatu weryfikacja domeny nie jest wymagana. Przejdź do sekcji Oczekiwanie na propagację.

Weryfikowanie domeny

Jeśli domena niestandardowa jest mapowana na niestandardowy punkt końcowy za pomocą rekordu CNAME lub używasz własnego certyfikatu, przejdź do domena niestandardowa jest mapowana na Front Door. W przeciwnym razie postępuj zgodnie z instrukcjami w domena niestandardowa nie jest zmapowana na usługę Front Door.

Domena niestandardowa jest przypisana do usługi Front Door za pomocą rekordu CNAME.

Jeśli rekord CNAME nadal istnieje i nie zawiera poddomeny afdverify, firma DigiCert automatycznie weryfikuje własność domeny niestandardowej.

Rekord CNAME powinien mieć następujący format:

Nazwisko	Typ	Wartość
<www.contoso.com>	CNAME	contoso.azurefd.net

Aby uzyskać więcej informacji na temat rekordów CNAME, zobacz Tworzenie rekordu DNS CNAME.

Jeśli rekord CNAME jest poprawny, firma DigiCert automatycznie weryfikuje domenę niestandardową i tworzy dedykowany certyfikat. Certyfikat jest ważny przez jeden rok i odnawia się automatycznie przed jego wygaśnięciem. Przejdź do sekcji Oczekiwanie na propagację.

Uwaga

Jeśli u swojego dostawcy usług DNS masz rekord autoryzacji urzędu certyfikacji (CAA, Certificate Authority Authorization), musi on zawierać firmę DigiCert jako uznawany urząd certyfikacji. Aby uzyskać więcej informacji, zobacz Zarządzanie rekordami CAA.

Domena niestandardowa nie jest przypisana do usługi Front Door

Jeśli wpis rekordu CNAME dla punktu końcowego już nie istnieje lub zawiera domenę podrzędną afdverify, postępuj zgodnie z tymi instrukcjami.

Po włączeniu protokołu HTTPS w domenie niestandardowej firma DigiCert weryfikuje własność, kontaktując się z podmiotem rejestrującym domeny za pośrednictwem poczty e-mail lub telefonu wymienionego w rejestracji WHOIS. Należy ukończyć walidację domeny w ciągu sześciu dni roboczych. Weryfikacja domeny DigiCert działa na poziomie poddomeny.

Firma DigiCert wysyła również wiadomość e-mail weryfikacyjną na następujące adresy, jeśli informacje rejestru WHOIS są prywatne:

• admin@<nazwa-domeny.com>
• administrator@<twoja-nazwa-domeny.com>
• webmaster@<twoja-nazwa-domeny.com>
• hostmaster@<twoja-nazwa-domeny.com>
• postmaster@<your-domain-name.com>

Powinnaś otrzymać wiadomość e-mail z prośbą o zatwierdzenie wymagania. Jeśli w ciągu 24 godzin nie otrzymasz wiadomości e-mail, skontaktuj się z działem pomocy technicznej firmy Microsoft.

Po zatwierdzeniu firma DigiCert kończy tworzenie certyfikatu. Certyfikat jest ważny przez jeden rok i odnawia się automatycznie, jeśli rekord CNAME jest przypisany do domyślnej nazwy hosta usługi Azure Front Door.

Uwaga

Zarządzane automatyczne odnawianie certyfikatu wymaga, aby domena niestandardowa była bezpośrednio mapowana na domyślną nazwę hosta .azurefd.net usługi Front Door przez rekord CNAME.

Oczekiwanie na propagację

Po weryfikacji domeny aktywowanie funkcji HTTPS domeny niestandardowej może potrwać do 6–8 godzin. Po zakończeniu stan niestandardowego protokołu HTTPS w witrynie Azure Portal ma wartość Włączone.

Postęp operacji

W poniższej tabeli przedstawiono postęp operacji podczas włączania protokołu HTTPS:

Krok operacji	Szczegóły kroku podrzędnego operacji
1. Przesyłanie żądania	Przesyłanie żądania
	Trwa przesyłanie żądania HTTPS.
	Twoje żądanie HTTPS zostało pomyślnie przesłane.
2. Weryfikacja domeny	Domena jest automatycznie weryfikowana, jeśli rekord CNAME jest przypisany do domyślnego węzła frontowego .azurefd.net. W przeciwnym razie żądanie weryfikacji jest wysyłane do poczty e-mail wymienionej w rekordzie rejestracji domeny (registrant WHOIS). Jak najszybciej zweryfikuj domenę.
	Własność domeny została pomyślnie zweryfikowana.
	Żądanie weryfikacji własności domeny wygasło (klient prawdopodobnie nie odpowiedział w ciągu sześciu dni). Protokół HTTPS nie jest włączony w domenie. *
	Żądanie weryfikacji własności domeny odrzucone przez klienta. Protokół HTTPS nie jest włączony w domenie. *
Przygotowywanie certyfikatów	Urząd certyfikacji wystawia certyfikat wymagany do włączenia protokołu HTTPS w domenie.
	Certyfikat został wystawiony i jest wdrażany dla usługi Azure Front Door. Ten proces może potrwać od kilku minut do godziny.
	Certyfikat został pomyślnie wdrożony dla usługi Front Door.
4. Ukończono	Protokół HTTPS został pomyślnie włączony w domenie.

* Ten komunikat pojawia się tylko wtedy, gdy wystąpi błąd.

Jeśli przed przesłaniem żądania wystąpi błąd, zostanie wyświetlony następujący komunikat o błędzie:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Często zadawane pytania

1. Kto jest dostawcą certyfikatów i jaki typ certyfikatu jest używany?

   Dedykowany/pojedynczy certyfikat dostarczony przez firmę DigiCert jest używany dla domeny niestandardowej.

2. Czy używasz protokołu TLS/SSL opartego na protokole IP, czy z rozszerzeniem SNI?

   Usługa Azure Front Door używa protokołu TLS/SSL SNI.

3. Co zrobić, jeśli nie otrzymam wiadomości e-mail weryfikującej domenę od firmy DigiCert?

   Jeśli masz wpis CNAME dla swojej niestandardowej domeny, który wskazuje bezpośrednio na nazwę hosta punktu końcowego i jeśli nie korzystasz z nazwy domeny podrzędnej afdverify, nie otrzymasz e-maila weryfikacyjnego dla domeny. Walidacja będzie wykonywana automatycznie. W przeciwnym razie, jeśli nie masz wpisu CNAME i nie otrzymasz wiadomości e-mail w ciągu 24 godzin, skontaktuj się z pomocą techniczną firmy Microsoft.

4. Czy używanie certyfikatu SAN jest mniejsze bezpieczne niż certyfikatu dedykowanego?

   Certyfikat SAN działa zgodnie z tymi samymi standardami szyfrowania i zabezpieczeń, co certyfikat dedykowany. Wszystkie wystawione certyfikaty TLS/SSL używają algorytmu SHA-256 w celu zapewnienia zwiększonych zabezpieczeń serwera.

5. Czy muszę mieć rekord autoryzacji instytucji certyfikującej u mojego dostawcy DNS?

   Nie, rekord autoryzacji urzędu certyfikacji nie jest obecnie wymagany. Jeśli jednak istnieje, musi zawierać firmę DigiCert jako prawidłowy urząd certyfikacji.

Czyszczenie zasobów

Aby wyłączyć protokół HTTPS w domenie niestandardowej:

Wyłączanie funkcji protokołu HTTPS

1. W witrynie Azure Portal przejdź do konfiguracji usługi Azure Front Door .

2. Wybierz domenę niestandardową, dla której chcesz wyłączyć protokół HTTPS.

3. Wybierz pozycję Wyłączone i wybierz pozycję Zapisz.

Oczekiwanie na propagację

Po wyłączeniu funkcji HTTPS domeny niestandardowej może upłynąć do 6–8 godzin. Po zakończeniu stan niestandardowego protokołu HTTPS w witrynie Azure Portal jest ustawiony na wartość Wyłączone.

Postęp operacji

W poniższej tabeli przedstawiono postęp operacji podczas wyłączania protokołu HTTPS:

Postęp operacji	Szczegóły operacji
1. Przesyłanie żądania	Przesyłanie żądania
2. Anulowanie aprowizacji certyfikatu	Usuwanie certyfikatu
3. Ukończono	Certyfikat został usunięty

Następne kroki

Aby dowiedzieć się, jak skonfigurować zasady filtrowania geograficznego dla usługi Front Door, przejdź do następnego samouczka.