Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Front Door umożliwia domyślnie bezpieczne dostarczanie protokołu Transport Layer Security (TLS) do aplikacji podczas korzystania z własnych domen niestandardowych. Aby dowiedzieć się więcej o domenach niestandardowych, w tym o sposobie pracy domen niestandardowych z protokołem HTTPS, zobacz Domeny w usłudze Azure Front Door.
Usługa Azure Front Door obsługuje certyfikaty zarządzane przez platformę Azure i certyfikaty zarządzane przez klienta. Z tego artykułu dowiesz się, jak skonfigurować oba typy certyfikatów dla domen niestandardowych usługi Azure Front Door.
Wymagania wstępne
- Profil usługi Azure Front Door. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie usługi Azure Front Door Standard/Premium.
- Domena niestandardowa. Jeśli nie masz domeny niestandardowej, musisz najpierw kupić go od dostawcy domeny. Aby uzyskać więcej informacji, zobacz Kupowanie niestandardowej nazwy domeny.
- Jeśli używasz platformy Azure do hostowania domen DNS, musisz delegować system nazw domen dostawcy domeny (DNS) do usługi Azure DNS. Więcej informacji można znaleźć w temacie Delegowanie domeny do usługi DNS platformy Azure. W przeciwnym razie, jeśli używasz dostawcy domeny do obsługi domeny DNS, musisz ręcznie zweryfikować domenę, wprowadzając żądane rekordy TXT domeny DNS.
Certyfikaty zarządzane przez usługę Azure Front Door dla wstępnie zweryfikowanych domen nienależących do platformy Azure
Jeśli masz własną domenę, a domena nie jest jeszcze skojarzona z inną usługą platformy Azure, która prewaliduje domeny usługi Azure Front Door, wykonaj następujące kroki:
W obszarze Ustawienia wybierz pozycję Domeny dla profilu usługi Azure Front Door. Następnie wybierz pozycję + Dodaj , aby dodać nową domenę.
W okienku Dodawanie domeny wprowadź lub wybierz następujące informacje. Następnie wybierz pozycję Dodaj , aby dołączyć domenę niestandardową.
Ustawienie Wartość Typ domeny Wybierz wstępnie zweryfikowaną domenę spoza platformy Azure. Zarządzanie systemem DNS Wybierz Zarządzany system DNS Azure (zalecane). strefa DNS Wybierz strefę usługi Azure DNS, która hostuje domenę niestandardową. Domena niestandardowa Wybierz istniejącą domenę lub dodaj nową domenę. HTTPS Wybierz pozycję Zarządzane przez AFD (zalecane). Zweryfikuj i skojarz domenę niestandardową z punktem końcowym, wykonując kroki umożliwiające włączenie domeny niestandardowej.
Po pomyślnym skojarzeniu domeny niestandardowej z punktem końcowym usługa Azure Front Door generuje certyfikat i wdraża go. Ten proces może potrwać od kilku minut do godziny.
Certyfikaty zarządzane przez platformę Azure dla wstępnie zweryfikowanych domen Azure
Jeśli masz własną domenę, a domena jest skojarzona z inną usługą platformy Azure, która prewaliduje domeny dla usługi Azure Front Door, wykonaj następujące kroki:
W obszarze Ustawienia wybierz pozycję Domeny dla profilu usługi Azure Front Door. Następnie wybierz pozycję + Dodaj , aby dodać nową domenę.
W okienku Dodawanie domeny wprowadź lub wybierz następujące informacje. Następnie wybierz pozycję Dodaj , aby dołączyć domenę niestandardową.
Ustawienie Wartość Typ domeny Wybierz wstępnie zweryfikowaną domenę platformy Azure. Wstępnie zweryfikowane domeny niestandardowe Wybierz niestandardową nazwę domeny z rozwijanej listy usług Azure. HTTPS Wybierz pozycję Zarządzane przez Azure. Zweryfikuj i skojarz domenę niestandardową z punktem końcowym, wykonując kroki umożliwiające włączenie domeny niestandardowej.
Po pomyślnym skojarzeniu domeny niestandardowej z punktem końcowym certyfikat zarządzany przez usługę Azure Front Door zostanie wdrożony w usłudze Azure Front Door. Ten proces może potrwać od kilku minut do godziny.
Używanie własnego certyfikatu
Możesz również użyć własnego certyfikatu TLS. Certyfikat TLS musi spełniać określone wymagania. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów.
Przygotuj magazyn kluczy i certyfikat
Utwórz oddzielne wystąpienie usługi Azure Key Vault, w którym są przechowywane certyfikaty TLS usługi Azure Front Door. Aby uzyskać więcej informacji, zobacz Tworzenie wystąpienia usługi Key Vault. Jeśli masz już certyfikat, możesz przekazać go do nowej instancji usługi Key Vault. W przeciwnym razie możesz utworzyć nowy certyfikat za pośrednictwem usługi Key Vault od jednego z partnerów urzędu certyfikacji.
Obecnie istnieją dwa sposoby uwierzytelniania usługi Azure Front Door w celu uzyskania dostępu do usługi Key Vault:
- Zarządzana tożsamość: Azure Front Door używa zarządzanej tożsamości do uwierzytelniania w Azure Key Vault. Ta metoda jest zalecana, ponieważ jest bezpieczniejsza i nie wymaga zarządzania poświadczeniami. Aby uzyskać więcej informacji, zobacz Używanie tożsamości zarządzanych w usłudze Azure Front Door. Przejdź do Wyboru certyfikatu dla wdrożenia usługi Azure Front Door, jeśli używasz tej metody.
- Rejestracja aplikacji: Azure Front Door wykorzystuje rejestrację aplikacji do uwierzytelniania się w usłudze Key Vault. Ta metoda jest przestarzała i zostanie wycofana w przyszłości. Aby uzyskać więcej informacji, zobacz Używanie rejestracji aplikacji w usłudze Azure Front Door.
Ostrzeżenie
- Usługa Azure Front Door obecnie obsługuje tylko usługę Key Vault w tej samej subskrypcji. Wybranie usługi Key Vault w ramach innej subskrypcji powoduje niepowodzenie.
- Usługa Azure Front Door nie obsługuje certyfikatów z wielokropowymi algorytmami kryptografii krzywej. Ponadto certyfikat musi mieć kompletny łańcuch certyfikatów z certyfikatami końcowymi i certyfikatem pośrednim. Nadrzędny urząd certyfikacji musi być również częścią listy zaufanych urzędów certyfikacji Microsoft.
Zarejestruj usługę Azure Front Door
Zarejestruj główny obiekt usługi dla usługi Azure Front Door jako aplikację w Microsoft Entra ID za pomocą Microsoft Graph PowerShell lub Azure CLI.
Uwaga
- Ta akcja wymaga posiadania uprawnień administratora dostępu użytkowników w usłudze Microsoft Entra ID. Rejestrację należy wykonać tylko raz na dzierżawę Microsoft Entra.
- Identyfikatory aplikacji 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 i d4631ece-daab-479b-be77-ccb713491fc0 są wstępnie zdefiniowane przez platformę Azure dla usługi Azure Front Door Standard i Premium we wszystkich dzierżawach i subskrypcjach platformy Azure. Usługa Azure Front Door (wersja klasyczna) ma inny identyfikator aplikacji.
W razie potrzeby zainstaluj program Microsoft Graph PowerShell w programie PowerShell na komputerze lokalnym.
Uruchom następujące polecenie za pomocą programu PowerShell:
Chmura publiczna platformy Azure:
New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Chmura Azure dla instytucji rządowych
New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
Udziel usłudze Azure Front Door dostępu do magazynu kluczy
Udziel usłudze Azure Front Door uprawnień dostępu do certyfikatów na nowym koncie usługi Key Vault utworzonym specjalnie dla usługi Azure Front Door. Aby usługa Azure Front Door mogła pobrać certyfikat, wystarczy udzielić GET uprawnień do certyfikatu i tajemnicy.
Na koncie usługi Key Vault wybierz pozycję Zasady dostępu.
Wybierz pozycję Dodaj nowe lub Utwórz, aby utworzyć nowe zasady dostępu.
W Uprawnieniach tajnych wybierz pozycję Pobierz, aby zezwolić usłudze Azure Front Door na pobieranie certyfikatu.
W obszarze Uprawnienia certyfikatu wybierz pozycję Pobierz , aby zezwolić usłudze Azure Front Door na pobieranie certyfikatu.
W Wybierz podmiot zabezpieczeń wyszukaj 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 i wybierz Microsoft.AzureFrontDoor-Cdn. Wybierz opcję Dalej.
W obszarze Aplikacja wybierz pozycję Dalej.
Na stronie Przeglądanie + tworzenie wybierz pozycję Utwórz.
Uwaga
Jeśli magazyn kluczy jest chroniony za pomocą ograniczeń dostępu do sieci, upewnij się, że zezwalaj zaufanym usługi firmy Microsoft na dostęp do magazynu kluczy.
Usługa Azure Front Door może teraz uzyskać dostęp do tego magazynu kluczy i certyfikatów, które zawiera.
Wybierz certyfikat do wdrożenia dla usługi Azure Front Door
Powróć do usługi Azure Front Door w wersji Standard/Premium w portalu.
W obszarze Zabezpieczenia przejdź do pozycji Wpisy tajne i wybierz pozycję + Dodaj certyfikat.
W okienku Dodawanie certyfikatu zaznacz pole wyboru certyfikatu, który chcesz dodać do usługi Azure Front Door Standard/Premium.
Po wybraniu certyfikatu należy wybrać wersję certyfikatu. Jeśli wybierzesz pozycję Najnowsze, usługa Azure Front Door automatycznie aktualizuje się za każdym razem, gdy certyfikat zostanie odnowiony. Możesz również wybrać określoną wersję certyfikatu, jeśli wolisz samodzielnie zarządzać rotacją certyfikatów.
Pozostaw wybraną wersję jako Najnowsza , a następnie wybierz pozycję Dodaj.
Po pomyślnym przydzieleniu certyfikatu można go użyć podczas dodawania nowej domeny niestandardowej.
W obszarze Ustawienia przejdź do pozycji Domeny i wybierz pozycję + Dodaj , aby dodać nową domenę niestandardową. W okienku Dodawanie domeny, dla HTTPS, wybierz opcję Użyj własnego certyfikatu (BYOC). W polu Wpis tajny wybierz certyfikat, którego chcesz użyć z listy rozwijanej.
Uwaga
Nazwa certyfikatu (CN) lub Nazwa alternatywna podmiotu (SAN) certyfikatu musi być zgodna z dodawaną domeną niestandardową.
Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby zweryfikować certyfikat. Następnie skojarz nowo utworzoną domenę niestandardową z punktem końcowym zgodnie z opisem w temacie Konfigurowanie domeny niestandardowej.
Przełączanie między typami certyfikatów
Można zmieniać ustawienie dla domeny między używaniem certyfikatu zarządzanego przez usługę Azure Front Door a certyfikatu zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Domeny w usłudze Azure Front Door.
Wybierz stan certyfikatu, aby otworzyć okienko Szczegóły certyfikatu.
W okienku Szczegóły certyfikatu można zmienić między usługą Azure Front Door managed i Bring Your Own Certificate (BYOC).
Jeśli wybierzesz pozycję Bring Your Own Certificate (BYOC), wykonaj powyższe kroki, aby wybrać certyfikat.
Wybierz pozycję Aktualizuj, aby zmienić certyfikat skojarzony z domeną.