Защита пользовательского DNS-имени с помощью привязки TLS/SSL в Службе приложений Azure
В этой статье показано, как защитить личный домен в приложении Службы приложений или приложении-функции путем создания привязки к сертификату. По завершении работы с этой статьей вы сможете получить доступ к приложению Службы приложений в конечной точке https://
для настраиваемого DNS-имени (например, https://www.contoso.com
).
Предварительные требования
- Масштабирование приложения Служба приложений до одной из поддерживаемых ценовых категорий: "Базовый", "Стандартный", "Премиум".
- Сопоставьте доменное имя с приложением или приобретите и настройте его в Azure.
1. Добавление привязки
В меню слева выберите Имя приложения Служб приложений><>.
В левой области навигации приложения выберите Личные домены.
Рядом с личным доменом выберите Добавить привязку.
Если в приложении уже есть сертификат для выбранного личного домена, его можно выбрать в разделе Сертификат. В противном случае необходимо добавить сертификат, используя один из выбранных вариантов в поле Источник.
- Создание управляемого сертификата Служба приложений — Служба приложений создайте управляемый сертификат для выбранного домена. Это самый простой вариант. Дополнительные сведения см. в статье Создание бесплатного управляемого сертификата.
- Импорт сертификата Служба приложений. В Служба приложений Certificate выберите сертификат Служба приложений, приобретенный для выбранного домена.
- Отправить сертификат (PFX-файл). Выполните рабочий процесс в разделе Отправка закрытого сертификата , чтобы отправить PFX-сертификат с локального компьютера и укажите пароль сертификата.
- Импорт из Key Vault — выберите Выбрать сертификат хранилища ключей и выберите сертификат в диалоговом окне.
В поле Тип TLS/SSL выберите ssl SNI или SSL на основе IP.
- SNI SSL: можно добавить несколько привязок SSL SNI. Этот параметр позволяет указать несколько TLS/SSL-сертификатов для защиты нескольких доменов с одним IP-адресом. Большинство современных браузеров (включая Internet Explorer, Chrome, Firefox и Opera) поддерживает SNI (дополнительные сведения см. в статье Server Name Indication).
-
- SSL на основе IP-адреса: можно добавить только одну привязку SSL IP. Этот параметр позволяет указать только один TLS/SSL-сертификат для защиты выделенного общедоступного IP-адреса. После настройки привязки выполните действия, описанные в разделе 2. Переназначение записей для SSL на основе IP-адресов.
SSL по IP-адресу поддерживается только на уровне "Базовый" или выше.
- SSL на основе IP-адреса: можно добавить только одну привязку SSL IP. Этот параметр позволяет указать только один TLS/SSL-сертификат для защиты выделенного общедоступного IP-адреса. После настройки привязки выполните действия, описанные в разделе 2. Переназначение записей для SSL на основе IP-адресов.
При добавлении нового сертификата проверьте новый сертификат, нажав кнопку Проверить.
Выберите Добавить.
После завершения операции состояние TLS/SSL личного домена меняется на Безопасный.
Примечание
Состояние Защищеноличного домена означает, что он защищен с помощью сертификата, но Служба приложений не проверяет, например, является ли сертификат самозаверяющим или действительным, что также может привести к отображению ошибки или предупреждения в браузере.
2. Переназначение записей для SSL на основе IP-адресов
Этот шаг необходим только для SSL на основе IP-адресов. Для привязки SSL SNI перейдите к разделу Проверка HTTPS для личного домена.
Возможно, вам потребуется внести два изменения:
По умолчанию приложение использует общий общедоступный IP-адрес. После привязки сертификата с помощью SSL на основе IP Служба приложений создает выделенный IP-адрес для вашего приложения. Если с приложением сопоставлена запись A, обновите реестр домена, указав этот новый выделенный IP-адрес.
Он появится на странице Личный домен вашего приложения. Скопируйте этот IP-адрес, а затем повторно сопоставите запись A с этим новым IP-адресом.
При наличии привязки SSL на основе SNI к
<app-name>.azurewebsites.net
повторно сопоставьте все сопоставления CNAME, чтобы они указывали наsni.<app-name>.azurewebsites.net
(добавьте префиксsni
).
3. Тестирование HTTPS
В разных браузерах перейдите по адресу https://<your.custom.domain>
, чтобы проверить, как он обслуживает ваше приложение.
Код приложения может проверить протокол с помощью заголовка x-appservice-proto. Заголовок имеет значение http
или https
.
Примечание
Если приложение выдает ошибки проверки сертификата, вероятно, вы используете самозаверяющий сертификат.
Если это не так, возможно, вы пропустили промежуточные сертификаты при экспорте сертификата в PFX-файл.
Часто задаваемые вопросы
- Разделы справки убедиться, что IP-адрес приложения не изменяется при внесении изменений в привязку сертификата?
- Можно ли отключить принудительное перенаправление с HTTP на HTTPS?
- Как изменить минимальные версии TLS для приложения?
- Разделы справки обрабатывать завершение TLS в Служба приложений?
Разделы справки убедиться, что IP-адрес приложения не изменяется при внесении изменений в привязку сертификата?
Входящий IP-адрес может измениться после удаления привязки, даже если привязка сделана на базе SSL на основе IP. Это особенно важно при обновлении сертификата, который уже связан с привязкой SSL на основе IP. Чтобы избежать изменения IP-адреса приложения, выполните по очереди следующие действия:
- Передайте новый сертификат.
- Привяжите новый сертификат к пользовательскому домену, не удаляя старый сертификат. Таким образом вы замените привязку, а не удалите старый сертификат.
- Удалите старый сертификат.
Можно ли отключить принудительное перенаправление с HTTP на HTTPS?
По умолчанию Служба приложений принудительно перенаправляет http-запросы на HTTPS. Сведения об отключении этого поведения см. в статье Настройка общих параметров.
Как изменить минимальные версии TLS для приложения?
Приложение по умолчанию разрешает применение TLS версии 1.2, которая является рекомендуемой в соответствии с такими отраслевыми стандартами, как PCI DSS. Сведения о применении различных версий TLS см. в статье Настройка общих параметров.
Разделы справки обрабатывать завершение TLS в Служба приложений?
В Службе приложений терминирование TLS происходит в подсистеме балансировки нагрузки сети, поэтому все HTTPS-запросы достигают вашего приложения в виде незашифрованных HTTP-запросов. Если логика вашего приложения проверяет, зашифрованы ли пользовательские запросы, проверяйте заголовок X-Forwarded-Proto
.
Руководства по настройке для конкретного языка, например руководство по настройке Node.js в Linux, описывают возможность обнаруживать сеанс HTTPS в коде приложения.
Автоматизация с помощью сценариев
Azure CLI
Привязка пользовательского TLS/SSL-сертификата к веб-приложению
PowerShell
$fqdn="<Replace with your custom domain name>"
$pfxPath="<Replace with path to your .PFX file>"
$pfxPassword="<Replace with your .PFX password>"
$webappname="mywebapp$(Get-Random)"
$location="West Europe"
# Create a resource group.
New-AzResourceGroup -Name $webappname -Location $location
# Create an App Service plan in Free tier.
New-AzAppServicePlan -Name $webappname -Location $location `
-ResourceGroupName $webappname -Tier Free
# Create a web app.
$webapp = New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname `
-ResourceGroupName $webappname
Write-Host "Sign in to your domain provider's website and configure the following records:"
Write-Host "A CNAME record that maps $fqdn to $webappname.azurewebsites.net"
Write-Host "A TXT record that maps asuid.$fqdn to the domain verification ID $($webapp.CustomDomainVerificationId)"
Read-Host "Press [Enter] key when ready ..."
# Before continuing, go to your DNS configuration UI for your custom domain and follow the
# instructions at https://aka.ms/appservicecustomdns to configure a CNAME record for the
# hostname "www" and point it your web app's default domain name.
# Upgrade App Service plan to Basic tier (minimum required by custom SSL certificates)
Set-AzAppServicePlan -Name $webappname -ResourceGroupName $webappname `
-Tier Basic
# Add a custom domain name to the web app.
Set-AzWebApp -Name $webappname -ResourceGroupName $webappname `
-HostNames @($fqdn,"$webappname.azurewebsites.net")
# Upload and bind the SSL certificate to the web app.
New-AzWebAppSSLBinding -WebAppName $webappname -ResourceGroupName $webappname -Name $fqdn `
-CertificateFilePath $pfxPath -CertificatePassword $pfxPassword -SslState SniEnabled
Дополнительные ресурсы
- Использование TLS/SSL-сертификата в коде в Службе приложений Azure
- FAQ: Configuration and management FAQs for Web Apps in Azure (Часто задаваемые вопросы о настройке и управлении для функции "Веб-приложения" в Azure)