Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При настройке домена или TLS/SSL-сертификата для веб-приложений в Службе приложений Azure могут возникнуть следующие распространенные проблемы. В этой статье рассматриваются возможные причины и решения этих проблем.
Помимо сведений в этой статье, вы можете получить дополнительную помощь, обратившись к экспертам Azure на форумах Microsoft Q и A и Stack Overflow. Кроме того, вы можете подать инцидент в службу поддержки Azure на сайте поддержки Azure. Выберите "Получить поддержку".
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Чтобы узнать, как выполнить миграцию на модуль Az PowerShell, см. статью Перенос Azure PowerShell с AzureRM на Az.
Проблемы сертификата
Не удается добавить привязку TLS/SSL-сертификата к приложению
Симптом
При добавлении привязки TLS появляется следующее сообщение об ошибке:
"Не удалось добавить привязку SSL. Не удалось установить сертификат для существующего виртуального IP-адреса, так как этот сертификат уже используется для другого виртуального IP-адреса.
Причина
Эта проблема могла возникнуть, если у вас есть несколько привязок TLS/SSL на основе IP-адреса для одного IP-адреса в нескольких приложениях. Например, у приложения A есть привязка TLS/SSL на основе IP-адреса со старым сертификатом. У приложения B есть привязка TLS/SSL на основе IP-адреса с новым сертификатом для того же IP-адреса. При обновлении привязки TLS приложения с новым сертификатом обновление завершается ошибкой, так как для другого приложения используется тот же IP-адрес, и вы получите сообщение об ошибке.
Решение
Чтобы устранить эту проблему, попробуйте один из следующих методов.
- Удалите привязку TLS/SSL на основе IP-адреса в приложении, в котором используется старый сертификат.
- Создайте привязку TLS/SSL на основе IP-адреса, которая использует новый сертификат.
Не удается удалить сертификат
Симптом
При попытке удалить сертификат, появляется следующее сообщение об ошибке:
"Невозможно удалить сертификат, так как он сейчас используется в TLS/SSL-привязке. Связь TLS должна быть удалена, прежде чем вы сможете удалить сертификат.
Причина
Эта проблема может возникнуть, если сертификат используется другим приложением.
Решение
- Удалите привязку TLS для этого сертификата из приложений.
- Попробуйте удалить сертификат.
- Если сертификат по-прежнему не удается удалить, очистите кэш веб-браузера, повторно откройте портал Azure в новом окне браузера. Затем попробуйте удалить сертификат.
Не удается приобрести сертификат службы приложений
Симптом
На портале Azure приобрести сертификат службы приложений Azure нельзя.
Причина и решение
Эта проблема может возникать по любой из следующих причин:
План службы приложений — это бесплатная или общая ценовая категория, которая не поддерживает TLS.
Решение. Обновите план службы приложений до уровня "Стандартный".
У подписки отсутствует действующая кредитная карта.
Решение. Добавьте действительную кредитную карту в подписку.
Предложение подписки не поддерживает приобретение сертификата службы приложений. Пример: Microsoft Student.
Решение. Обновите подписку.
Подписка достигла допустимого лимита покупки.
Решение: Сертификаты службы приложений в Azure имеют ограничение в 10 сертификатов для подписок типа "оплата по мере использования" и "Корпоративное соглашение". Для других типов подписок ограничение равно 3. Чтобы увеличить это количество, обратитесь в службу поддержки Azure.
Сертификат службы приложений помечен как мошеннический. Отображается следующее сообщение об ошибке: "Ваш сертификат отмечен как потенциально мошеннический." Запрос находится на рассмотрении. Если сертификат не станет доступным для использования в течение 24 часов, обратитесь в Службу поддержки Azure."
Решение. Если сертификат помечен как мошеннический и проблема не будет устранена по прошествии 24 часов, сделайте следующее:
Войдите на портал Azure.
Перейдите к области Сертификаты службы приложений, а затем выберите сертификат.
Выберите Конфигурация сертификата>Step 2 : Verify (Шаг 2. Проверка) >Проверка домена. В результате будет отправлено электронное уведомление поставщику сертификата Azure для устранения проблемы.
Сертификат службы приложений был обновлен, но в приложении по-прежнему отображается старый сертификат
Симптом
Сертификат службы приложений обновлен, но приложение, использующее сертификат службы приложений, по-прежнему использует старый сертификат. Кроме того, может появиться предупреждение о необходимости протокола HTTPS.
Причина 1. Отсутствие разрешений политики доступа в хранилище ключей
Хранилище ключей, используемое для хранения сертификата службы приложений, не имеет разрешений политики доступа в хранилище ключей для Microsoft.Azure.Websites
и Microsoft.Azure.CertificateRegistration
. Учётные записи служб и необходимые разрешения для доступа к хранилищу ключей:
Принципал службы | Секретные разрешения | Разрешения сертификата |
---|---|---|
Служба приложений Microsoft Azure | Получить | Получить |
Microsoft.Azure.CertificateRegistration | Получить, Список, Удалить | Получить, Список |
Решение 1. Изменение политик доступа для хранилища ключей
Чтобы изменить политики доступа для хранилища ключей, выполните следующие действия.
- Войдите на портал Azure. Выберите хранилище ключей, используемое сертификатом службы приложений. Перейдите к политикам доступа.
- Если вы не видите перечисленных двух субъектов-служб, их необходимо добавить. Если они доступны, убедитесь, что разрешения включают рекомендуемые разрешения для секретов и сертификатов.
- Добавьте служебный принципал, выбрав Создать. Затем выберите необходимые разрешения для разрешений Secret и Certificate.
- Для служебной учетной записи введите значения, ранее полученные из поля поиска. Затем выберите субъект-службу.
Причина 2. Служба приложений не синхронизирована с новым сертификатом
Служба приложений автоматически синхронизирует сертификат в течение 48 часов. Если вы изменяете или обновляете сертификат, иногда приложение по-прежнему извлекает старый сертификат, а не только что обновленный. Это происходит из-за того, что задание, которое синхронизирует ресурс сертификата, не выполняется. Чтобы устранить эту проблему, синхронизируйте сертификат вручную. Ручная синхронизация обновляет привязки имени хоста для сертификата в Службе приложений без прерывания работы ваших приложений.
Решение 2. Принудительное выполнение синхронизации сертификата
Чтобы принудительно синхронизировать сертификат, выполните следующие действия.
- Войдите на портал Azure. Выберите Сертификаты службы приложений, а затем — сертификат.
- Выберите Повторное создание ключей и синхронизация, а затем — Синхронизировать. Для завершения синхронизации потребуется некоторое время.
- После завершения синхронизации появится следующее уведомление: "Успешно обновлены все ресурсы с помощью последнего сертификата".
Служба приложений отображает неправильный сертификат
Симптом
При просмотре службы приложений он представляет неправильный сертификат.
Причина
Эта проблема может проявляться, когда для службы приложений Azure настроены привязки SSL IP-адреса и указания имени сервера (SNI). Если клиенты, отличные от SNI, попадают в конечную точку SSL IP- адреса, сертификат SSL ip получает кэшированный. Даже если клиенты с поддержкой SNI попадают на сайт, им предоставляется IP-адрес SSL-сертификата, что приводит к неверному сертификату.
Решение
Убедитесь, что вы не используете привязки SNI вместе с привязками IP SSL и всегда переходите на веб-сайт по URL-адресу пользовательского домена, если у вас есть клиенты, не поддерживающие SNI. Если необходимо использовать привязки SNI, убедитесь, что сертификат, привязанный к привязке SSL IP, выдан для защиты всех настроенных URL-адресов сайта (включая привязки SNI). Настройте тот же сертификат для всех остальных привязок. Такое поведение предусмотрено программой.
Проблемы с личным доменом
Личный домен возвращает сообщение об ошибке 404
Симптом
При переходе на сайт с помощью имени личного домена вы получите сообщение об ошибке "Ошибка 404 — веб-приложение не найдено".
Причина и решение
Причина 1
В вашем настроенном личном домене отсутствует CNAME record
или A record
.
Решение для причины 1
- Если вы добавили
A record
, убедитесь, что также добавленTXT record
. Дополнительные сведения см. в разделе "Создание записей DNS". - Если вам не нужно использовать корневой домен для вашего приложения, мы рекомендуем использовать
CNAME record
вместоA record
. - Не используйте и
CNAME record
, иA record
для одного домена. Эта проблема может вызвать конфликт или препятствовать разрешению домена.
Причина 2
Веб-браузер может по-прежнему кэшировать старый IP-адрес для домена.
Решение для причины 2
Очистите браузер. Для устройств Windows можно выполнить команду ipconfig /flushdns
. Чтобы проверить, что домен указывает на IP-адрес приложения, используйте WhatsmyDNS.net.
Не удалось добавить дочерний домен
Симптом
Не удается добавить новое имя узла в приложение, чтобы назначить поддомен.
Решение
- Обратитесь к администратору подписки, чтобы убедиться, что у вас есть разрешение на добавление имени узла в приложение.
- Если вам нужны дополнительные поддомены, рекомендуется изменить размещение домена на Azure DNS. С помощью Azure DNS можно добавить в приложение до 500 имен узлов. Дополнительные сведения см. в записи блога о добавлении поддомена.
Не удается распознать службу доменных имен
Симптом
Вы получили следующее сообщение об ошибке: "Не удалось найти запись DNS".
Причина
Эта ошибка возникает по одной из следующих причин:
- Срок жизни (TTL) не истек. Чтобы определить значение TTL, проверьте конфигурацию DNS домена и дождитесь истечения срока действия.
- Недопустимая конфигурация DNS.
Решение
- Подождите 48 часов, пока эта проблема будет решена самостоятельно.
- Если вы можете изменить настройки TTL в конфигурации DNS, попробуйте изменить значение на 5 минут, что может помочь решить эту проблему.
- Проверить, указывает ли домен на IP-адрес приложения, можно с помощью WhatsmyDNS.net. Если домен не указывает на IP-адрес, настройте
A record
на правильный IP-адрес приложения.
Нужно восстановить удаленный домен
Симптом
Домен больше не отображается на портале Azure.
Причина
Возможно, владелец подписки случайно удалил домен.
Решение
Если домен удален меньше семи дней назад, процесс удаления не был запущен. В этом случае можно приобрести тот же домен снова на портале Azure в рамках одной подписки Убедитесь, что в поле поиска введено точное доменное имя. Плата за этот домен повторно не взимается. Если домен удален больше семи дней назад, обратитесь в службу поддержки Azure за помощью в его восстановлении.
Проблемы домена
Приобретен TLS/SSL-сертификат для неверного домена
Симптом
Приобретен сертификат службы приложений для неверного домена. Не удается обновить сертификат для использования правильного домена.
Решение
Удалите этот сертификат, а затем приобретите новый.
Если текущий сертификат, использующий неправильный домен, находится в состоянии "Выданный", вы также оплачиваете этот сертификат. Плата за сертификаты службы приложений не возвращается, но вы можете обратиться в службу поддержки Azure, чтобы узнать другие варианты.
Проверка домена не работает
Симптом
Прежде чем использовать сертификат службы приложений, необходимо выполнить проверку домена. Если щелкнуть Проверить, процесс завершится ошибкой.
Решение
Вручную проверьте домен, добавив следующую строку TXT record
:
Перейдите к поставщику DNS, на котором размещено доменное имя.
Добавьте компонент
TXT record
для вашего домена, который использует значение токена домена из портала Azure.Подождите несколько минут до запуска распространения данных в DNS, а затем нажмите кнопку Обновить для запуска проверки.
В качестве альтернативы вы можете использовать метод веб-страницы HTML, чтобы вручную подтвердить свой домен. Этот метод позволяет центру сертификации (ЦС) подтвердить владение доменом домена, для которого выдан сертификат.
Создайте HTML-файл с именем
{domain verification token}.html
. Внутри этого файла должно быть значение токена проверки домена.Отправьте этот файл в корень веб-сервера, на котором размещается ваш домен.
Выберите Обновить, чтобы проверить состояние сертификата. Проверка может занять несколько минут.
Например, если вы покупаете стандартный сертификат для azure.com с маркером 1234abcd
проверки домена, веб-запрос на https://azure.com/1234abcd.html
должен возвратить 1234abcd
.
Внимание
Покупка сертификата имеет 15 дней только для завершения операции проверки домена. Через 15 дней ЦС отрицает сертификат и не взимается плата за сертификат. В такой ситуации удалите этот сертификат и повторите попытку.
Не удается приобрести домен
Симптом
Не удается приобрести домен службы приложений на портале Azure.
Причина и решение
Эта ошибка возникает по одной из следующих причин:
Кредитная карта для подписки Azure отсутствует или недействительна.
Решение. Добавьте действительную кредитную карту в подписку.
Тип подписки Azure не поддерживает покупку домена службы приложений.
Решение. Обновите подписку Azure до другого типа подписки, например подписку с оплатой по мере использования.
В зависимости от типа подписки, вы можете должны иметь достаточную историю платежей, прежде чем приобретать домен App Service.
Решение. Либо приобретите другую подписку, которая имеет историю оплаты, либо дождитесь, пока у вас есть журнал платежей с текущей подпиской.
Вы не являетесь владельцем подписки, поэтому у вас нет разрешения на покупку домена.
Решение.Назначьте роль "Владелец" своей учетной записи. Можно также связаться с администратором, чтобы получить разрешение на приобретение домена.
Не удается добавить имя узла в приложение
Симптом
При добавлении имени узла не удается подтвердить и проверить домен.
Причина
Эта ошибка возникает по одной из следующих причин:
У вас нет разрешения на добавление имени узла.
Решение. Попросите администратора подписки дать вам разрешение на добавление имени узла.
Не удалось проверить владение доменом.
Решение: Убедитесь, что ваши
CNAME record
илиA record
правильно настроены. Чтобы сопоставить личный домен с приложением, создайте либоCNAME record
, либоA record
. Если вы хотите использовать корневой домен, необходимо использовать :A record
TXT record
Тип записи Хост Указать на A
@
IP-адрес приложения TXT
@
<app-name>.azurewebsites.net
CNAME
www
<app-name>.azurewebsites.net
Вопросы и ответы
Нужно ли настроить личный домен для своего веб-сайта при покупке?
При покупке домена на портале Azure приложение Службы приложений автоматически настраивается для использования этого личного домена. Вам не нужно предпринимать никаких дальнейших действий. Для получения дополнительной информации посмотрите видео «Azure App Service Self Help: Add a Custom Domain Name» на Channel9.
Можно ли использовать домен, приобретенный на портале Azure, чтобы указать на виртуальную машину Azure?
Да, домен может указывать на виртуальную машину. Дополнительные сведения см. в статье Использование Azure DNS для указания параметров личного домена для службы Azure.
Мой домен размещен в GoDaddy или в Azure DNS?
Домены службы приложений используют GoDaddy для регистрации доменов и Azure DNS для размещения доменов.
Я включил автоматическое продление, но все равно получил уведомление о продлении по электронной почте для своего домена. Что делать?
Если вы включили автоматическое обновление, вам не нужно предпринимать никаких действий. Сообщение электронной почты сообщает только о том, что домен близок к истечению срока действия и что необходимо вручную продлить, если автоматическое обновление не включено.
Нужно ли мне платить за размещения моего домена в Azure DNS?
Начальная стоимость покупки домена включает только регистрацию домена. Наряду с затратами на регистрацию Azure DNS взимается плата в зависимости от использования. Дополнительные сведения см. на странице Цены на Azure DNS.
Ранее я приобрел свой домен на портале Azure и хочу перейти от размещения GoDaddy к размещению Azure DNS. Как это сделать?
Переход на размещение в Azure DNS не является обязательным. Если вы хотите выполнить перейти на Azure DNS, то в интерфейсе управления доменами на портале Azure можно найти сведения о действиях, необходимых для перехода на Azure DNS. Если домен был приобретен через Службу приложений, миграция из GoDaddy в Azure DNS является относительно простой процедурой.
Я хотел бы приобрести свой домен из службы приложений, но можно ли разместить свой домен в GoDaddy вместо Azure DNS?
Начиная с 24 июля 2017 года, Azure размещает домены App Service, приобретенные через портал Azure, на Azure DNS. Если вы предпочитаете использовать другого поставщика услуг размещения, необходимо перейти на свой веб-сайт, чтобы получить решение для размещения домена.
Нужно ли платить за защиту конфиденциальности для моего домена?
При покупке домена на портале Azure можно бесплатно добавить функцию защиты конфиденциальности. Это преимущество включается при покупке домена через службу приложений Azure.
Если домен мне больше не нужен, можно ли вернуть деньги?
При покупке домена плата не взимается в течение пяти дней (за исключением одного исключения). В течение этого времени вы можете решить, следует ли сохранить домен. Если в течение этого периода вы приняли решение не сохранять домен , плата не взимается. Домены, которые заканчиваются на .uk
, являются исключением. Если вы приобрели .uk
домен, вы сразу же взимаете плату, и вы не можете получить возмещение.
Можно ли использовать домен в другом приложении Службы приложений Azure в моей подписке?
Да, при доступе к пользовательским доменам и страницам сертификатов в портал Azure отображаются приобретенные домены. Вы можете настроить приложение для использования любого из этих доменов.
Можно ли перенести домен из одной подписки в другую?
Да, вы можете переместить домен в другую подписку или группу ресурсов с помощью командлета Move-AzResource
PowerShell.
Как управлять личным доменом, если в настоящее время у меня нет приложения Службы приложений Azure?
Вы можете управлять доменом, даже если у вас нет веб-приложения в Службе приложений. Домен можно использовать для таких служб Azure, как виртуальные машины Azure, служба хранилища Azure и т. д. Если вы планируете использовать домен для веб-приложений службы приложений, необходимо включить веб-приложение, которое не находится на уровне бесплатной службы приложений, чтобы можно было привязать домен к веб-приложению.
Можно ли перенести веб-приложение с личным доменом в другую подписку или из Среды службы приложений версии 1 в версию 2?
Да, вы можете переносить веб-приложение между подписками. Следуйте указаниям в статье Перемещение ресурсов в Azure. При переносе веб-приложения действуют некоторые ограничения. Дополнительные сведения см. в статье Ограничения при перемещении ресурсов Службы приложений.
После перемещения веб-приложения привязки имен хостов в настройках пользовательских доменов должны остаться прежними. Для настройки привязок имен узлов дополнительные действия не требуются.
Какие форматы файлов возвращаются при скачивании сертификата службы приложений из своего хранилища ключей?
При выборе Скачать как сертификат для сертификата службы приложений в его хранилище ключей/секретов, формат файла сертификата — .pfx. К файлу пароль не применяется.
Какой формат файла можно использовать для отправки сертификата в службу приложений?
Формат файла сертификата должен быть PFX-файлом с паролем, примененным к файлу. Сертификат также должен соответствовать требованиям к сертификату.
Если вы получили сертификат из стороннего ЦС, а формат файла — pem/.key формат, вы можете использовать средство, например OpenSSL, для преобразования файлов в формат PFX-файла. Закрытый ключ должен быть включен во время преобразования, так как для формата PFX-файла требуется его.
Кроме того, если ЦС предоставляет несколько сертификатов в цепочке сертификатов, необходимо объединить сертификаты, выполнив один и тот же порядок. Дополнительные сведения см. в разделе "Слияние промежуточных сертификатов".
Как создать запрос подписи сертификата для сертификата службы приложений?
Чтобы приобрести сертификат службы приложений, воспользуйтесь порталом Azure или выполните команду через PowerShell/CLI. Запрос на подписывание сертификатов не нужен. Однако Azure Key Vault поддерживает хранение цифровых сертификатов, выданных любым ЦС. Он поддерживает создание запроса на подписывание сертификатов с помощью пары закрытых и открытых ключей. Запрос на подпись сертификата может быть подписан любым ЦС (внутренним корпоративным ЦС или внешним общедоступным ЦС). Дополнительные сведения см. в разделе "Создание запроса на подпись сертификата".