Руководство по настройке протокола HTTPS для личного домена в сети доставки содержимого Azure

Внимание

Azure CDN standard от Корпорации Майкрософт (классическая версия) будет прекращена 30 сентября 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure CDN Standard от Microsoft (классический) на Azure Front Door Standard или Premium к 30 сентября 2027 г. Дополнительные сведения см. в статье Azure CDN Standard от Microsoft (классическая версия, снятие с производства).

Azure CDN из Эдгио было прекращено 15 января 2025 г. Дополнительные сведения см. в статье FAQ об устаревании Azure CDN от Edgio.

В этом руководстве показано, как включить протокол HTTPS для личного домена, связанного с конечной точкой Azure CDN.

Протокол HTTPS в пользовательском домене (например, https://www.contoso.comобеспечивает безопасное доставку конфиденциальных данных через TLS/SSL). При подключении веб-браузера через HTTPS браузер проверяет сертификат веб-сайта. Браузер проверяет, выдан ли он законным центром сертификации. Этот процесс обеспечивает безопасность и защиту веб-приложений от атак.

Azure CDN по умолчанию поддерживает HTTPS в имени узла конечной точки CDN. Например, если вы создаете конечную точку CDN (такую как https://contoso.azureedge.net), HTTPS автоматически включается.

Ниже приведены некоторые ключевые характеристики настраиваемой функции HTTPS:

• Нет дополнительных затрат: нет затрат на приобретение сертификатов или продление, и нет дополнительных затрат на трафик HTTPS. Вы платите только за исходящий трафик в гигабайтах из CDN.

• Простая активация: на портале Azure доступно предоставление одним щелчком. Для включения этого компонента можно также использовать REST API или другие средства разработки.

• Доступно полноценное управление сертификатами:

  • закупка всех сертификатов и управление ими осуществляется без вашего участия.
  • Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия.

В этом руководстве описано следующее:

• включение протокола HTTPS в личном домене;
• использование сертификата, управляемого CDN;
• использование собственного сертификата;
• проверка домена;
• отключение протокола HTTPS в личном домене.

Предварительные требования

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Чтобы узнать, как перейти на модуль Az PowerShell, см. статью Перенос Azure PowerShell с AzureRM на Az.

Перед тем как перейти к выполнению шагов из этого учебника, создайте профиль CDN и как минимум одну конечную точку CDN. Дополнительные сведения см. в статье Быстрый старт: Создание профиля и конечной точки для Azure CDN.

Свяжите личный домен Azure CDN с конечной точкой CDN. Дополнительные сведения см. в руководстве «Добавление личного домена в конечную точку Azure CDN».

Внимание

Управляемые сертификаты CDN недоступны для корневых или вершинных доменов. Если личный домен Azure CDN является корневым или вершинным, необходимо использовать возможность применения собственного сертификата.

---

TLS/SSL-сертификаты

Чтобы включить протокол HTTPS в личном домене Azure CDN, используйте TLS/SSL-сертификат. Вы можете использовать сертификат под управлением Azure CDN или собственный сертификат.

Вариант 1 (по умолчанию). Включение HTTPS с помощью сертификата под управлением CDN

Azure CDN управляет задачами управления сертификатами, такими как приобретение и продление. Как только функция будет включена, процесс сразу же запустится.

Если личный домен уже сопоставлен с конечной точкой CDN, дальнейших действий не требуется. Azure CDN обрабатывает шаги и автоматически завершает запрос.

Если ваш пользовательский домен сопоставлен в другой системе, используйте электронную почту, чтобы подтвердить владение доменом.

Ниже описана процедура включения протокола HTTPS для личного домена.

1. Перейдите на портал Azure и найдите сертификат, управляемый Azure CDN. Осуществите поиск и выберите Профили CDN.

2. Выберите Azure CDN Standard от Майкрософт (классическая версия).

3. В списке конечных точек CDN выберите ту из них, которая содержит личный домен.

4. В списке личных доменов выберите домен, для которого нужно включить протокол HTTPS.

   

   Откроется страница Личный домен.

5. В разделе Тип управления сертификатом выберите управляемый CDN.

6. Выберите Вкл., чтобы включить HTTPS.

   

7. Выберите Подтвердить домен.

Вариант 2. Включение HTTPS с помощью собственного сертификата

Для включения функции HTTPS можно использовать собственный сертификат. Этот процесс выполняется путем интеграции с Azure Key Vault, что позволяет безопасно хранить сертификаты. Azure CDN использует этот механизм безопасности, чтобы получить сертификат. При этом вам потребуется выполнить ряд дополнительных действий. При создании сертификата TLS/SSL необходимо создать всю цепочку сертификатов с разрешенным центром сертификации (ЦС), который входит в список доверенных ЦС Майкрософт. Если вы используете неразрешённый УЦ, ваш запрос отклоняется. Если представлен сертификат без полной цепочки, запросы, включающие этот сертификат, не гарантируют работу, как ожидалось.

Подготовка учетной записи и сертификата Azure Key Vault

1. Azure Key Vault. Вам требуется активная учетная запись Azure Key Vault в той же подписке, что и профиль Azure CDN и конечные точки CDN, для которых нужно включить настраиваемый HTTPS. Если у вас ее еще нет, создайте учетную запись Azure Key Vault.

2. Сертификаты Azure Key Vault. Если у вас есть сертификат, отправьте его непосредственно в учетную запись Azure Key Vault. Если у вас нет сертификата, создайте сертификат напрямую через Azure Key Vault.

Примечание.

• Azure сеть доставки содержимого поддерживает только PFX-сертификаты.
• Сертификат должен включать всю цепочку сертификатов, включая конечные и промежуточные, а корневой ЦС должен входить в список доверенных ЦС Майкрософт.

Настройте управляемое удостоверение для Azure CDN

Выполните действия, описанные в статье "Настройка управляемого удостоверения для Azure CDN", чтобы разрешить Azure CDN получить доступ к учетной записи Azure Key Vault.

Выберите сертификат для Azure CDN для развертывания

1. Вернитесь на портал Azure CDN и выберите профиль и конечную точку CDN, где необходимо включить настраиваемый HTTPS.

2. В списке личных доменов выберите домен, для которого нужно включить протокол HTTPS.

   Откроется страница Личный домен.

3. В разделе с типом управления сертификатом выберите Использовать собственный сертификат.

   

4. Выберите хранилище ключей, сертификат (секрет) и версию сертификата (секрета).

   Azure CDN выведет следующие сведения:

   • Учетные записи Key Vault, соответствующие идентификатору вашей подписки.
   • Сертификаты и секреты в выбранном хранилище ключей.
   • доступные версии сертификатов (секретов).

   Примечание.

   • Azure сеть доставки содержимого поддерживает только PFX-сертификаты.
   • Чтобы сертификат автоматически перевернулся на последнюю версию, когда новая версия сертификата доступна в хранилище ключей, задайте для сертификата или секретной версии значение "Последняя". Если выбрана определенная версия, вам придется повторно вручную выбрать последнюю версию для смены сертификата. Для развертывание новой версии сертификата (секрета) требуется до 72 часов. Только стандартный номер SKU Microsoft поддерживает автоматическую смену сертификатов.

5. Выберите Вкл., чтобы включить HTTPS.

6. При использовании собственного сертификата подтверждение домена не является обязательным. Перейдите к разделу Ожидание распространения.

проверка домена;

Если у вас есть личный домен, сопоставленный с уникальной конечной точкой с записью CNAME или вы используете собственный сертификат, обратитесь к разделу личный домен, сопоставленный с конечной точкой вашей сети доставки контента.

Если же запись CNAME для конечной точки больше не существует или содержит поддомен cdnverify, перейдите к разделу Личный домен не сопоставлен с конечной точкой CDN.

Пользовательский домен сопоставлен с конечной точкой CDN с помощью записи CNAME

Добавив личный домен для конечной точки, вы создали в таблице DNS вашего регистратора домена запись CNAME, которая сопоставляет домен с именем узла конечной точки CDN.

Если запись CNAME еще существует и не содержит поддомен cdnverify, центр сертификации DigiCert использует ее для автоматического подтверждения прав владения доменом.

При использовании собственного сертификата подтверждение домена не является обязательным.

Запись CNAME должна иметь следующий формат:

• Name — имя личного домена.
• Значением является имя узла конечной точки сети доставки содержимого.

Имя.	Тип	значение
<www.contoso.com>	CNAME	contoso.azureedge.net

Дополнительные сведения о записи CNAME см. в разделе о создании записи CNAME в DNS.

Если запись CNAME имеет правильный формат, DigiCert автоматически подтвердит имя личного домена и создаст сертификат для вашего домена. DigitCert не отправляет вам подтверждение по электронной почте, и вам не нужно подтверждать свой запрос. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться. Перейдите к разделу Ожидание распространения.

Автоматическая проверка обычно занимает несколько часов. Если домен не проверен в 24 часах, откройте запрос в службу поддержки.

Примечание.

Если у вас есть запись Центра Авторизации Сертификатов (CAA) у вашего поставщика DNS, она должна включать соответствующие центры сертификации для авторизации. DigiCert — это ЦС для профилей Azure CDN. Сведения об управлении записями CAA см. в разделе Управление записями CAA. Для инструмента записи CAA см. CAA Record Helper.

Личный домен не сопоставлен с конечной точкой CDN

Если запись CNAME содержит поддомен cdnverify, следуйте остальным инструкциям в этом шаге.

DigiCert отправляет письмо для подтверждения на следующие адреса электронной почты. Убедитесь, что вы можете утвердить непосредственно с одного из следующих адресов:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Через несколько минут должно появиться электронное сообщение с просьбой подтвердить запрос. Если вы используете фильтр нежелательной почты, добавьте verification@digicert.com в список разрешений. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.

При щелчке ссылки для подтверждения запроса откроется следующая онлайн-форма:

Следуйте инструкциям в форме. Есть два варианта проверки:

• Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например contoso.com. Этот подход рекомендуется, если вы планируете добавлять дополнительные личные домены для одного корневого домена.

• Можно просто утвердить конкретное имя узла, которое используется в данном запросе. Для последующих запросов потребуется дополнительное утверждение.

После утверждения DigiCert завершает создание сертификата для имени личного домена. Срок действия сертификата — один год. Если запись CNAME для личного домена добавляется или обновляется для сопоставления с именем узла конечной точки после проверки, она будет автоматически обновлена до истечения срока его действия.

Примечание.

Для автоматического обновления управляемого сертификата требуется, чтобы ваш пользовательский домен был напрямую сопоставлен с конечной точкой CDN с помощью записи CNAME.

Ожидание распространения

Активация компонента HTTPS для личного домена после проверки доменного имени может занять до 6–8 часов. После завершения процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Включено. Четыре шага операции в диалоговом окне личного домена будут помечены как завершенные. Личный домен готов для использования протокола HTTPS.

Ход выполнения операции

В следующей таблице показан ход операции, возникающей при включении HTTPS. После включения HTTPS в диалоговом окне личного домена отобразятся четыре шага операции. Когда каждый шаг активируется, под ним появляются детали вложенных шагов по мере их выполнения. Не все эти промежуточные этапы происходят. После успешного завершения шага рядом с ним появится зеленый флажок.

Шаг операции	Сведения о подшаге операции
1. Отправка запроса	Отправка запроса
	Отправляется HTTP-запрос.
	HTTPS-запрос успешно отправлен.
2. Проверка домена	Домен автоматически подтверждается, если он с помощью записи CNAME сопоставлен с конечной точкой CDN. В противном случае запрос на проверку отправляется в адрес электронной почты, указанной в записи регистрации домена (реестрант WHOIS).
	Владение доменом успешно подтверждено.
	Истек срок действия запроса на подтверждение прав владения доменом (клиент, скорее всего, не ответил в течение 6 дней). HTTPS не будет включен в вашем домене. *
	Клиент отклонил запрос на подтверждение прав собственности на домен. HTTPS не будет включен в вашем домене. *
3. Подготовка сертификата	В настоящее время центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене.
	Сертификат был выдан и в настоящее время развертывается в сети CDN. Это может занять до 6 часов.
	Сертификат успешно развернут в сети доставки содержимого.
4. Завершение	HTTPS успешно включен для вашего домена.

* Это сообщение отображается, только если произошла ошибка.

Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Очистка ресурсов и отключение HTTPS

Из этого раздела вы узнаете, как отключить протокол HTTPS для личного домена.

Отключение компонента HTTPS

1. Войдите на портал Azure. Выполните поиск по запросу Профили CDN и выберите этот пункт.

2. Выберите профиль Azure CDN Стандарт от Майкрософт (классический).

3. В списке конечных точек выберите ту из них, которая содержит личный домен.

4. Выберите пользовательский домен, для которого вы хотите отключить HTTPS.

5. Щелкните Выкл., чтобы отключить HTTPS, а затем нажмите кнопку Применить.

   

Ожидание распространения

После отключения компонента HTTPS личного домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Отключено. Личный домен больше не сможет использовать HTTPS.

Часто задаваемые вопросы

1. Кто является поставщиком сертификата и какой тип сертификата используется?

   Выделенный сертификат, предоставляемый Digicert, используется для вашего настраиваемого домена в Сети доставки контента Azure от Microsoft (классическая).

2. Вы используете IP-адрес или индикацию имени сервера (SNI) для TLS/SSL?

   Azure CDN уровня "Стандартный" от Майкрософт (классическая версия) использует протокол SNI TLS/SSL.

3. Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?

   Если вы не используете поддомен cdnverify и ваша запись CNAME указана на имя узла вашей конечной точки, вы не получите электронное сообщение о подтверждении домена.

   Проверка в этом случае проходит автоматически. В противном случае, если у вас нет записи CNAME и вы не получили сообщение электронной почты в течение 24 часов, свяжитесь с поддержкой Microsoft.

4. Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?

   Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных TLS/SSL-сертификатов используется алгоритм SHA-256.

5. Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?

   В настоящее время не требуется запись авторизации удостоверяющего центра. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.

6. Как работает продление сертификатов при использовании собственного сертификата?

   Чтобы обеспечить развертывание нового сертификата в инфраструктуре POP, отправьте новый сертификат в Azure Key Vault. В параметрах TLS в Azure сеть доставки содержимого выберите последнюю версию сертификата и нажмите кнопку "Сохранить". Затем azure сеть доставки содержимого будет распространять новый обновленный сертификат.

Следующие шаги

Из этого руководства вы узнали, как:

• включение протокола HTTPS в личном домене;
• использование сертификата, управляемого CDN;
• использование собственного сертификата;
• проверка домена;
• отключение протокола HTTPS в личном домене.

Перейдите к следующему руководству, чтобы научиться настраивать кэширование в конечной точке CDN.

Tutorial: Set Azure CDN caching rules (Руководство. Настройка правил кэширования Azure CDN)