Настройка HTTPS в пользовательском домене Azure Front Door с помощью портал Azure

Azure Front Door обеспечивает безопасную доставку протокола TLS в приложения по умолчанию при использовании собственных пользовательских доменов. Дополнительные сведения о пользовательских доменах, включая работу пользовательских доменов с HTTPS, см. в статье "Домены" в Azure Front Door.

Azure Front Door поддерживает управляемые Azure сертификаты и сертификаты, управляемые клиентом. В этой статье вы узнаете, как настроить оба типа сертификатов для пользовательских доменов Azure Front Door.

Необходимые компоненты

• Чтобы настроить протокол HTTPS для личного домена, сначала необходимо создать профиль Azure Front Door. Дополнительные сведения см. в статье Создание профиля Azure Front Door.
• Если у вас еще нет личного домена, требуется его приобрести у поставщика доменов. Например, ознакомьтесь с руководством Приобретение имени личного домена для веб-приложений Azure.
• Если для размещения доменов DNS используется Azure, нужно делегировать систему доменных имен (DNS) поставщика домена в Azure DNS. Дополнительные сведения см. в статье Делегирование домена в Azure DNS. Если же для работы с доменом DNS используется поставщик домена, требуется вручную проверить домен, введя запрошенные записи DNS TXT.

Управляемые Azure Front Door сертификаты для доменов, отличных от Azure

Если у вас есть собственный домен, и домен еще не связан с другой службой Azure, которая превалирует домены для Azure Front Door, выполните следующие действия.

1. В разделе Параметры выберите домены для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый домен.

   

2. В области "Добавление домена" введите или выберите следующие сведения. Затем нажмите кнопку "Добавить ", чтобы подключить личный домен.

   

   Параметр	Значение
   Тип домена	Выберите предварительно проверенный домен, отличный от Azure.
   Управление DNS	Выберите управляемый DNS Azure (рекомендуется).
   Зона DNS	Выберите зону Azure DNS, в которую размещается личный домен.
   Личный домен	Выберите существующий домен или добавьте новый.
   HTTPS	Выберите AFD managed (Рекомендуется).

3. Проверьте и свяжите личный домен с конечной точкой, выполнив действия, чтобы включить личный домен.

4. После успешного подключения личного домена к конечной точке Azure Front Door создает сертификат и развертывает его. Этот процесс может занять от нескольких минут до часа.

Управляемые Azure сертификаты для предварительно заданных доменов Azure

Если у вас есть собственный домен, а домен связан с другой службой Azure, которая предварительно оценивает домены для Azure Front Door, выполните следующие действия:

1. В разделе Параметры выберите домены для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый домен.

   

2. В области "Добавление домена" введите или выберите следующие сведения. Затем нажмите кнопку "Добавить ", чтобы подключить личный домен.

   

   Параметр	Значение
   Тип домена	Выберите предварительно проверенный домен Azure.
   Предварительно проверенные пользовательские домены	Выберите имя личного домена из раскрывающегося списка служб Azure.
   HTTPS	Выберите управляемый Azure.

3. Проверьте и свяжите личный домен с конечной точкой, выполнив действия, чтобы включить личный домен.

4. После успешного подключения личного домена к конечной точке сертификат, управляемый Azure Front Door, развертывается в Azure Front Door. Этот процесс может занять от нескольких минут до часа.

использование собственного сертификата;

Также можно использовать собственный сертификат TLS. Сертификат TLS должен соответствовать определенным требованиям. Дополнительные сведения см. в разделе Требования к сертификатам.

Подготовка хранилища ключей и сертификата

Создайте отдельный экземпляр Azure Key Vault, в котором хранятся сертификаты TLS Azure Front Door. Дополнительные сведения см. в разделе "Создание экземпляра Key Vault". Если у вас уже есть сертификат, его можно отправить в новый экземпляр Key Vault. В противном случае можно создать сертификат с помощью Key Vault из одного из партнеров центра сертификации (ЦС).

Предупреждение

Azure Front Door в настоящее время поддерживает только Key Vault в той же подписке. Выбор Key Vault в другой подписке приводит к сбою.

Другие моменты, указывающие на сведения о сертификатах:

• Azure Front Door не поддерживает сертификаты с алгоритмами шифрования с многоточием кривой. Кроме того, сертификат должен иметь полную цепочку сертификатов с конечными и промежуточными сертификатами. Корневой ЦС также должен быть частью списка доверенных ЦС Майкрософт.
• Мы рекомендуем использовать управляемое удостоверение , чтобы разрешить доступ к сертификатам Key Vault, так как регистрация приложения будет прекращена в будущем.

Регистрация Azure Front Door

Зарегистрируйте субъект-службу для Azure Front Door в качестве приложения в идентификаторе Microsoft Entra с помощью Azure PowerShell или Azure CLI.

Примечание.

• Это действие требует наличия разрешений глобального Администратор istrator в идентификаторе Microsoft Entra. Регистрация должна выполняться только один раз для каждого клиента Microsoft Entra.
• Идентификаторы приложений 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и d4631ece-daab-479b-be77-ccb713491fc0 предварительно определены Azure для Azure для Azure Front Door Standard и Premium во всех клиентах и подписках Azure. Azure Front Door (классическая версия) имеет другой идентификатор приложения.

Azure PowerShell

1. При необходимости установите Azure PowerShell в PowerShell на локальном компьютере.

2. Используйте PowerShell для выполнения следующей команды:

   Общедоступное облако Azure:

   New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
   

   Облако Azure для государственных организаций:

    New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
   

Azure CLI

1. При необходимости установите Azure CLI на локальном компьютере.

2. Используйте Azure CLI для выполнения следующей команды:

   Общедоступное облако Azure:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

   Облако Azure для государственных организаций:

    az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
   

Предоставление Azure Front Door доступа к хранилищу ключей

Предоставьте Azure Front Door разрешение на доступ к сертификатам в новой учетной записи Key Vault, созданной специально для Azure Front Door. Для получения сертификата и секрета необходимо предоставить GET разрешение только azure Front Door.

1. В учетной записи Key Vault выберите политики доступа.

2. Нажмите кнопку Добавить или Создать, чтобы создать новую политику доступа.

3. В разделе "Разрешения секрета" выберите "Получить ", чтобы разрешить Azure Front Door получить сертификат.

4. В разрешениях на сертификат выберите "Получить ", чтобы разрешить Azure Front Door получить сертификат.

5. В разделе Select principal выполните поиск 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и выберите Microsoft.AzureFrontDoor-Cdn. Выберите Далее.

6. В разделе Приложение нажмите кнопку Далее.

7. В разделе Просмотр и создание щелкните Создать.

Примечание.

Если хранилище ключей защищено с помощью ограничений доступа к сети, обязательно разрешите доверенным службам Майкрософт доступ к хранилищу ключей.

Теперь у Azure Front Door есть доступ к этому хранилищу и сертификатам, которые хранятся в нем.

Выбор сертификата для развертывания Azure Front Door

1. Вернитесь к Azure Front Door уровня "Стандартный" или "Премиум" на портале.

2. В разделе Параметры перейдите в раздел "Секреты" и нажмите кнопку "Добавить сертификат".

   

3. В области "Добавить сертификат" выберите проверка box для сертификата, который вы хотите добавить в Azure Front Door standard/Premium.

4. При выборе сертификата необходимо выбрать версию сертификата. Если выбрать последнюю версию, Azure Front Door автоматически обновляется при смене сертификата (продлении). Вы также можете выбрать определенную версию сертификата, если вы предпочитаете самостоятельно управлять сменой сертификатов.

   Оставьте выбранный вариант версии как "Последняя " и нажмите кнопку "Добавить".

   

5. После успешной подготовки сертификата его можно использовать при добавлении нового личного домена.

   

6. В разделе Параметры перейдите в домены и нажмите кнопку +Добавить, чтобы добавить новый личный домен. На панели "Добавление домена" для HTTPS выберите "Принести собственный сертификат" (BYOC). Для секрета выберите сертификат, который вы хотите использовать в раскрывающемся списке.

   Примечание.

   Общее имя выбранного сертификата должно совпадать с добавленным личным доменом.

   

7. Выполните действия на экране, чтобы проверить сертификат. Затем свяжите только что созданный личный домен с конечной точкой, как описано в разделе "Настройка личного домена".

Переключение между типами сертификатов

Вы можете переключать домен между сертификатом, управляемым Azure Front Door, и сертификатом, управляемым клиентом. Дополнительные сведения см. в разделе "Домены" в Azure Front Door.

1. Выберите состояние сертификата, чтобы открыть область сведений о сертификате.

   

2. В области сведений о сертификате можно изменить управление Azure Front Door и принести собственный сертификат (BYOC).

   Если выбрать собственный сертификат (BYOC), выполните указанные выше действия, чтобы выбрать сертификат.

3. Выберите Обновить, чтобы изменить сертификат, привязанный к домену.

   

Следующие шаги

• Изучите кэширование с использованием Azure Front Door категории "Стандартный" или "Премиум".
• Общие сведения о пользовательских доменах в Azure Front Door.
• Сведения о сквозном TLS с помощью Azure Front Door.