Dela via


Självstudiekurs: Konfigurera HTTPS på en anpassad Azure CDN-domän

Viktigt!

Azure CDN Standard från Microsoft (klassisk) dras tillbaka den 30 september 2027. För att undvika avbrott i tjänsten är det viktigt att du migrerar din Azure CDN Standard från Microsofts (klassiska) profiler till Azure Front Door Standard- eller Premium-nivån senast den 30 september 2027. Mer information finns i Azure CDN Standard från Microsoft (klassisk) tillbakadragning.

Azure CDN från Edgio dras tillbaka den 4 november 2025. Du måste migrera din arbetsbelastning till Azure Front Door före det här datumet för att undvika avbrott i tjänsten. Mer information finns i Azure CDN från vanliga frågor och svar om Edgio-pensionering.

Den här självstudien visar hur du aktiverar HTTPS-protokollet för en anpassad domän som är associerad med en Azure CDN-slutpunkt.

HTTPS-protokollet på din anpassade domän (till exempel https://www.contoso.com), säkerställer att dina känsliga data levereras säkert via TLS/SSL. När webbläsaren är ansluten via HTTPS verifierar webbläsaren webbplatsens certifikat. Webbläsaren verifierar att den har utfärdats av en legitim certifikatutfärdare. Den här processen ger trygghet och skyddar dina webbprogram mot attacker.

Azure CDN stöder HTTPS i CDN-slutpunktens värdnamn som standard. Om du till exempel skapar en CDN-slutpunkt (till exempel https://contoso.azureedge.net) aktiveras HTTPS automatiskt.

Några viktiga attribut i den anpassade HTTPS-funktionen är:

  • Ingen extra kostnad: Det finns inga kostnader för anskaffning eller förnyelse av certifikat och ingen extra kostnad för HTTPS-trafik. Du betalar bara för utgående trafik (GB) från CDN.

  • Enkel aktivering: enklicksetablering är tillgänglig från Azure Portal. Du kan också aktivera funktionen med REST API eller andra utvecklingsverktyg.

  • Fullständig certifikathantering är tillgänglig:

    • All anskaffning och hantering av certifikat hanteras åt dig.
    • Certifikat etableras och förnyas automatiskt innan de upphör att gälla.

I den här självstudien lär du dig att:

  • Aktivera HTTPS-protokollet på din anpassade domän.
  • Använda ett CDN-hanterat certifikat
  • Använda ditt eget certifikat
  • Verifiera domänen
  • Inaktivera HTTPS-protokollet på din anpassade domän.

Förutsättningar

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Innan du kan slutföra stegen i den här självstudien skapar du en CDN-profil och minst en CDN-slutpunkt. Mer information finns i Snabbstart: Skapa en Azure CDN-profil och CDN-slutpunkt.

Associera en anpassad Azure CDN-domän på cdn-slutpunkten. Mer information finns i Självstudie: Lägga till en anpassad domän i Azure CDN-slutpunkten.

Viktigt!

CDN-hanterade certifikat är inte tillgängliga för rot- eller apex-domäner. Om din anpassade Azure CDN-domän är en rot- eller apexdomän måste du använda funktionen Bring your own certificate (Ta med ditt eget certifikat).


TLS-/SSL-certifikat

Om du vill aktivera HTTPS på en anpassad Azure CDN-domän använder du ett TLS/SSL-certifikat. Du väljer att använda ett certifikat som hanteras av Azure CDN eller använda certifikatet.

Azure CDN hanterar certifikathanteringsuppgifter som anskaffning och förnyelse. När du har aktiverat funktionen startar processen omedelbart.

Om den anpassade domänen redan har mappats till CDN-slutpunkten behövs ingen ytterligare åtgärd. Azure CDN bearbetar stegen och slutför din begäran automatiskt.

Om din anpassade domän mappas någon annanstans använder du e-post för att verifiera ditt domänägarskap.

Följ dessa steg om du vill aktivera HTTPS på en anpassad domän:

  1. Gå till Azure Portal för att hitta ett certifikat som hanteras av ditt Azure CDN. Sök efter och välj CDN-profiler.

  2. Välj din profil:

    • Azure CDN Standard från Microsoft
    • Azure CDN Standard från Edgio
    • Azure CDN Premium från Edgio
  3. I listan med CDN-slutpunkter väljer du slutpunkten som innehåller din anpassade domän.

    Skärmbild av slutpunktslistan. Sidan Slutpunkt visas.

  4. I listan med anpassade domäner väljer du den anpassade domänen som du vill aktivera HTTPS för.

    Skärmbild av den anpassade domänsidan med alternativet att använda mitt eget certifikat.

    Sidan Anpassad domän visas.

  5. Under certifikathanteringstyp väljer du CDN-hanterat.

  6. Välj för att aktivera HTTPS.

    Skärmbild av HTTPS-status för den anpassade domänen.

  7. Fortsätt att verifiera domänen.

Verifiera domänen

Om du har en anpassad domän som används mappad till din anpassade slutpunkt med en CNAME-post eller om du använder ditt eget certifikat fortsätter du till Anpassad domän som mappats till slutpunkten för innehållsleveransnätverket.

Om CNAME-postposten för slutpunkten inte längre finns eller om den innehåller underdomänen cdnverify fortsätter du till Anpassad domän som inte har mappats till cdn-slutpunkten.

Den anpassade domänen har mappats till CDN-slutpunkten med en CNAME-post

När du lade till en anpassad domän i slutpunkten skapade du en CNAME-post i DNS-domänregistratorn som mappats till cdn-slutpunktens värdnamn.

Om CNAME-posten fortfarande finns och inte innehåller underdomänen cdnverify använder DigiCert CA:n den för att automatiskt verifiera ägarskapet för din anpassade domän.

Om du använder ett eget certifikat krävs inte domänverifiering.

CNAME-posten ska ha följande format:

  • Namnet är ditt anpassade domännamn.
  • Värdet är värdnamnet för innehållsleveransnätverkets slutpunkt.
Namn Typ Värde
<www.contoso.com> CNAME contoso.azureedge.net

Mer information om CNAME-poster finns i Skapa CNAME DNS-posten.

Om din CNAME-post är i rätt format verifierar DigiCert automatiskt ditt anpassade domännamn och skapar ett certifikat för din domän. DigitCert skickar inget verifieringsmeddelande till dig och du behöver inte godkänna din begäran. Certifikatet är giltigt i ett år och kommer att förnyas automatiskt innan det upphör att gälla. Gå vidare till Vänta på spridning.

Automatisk validering tar vanligtvis några timmar. Om du inte ser domänen verifierad på 24 timmar öppnar du ett supportärende.

Kommentar

Om du har en CAA-post (Certificate Authority Authorization) med dns-providern måste den innehålla lämpliga certifikatutfärdare för auktorisering. DigiCert är certifikatutfärdare för Microsoft- och Edgio-profiler. Information om hur du hanterar CAA poster finns i Hantera CAA-poster. Hjälpverktyg för CAA-poster finns i CAA Record Helper.

Anpassad domän mappas inte till CDN-slutpunkten

Om posten CNAME-post innehåller underdomänen cdnverify följer du resten av anvisningarna i det här steget.

DigiCert skickar ett verifieringsmeddelande till följande e-postadresser. Kontrollera att du kan godkänna direkt från någon av följande adresser:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Du bör få ett e-postmeddelande om några minuter så att du kan godkänna begäran. Om du använder ett skräppostfilter lägger du till verification@digicert.com det i listan över tillåtna. Kontakta Microsoft-supporten om du inte får ett e-postmeddelande inom 24 timmar.

Skärmbild av e-postmeddelandet för domänverifiering.

När du väljer godkännandelänken dirigeras du till följande formulär för onlinegodkännande:

Skärmbild av domänverifieringsformuläret.

Följ instruktionerna i formuläret. Du har två verifieringsalternativ:

  • Du kan godkänna alla framtida order som placerats via samma konto för samma rotdomän, till exempel contoso.com. Den här metoden rekommenderas om du planerar att lägga till andra anpassade domäner för samma rotdomän.

  • Du kan bara godkänna det specifika värdnamn som används i den här begäran. Ett annat godkännande krävs för senare begäranden.

Efter godkännandet slutför DigiCert skapandet av certifikatet för det anpassade domännamnet. Certifikatet är giltigt i 1 år. Om CNAME-posten för din anpassade domän läggs till eller uppdateras för att mappa till slutpunktens värdnamn efter verifieringen, kommer den att återskapas automatiskt innan den har upphört att gälla.

Kommentar

Autorenewal för hanterat certifikat kräver att din anpassade domän mappas direkt till CDN-slutpunkten av en CNAME-post.

Vänta på spridning

När domännamnet har verifierats kan det ta upp till 6–8 timmar innan HTTPS-funktionen för den anpassade domänen aktiveras. När processen är klar ändras den anpassade HTTPS-statusen i Azure Portal till Aktiverad. De fyra åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen är nu klar att använda HTTPS.

Skärmbild av dialogrutan aktivera HTTPS.

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du aktiverar HTTPS. När du har aktiverat HTTPS visas de fyra åtgärdsstegen i dialogrutan Anpassad domän. När varje steg blir aktivt visas andra understegsinformation under steget när det fortsätter. Alla dessa understeg sker inte. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdssteg Information om åtgärdsundersteg
1 Skicka begäran Begäran skickas
Din HTTPS-begäran skickas.
Din HTTPS-begäran har skickats.
2 Domänverifiering Domänen verifieras automatiskt om den är CNAME mappad till CDN-slutpunkten. I annat fall skickas en verifieringsbegäran till e-postmeddelandet som anges i domänens registreringspost (WHOIS-registrant).
Domänägarskapet har verifierats och godkänts.
Begäran om verifiering av domänägarskap har gått ut (kunden svarade troligtvis inte inom 6 dagar). HTTPS aktiveras inte på din domän. *
Begäran om verifiering av domänägarskap avvisades av kunden. HTTPS aktiveras inte på din domän. *
3 Etablering av certifikat Certifikatutfärdaren håller på att utfärda det certifikat som krävs för att aktivera HTTPS på din domän.
Certifikatet har utfärdats och håller på att distribueras till CDN-nätverket. Det kan ta upp till 6 timmar.
Certifikatet har distribuerats till CDN-nätverket.
4 Slutfört HTTPS har aktiverats på din domän.

* Det här meddelandet visas inte om inte ett fel har inträffat.

Om det uppstår ett fel innan begäran har skickats visas följande felmeddelande:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Rensa resurser – inaktivera HTTPS

I det här avsnittet får du lära dig hur du inaktiverar HTTPS för din anpassade domän.

Inaktivera HTTPS-funktionen

  1. I Azure Portal söker du efter och väljer CDN-profiler.

  2. Välj din Azure CDN Standard från Microsoft, Azure CDN Standard från Edgio eller Azure CDN Premium från Edgio-profilen .

  3. I listan över slutpunkter väljer du slutpunkten som innehåller din anpassade domän.

  4. Välj den anpassade domän som du vill inaktivera HTTPS för.

    Skärmbild av listan över anpassade domäner.

  5. Välj Av för att inaktivera HTTPS och välj sedan Använd.

    Skärmbild av den anpassade HTTPS-dialogrutan.

Vänta på spridning

När HTTPS-funktionen för den anpassade domänen har inaktiverats kan det ta upp till 6–8 timmar innan ändringen börjar gälla. När processen är klar ändras den anpassade HTTPS-statusen i Azure Portal till Inaktiverad. Den anpassade domänen använder inte längre HTTPS.

Vanliga frågor och svar

  1. Vem är certifikatleverantör och vilken typ av certifikat används?

    Ett dedikerat certifikat från Digicert används för din anpassade domän för:

    • Azure Content Delivery Network från Edgio
    • Azure Content Delivery Network från Microsoft
  2. Använder du IP-baserad eller SNI(Server Name Indication) TLS/SSL?

    Både Azure CDN från Edgio och Azure CDN Standard från Microsoft använder SNI TLS/SSL.

  3. Vad händer om jag inte får domänverifieringsmeddelandet från DigiCert?

    Om du inte använder underdomänen cdnverify och CNAME-posten är för slutpunktens värdnamn får du inget e-postmeddelande om domänverifiering.

    Verifieringen sker i så fall automatiskt. Om du inte har en CNAME-post och inte har fått något e-postmeddelande inom 24 timmar kontaktar du Microsoft-supporten.

  4. Är det mindre säkert att använda ett SAN-certifikat än att använda ett dedikerat certifikat?

    Ett SAN-certifikat följer samma standarder för kryptering och säkerhet som ett dedikerat certifikat. Alla utfärdade TLS/SSL-certifikat använder SHA-256 för förbättrad serversäkerhet.

  5. Behöver jag en CAA-post (Certificate Authority Authorization) med DNS-leverantören?

    Auktoriseringspost för certifikatutfärdare krävs för närvarande inte. Men om du har en sådan måste den innehålla DigiCert som en giltig certifikatutfärdare.

  6. Den 20 juni 2018 började Azure CDN från Edgio använda ett dedikerat certifikat med SNI TLS/SSL som standard. Vad händer med mina befintliga anpassade domäner som använder SAN-certifikat och IP-baserad TLS/SSL?

    Dina befintliga domäner migreras gradvis till ett enskilt certifikat under de kommande månaderna om Microsoft analyserar att endast SNI-klientbegäranden görs till ditt program.

    Om icke-SNI-klienter identifieras finns domänerna kvar i SAN-certifikatet med IP-baserad TLS/SSL. Begäranden till din tjänst eller klienter som inte är SNI påverkas inte.

  7. Hur fungerar certifikatförnyelser med Bring Your Own Certificate?

    För att säkerställa att ett nyare certifikat distribueras till POP-infrastrukturen laddar du upp ditt nya certifikat till Azure Key Vault. I dina TLS-inställningar i Azure Content Delivery Network väljer du den senaste certifikatversionen och väljer Spara. Azure Content Delivery Network sprider sedan ditt nya uppdaterade certifikat.

    Viktigt!

    • Från och med den 20 juni 2024 har Azure CDN Standard och Premium från Edgio inte stöd för funktionen Använd mina egna certifikat . Den här funktionen kommer att återinföras igen i början av 2025.
    • Vilka åtgärder krävs för anpassade domäner med den här funktionen? BYOC-certifikat som redan har distribuerats på Edgio-plattformen förblir giltiga fram till dess förfallodatum. Ingen åtgärd krävs för certifikat som upphör att gälla 2025. Vi rekommenderar att du växlar över till CDN Managed för certifikat som kräver en uppdatering eller kommer att upphöra att gälla i år. Om du behöver ytterligare hjälp skickar du en supportbegäran för att arbeta med en supporttekniker.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Aktivera HTTPS-protokollet på din anpassade domän.
  • Använda ett CDN-hanterat certifikat
  • Använda ditt eget certifikat
  • Verifiera domänen.
  • Inaktivera HTTPS-protokollet på din anpassade domän.

Gå vidare till nästa kurs om du vill lära dig hur du konfigurerar cachelagring på en CDN-slutpunkt.