Dela via

Konfigurera en anpassad domän för Azure Web PubSub Service

  • Artikel

Förutom standarddomänen som tillhandahålls av Azure Web PubSub Service kan du även lägga till en anpassad domän. En anpassad domän är ett domännamn som du äger och hanterar. Du kan använda en anpassad domän för att få åtkomst till din Azure Web PubSub Service-resurs. Du kan till exempel använda contoso.example.com i stället för contoso.webpubsub.azure.com att komma åt din Azure Web PubSub Service-resurs.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration. Om du inte har något Azure-konto kan du skapa ett konto kostnadsfritt.
  • En Azure Web PubSub-tjänst (måste vara Premium-nivå).
  • En Azure Key Vault-resurs.
  • Ett anpassat certifikat som matchar en anpassad domän som lagras i Azure Key Vault.

Lägga till ett anpassat certifikat

Innan du kan lägga till en anpassad domän måste du lägga till ett matchande anpassat certifikat först. Ett anpassat certifikat är en resurs i din Azure Web PubSub-tjänst. Det refererar till ett certifikat i Azure Key Vault. Av säkerhets- och efterlevnadsskäl lagrar Inte Azure Web PubSub Service ditt certifikat permanent. I stället hämtas det från ditt Key Vault i farten och håller det i minnet.

Steg 1: Ge din Azure Web PubSub Service-resurs åtkomst till Key Vault

Azure Web PubSub Service använder hanterad identitet för att få åtkomst till ditt Key Vault. För att kunna auktorisera måste den beviljas behörigheter.

  1. I Azure-portalen går du till din Azure Web PubSub Service-resurs.

  2. I menyfönstret väljer du Identitet.

  3. Du kan välja Systemtilldelad eller Användartilldelad identitet. Om du vill använda Användartilldelad identitet måste du skapa en först.

    1. Så här lägger du till en systemtilldelad identitet

      1. Välj .
      2. Välj Ja för att bekräfta.
      3. Välj Spara.

      Screenshot of enabling system assigned managed identity.

    2. Så här lägger du till en användartilldelad identitet.

      1. Välj Lägg till användartilldelad hanterad identitet.
      2. Välj en befintlig identitet.
      3. Markera Lägga till.

      Screenshot of enabling user assigned managed identity.

  4. Välj Spara.

Beroende på hur du konfigurerar key vault-behörighetsmodellen kan du behöva bevilja behörigheter på olika platser.

Om du använder den inbyggda åtkomstprincipen för Key Vault som key vault-behörighetsmodell:

Screenshot of built-in access policy selected as Key Vault permission model.

  1. Gå till din Key Vault-resurs.

  2. I menyfönstret väljer du Åtkomstkonfiguration.

  3. Välj Åtkomstprincip för valv.

  4. Välj Gå till åtkomstprinciper.

  5. Välj Skapa.

  6. Välj Secret Get permission ( Hämta behörighet för hemlighet).

  7. Välj Behörighet att hämta certifikat.

  8. Välj Nästa.

    Screenshot of permissions selection in Key Vault.

  9. Sök efter resursnamnet för Azure Web PubSub Service.

  10. Välj Nästa.

    Screenshot of principal selection in Key Vault.

  11. Välj Nästa på fliken Program .

  12. Välj Skapa.

Steg 2: Skapa ett anpassat certifikat

  1. I Azure-portalen går du till din Azure Web PubSub Service-resurs.

  2. I menyfönstret väljer du Anpassad domän.

  3. I avsnittet Anpassat certifikat väljer du Lägg till.

    Screenshot of custom certificate management.

  4. Fyll i ett namn för det anpassade certifikatet.

  5. Välj Välj från ditt Key Vault för att välja ett Key Vault-certifikat. När du har valt följande Key Vault Base-URI fylls nyckelvalvets hemliga namn automatiskt i. Du kan också fylla i dessa fält manuellt.

  6. Du kan också ange en hemlig Key Vault-version om du vill fästa certifikatet på en viss version.

  7. Markera Lägga till.

    Screenshot of adding a custom certificate.

Azure Web PubSub Service hämtar certifikatet och validerar dess innehåll. När det lyckas kommer certifikatets etableringstillstånd att lyckas.

Screenshot of an added custom certificate.

Skapa en anpassad domän- CNAME

För att verifiera ägarskapet för din anpassade domän måste du skapa en CNAME-post för den anpassade domänen och peka den till standarddomänen för Azure Web PubSub Service.

Om din standarddomän till exempel är contoso.webpubsub.azure.comoch din anpassade domän är contoso.example.commåste du skapa en CNAME-post på example.com följande sätt:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.

Om du använder Azure DNS-zonen kan du läsa hantera DNS-poster för att lära dig hur du lägger till en CNAME-post.

Screenshot of adding a CNAME record in Azure DNS Zone.

Om du använder andra DNS-leverantörer följer du providerns guide för att skapa en CNAME-post.

Lägga till en anpassad domän

En anpassad domän är en annan underresurs i Azure Web PubSub Service. Den innehåller alla konfigurationer för en anpassad domän.

  1. I Azure-portalen går du till din Azure Web PubSub Service-resurs.

  2. I menyfönstret väljer du Anpassad domän.

  3. Under Anpassad domän väljer du Lägg till.

    Screenshot of custom domain management.

  4. Ange ett namn för den anpassade domänen. Det är underresursnamnet.

  5. Ange domännamnet. Det är det fullständiga domännamnet för din anpassade domän, till exempel contoso.com.

  6. Välj ett anpassat certifikat som gäller för den här anpassade domänen.

  7. Markera Lägga till.

    Screenshot of adding a custom domain.

Verifiera en anpassad domän

Nu kan du komma åt din Azure Web PubSub Service-slutpunkt via den anpassade domänen. För att verifiera det kan du komma åt hälso-API:et.

Här är ett exempel med cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

Hälso-API:et bör returnera 200 statuskod utan certifikatfel.

Key Vault i privat nätverk

Om du har konfigurerat en privat slutpunkt till ditt Key Vault kan Azure Web PubSub Service inte komma åt Key Vault via det offentliga nätverket. Du måste konfigurera en delad privat slutpunkt så att Azure Web PubSub Service får åtkomst till ditt Key Vault via privat nätverk.

När du har skapat en delad privat slutpunkt kan du skapa ett anpassat certifikat som vanligt. Du behöver inte ändra domänen i Key Vault-URI:n. Om din Key Vault-bas-URI till exempel är https://contoso.vault.azure.netanvänder du fortfarande den här URI:n för att konfigurera anpassat certifikat.

Du behöver inte uttryckligen tillåta Azure Web PubSub Service-IP-adresser i Key Vault-brandväggsinställningar. Mer information finns i Diagnostik för privat länk i Key Vault.

Certifikatrotation

Om du inte anger någon hemlig version när du skapar ett anpassat certifikat kontrollerar Azure Web PubSub Service regelbundet den senaste versionen i Key Vault. När en ny version observeras tillämpas den automatiskt. Fördröjningen är vanligtvis inom 1 timme.

Du kan också fästa anpassade certifikat på en specifik hemlig version i Key Vault. När du behöver tillämpa ett nytt certifikat kan du redigera den hemliga versionen och sedan uppdatera det anpassade certifikatet proaktivt.

Nästa steg