Självstudiekurs: Konfigurera HTTPS på en anpassad Azure CDN-domän

Den här självstudien visar hur du aktiverar HTTPS-protokollet för en anpassad domän som är associerad med en Azure CDN-slutpunkt.

HTTPS-protokollet på din anpassade domän (till exempel https://www.contoso.com), säkerställer att dina känsliga data levereras säkert via TLS/SSL. När webbläsaren är ansluten via HTTPS verifierar webbläsaren webbplatsens certifikat. Webbläsaren verifierar att den har utfärdats av en legitim certifikatutfärdare. Den här processen ger trygghet och skyddar dina webbprogram mot attacker.

Azure CDN stöder HTTPS i CDN-slutpunktens värdnamn som standard. Om du till exempel skapar en CDN-slutpunkt (till exempel https://contoso.azureedge.net) aktiveras HTTPS automatiskt.

Några viktiga attribut i den anpassade HTTPS-funktionen är:

• Ingen extra kostnad: Det finns inga kostnader för anskaffning eller förnyelse av certifikat och ingen extra kostnad för HTTPS-trafik. Du betalar bara för utgående trafik (GB) från CDN.

• Enkel aktivering: enklicksetablering är tillgänglig från Azure Portal. Du kan också aktivera funktionen med REST API eller andra utvecklingsverktyg.

• Fullständig certifikathantering är tillgänglig:

  • All anskaffning och hantering av certifikat hanteras åt dig.
  • Certifikat etableras och förnyas automatiskt innan de upphör att gälla.

I den här självstudien lär du dig att:

• Aktivera HTTPS-protokollet på din anpassade domän.
• Använda ett CDN-hanterat certifikat
• Använda ditt eget certifikat
• Verifiera domänen
• Inaktivera HTTPS-protokollet på din anpassade domän.

Förutsättningar

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Innan du kan slutföra stegen i den här självstudien skapar du en CDN-profil och minst en CDN-slutpunkt. Mer information finns i Snabbstart: Skapa en Azure CDN-profil och CDN-slutpunkt.

Associera en anpassad Azure CDN-domän på cdn-slutpunkten. Mer information finns i Självstudie: Lägga till en anpassad domän i Azure CDN-slutpunkten.

Viktigt!

CDN-hanterade certifikat är inte tillgängliga för rot- eller apex-domäner. Om din anpassade Azure CDN-domän är en rot- eller apexdomän måste du använda funktionen Bring your own certificate (Ta med ditt eget certifikat).

---

TLS-/SSL-certifikat

Om du vill aktivera HTTPS på en anpassad Azure CDN-domän använder du ett TLS/SSL-certifikat. Du väljer att använda ett certifikat som hanteras av Azure CDN eller använda certifikatet.

Alternativ 1 (standard): Aktivera HTTPS med ett CDN-hanterat certifikat

Azure CDN hanterar certifikathanteringsuppgifter som anskaffning och förnyelse. När du har aktiverat funktionen startar processen omedelbart.

Om den anpassade domänen redan har mappats till CDN-slutpunkten behövs ingen ytterligare åtgärd. Azure CDN bearbetar stegen och slutför din begäran automatiskt.

Om din anpassade domän mappas någon annanstans använder du e-post för att verifiera ditt domänägarskap.

Följ dessa steg om du vill aktivera HTTPS på en anpassad domän:

1. Gå till Azure-portalen för att hitta ett certifikat som hanteras av ditt Azure CDN. Sök efter och välj CDN-profiler.

2. Välj din profil:

   • Azure CDN Standard från Microsoft
   • Azure CDN Standard från Edgio
   • Azure CDN Premium från Edgio

3. I listan med CDN-slutpunkter väljer du slutpunkten som innehåller din anpassade domän.

   

   Sidan Slutpunkt visas.

4. I listan med anpassade domäner väljer du den anpassade domänen som du vill aktivera HTTPS för.

   

   Sidan Anpassad domän visas.

5. Under certifikathanteringstyp väljer du CDN-hanterat.

6. Välj På för att aktivera HTTPS.

   

7. Fortsätt att verifiera domänen.

Alternativ 2: Aktivera HTTPS med ditt eget certifikat

Viktigt!

Det här alternativet är endast tillgängligt med Azure CDN från Microsoft och Azure CDN från Edgio-profiler .

Du kan använda ditt eget certifikat för att aktivera HTTPS. Detta görs via en integrering med Azure Key Vault där du kan lagra certifikaten säkert. Azure CDN använder den här säkra mekanismen för att hämta certifikatet och det krävs några extra steg. När du skapar ditt TLS/SSL-certifikat måste du skapa en fullständig certifikatkedja med en tillåten certifikatutfärdare (CA) som ingår i Microsofts lista över betrodda certifikatutfärdare. Om du använder en icke-tillåten certifikatutfärdare avvisas din begäran. Om ett certifikat utan fullständig kedja visas kommer begäranden, som omfattar certifikatet, inte att fungera som förväntat. För Azure CDN från Edgio godkänns alla giltiga certifikat.

Förbereda ditt Azure Key Vault-konto och -certifikat

1. Azure Key Vault: Du måste ha ett aktivt Azure Key Vault-konto under samma prenumeration som Azure CDN-profilen och CDN-slutpunkterna där du vill aktivera anpassad HTTPS. Skapa ett Azure Key Vault-konto om du inte redan har ett.

2. Azure Key Vault-certifikat: Om du har ett certifikat laddar du upp det direkt till ditt Azure Key Vault-konto. Om du inte har något certifikat skapar du ett nytt certifikat direkt via Azure Key Vault.

Kommentar

• Azure Content Delivery Network stöder endast PFX-certifikat.
• Certifikatet måste ha en fullständig certifikatkedja med lövcertifikat och mellanliggande certifikat, och rotcertifikatutfärdare måste ingå i Microsofts lista över betrodda certifikatutfärdare.

Registrera Azure CDN

Registrera Azure CDN som en app i ditt Microsoft Entra-ID.

Kommentar

• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 är tjänstens huvudnamn för Microsoft.AzureFrontDoor-Cdn.
• Du måste ha rollen Global administratör för att köra det här kommandot.
• Tjänstens huvudnamn ändrades från Microsoft.Azure.Cdn till Microsoft.AzureFrontDoor-Cdn.

Azure PowerShell

1. Om det behövs installerar du Azure PowerShell på den lokala datorn.

2. Kör följande kommando i PowerShell:

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
   
   Secret                :
   ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8,
    			https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
   ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   ObjectType            : ServicePrincipal DisplayName           : Microsoft.AzureFrontDoor-Cdn Id                    : abcdef12-3456-7890-abcd-ef1234567890
   Type                  :
   

Azure CLI

1. Installera Azure CLI på den lokala datorn om det behövs.

2. Använd Azure CLI för att köra följande kommando:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

Ge Azure CDN åtkomst till ditt nyckelvalv

Ge Azure CDN behörighet att komma åt certifikaten (hemligheterna) på ditt Azure Key Vault-konto.

1. I ditt nyckelvalv i avsnittet Inställningar väljer du Åtkomstprinciper. I den högra rutan väljer du + Lägg till åtkomstprincip:

   

2. På sidan Lägg till åtkomstprincip väljer du Ingen markerad bredvid Välj huvudnamn. På sidan Huvudnamn anger du 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Välj Microsoft.AzureFrontdoor-Cdn. Välj Välj:

3. I Välj huvudnamn söker du efter 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 och väljer Microsoft.AzureFrontDoor-Cdn. Välj Välj.

   

4. Välj Certifikatbehörigheter. Markera kryssrutan för Hämta för att tillåta CDN-behörigheter för att hämta certifikaten.

5. Välj Hemliga behörigheter. Markera kryssrutan för Hämta för att tillåta CDN-behörigheter för att hämta hemligheterna:

   

6. Markera Lägga till.

Kommentar

Azure CDN har nu åtkomst till nyckelvalvet och certifikaten (hemligheterna) som lagras i nyckelvalvet. Alla CDN-instanser som skapats i den här prenumerationen har åtkomst till certifikaten i det här nyckelvalvet.

Välj det certifikat som ska distribueras av Azure CDN

1. Gå tillbaka till Azure CDN-portalen och välj den profil och CDN-slutpunkt som du vill aktivera anpassad HTTPS för.

2. I listan med anpassade domäner väljer du den anpassade domänen som du vill aktivera HTTPS för.

   Sidan Anpassad domän visas.

3. Under Certifikathanteringstyp väljer du Använd mitt eget certifikat.

   

4. Välj ett nyckelvalv, certifikat/hemlighet och certifikat/hemlig version.

   Azure CDN visar följande information:

   • Key Vault-kontona för ditt prenumerations-ID.
   • Certifikaten/hemligheterna under det valda nyckelvalvet.
   • Tillgängliga certifikat/hemliga versioner.

   Kommentar

   • Azure Content Delivery Network stöder endast PFX-certifikat.
   • För att certifikatet ska roteras automatiskt till den senaste versionen när en nyare version av certifikatet är tillgänglig i nyckelvalvet anger du certifikatet/den hemliga versionen till "Senaste". Om du väljer en viss version måste du välja den nya versionen manuellt för certifikatrotation. Det tar upp till 72 timmar innan den nya versionen av certifikatet/hemligheten distribueras. Endast Standard Microsoft SKU stöder automatisk rotation av certifikat.

5. Välj På för att aktivera HTTPS.

6. När du använder certifikatet krävs inte domänverifiering. Gå vidare till Vänta på spridning.

Verifiera domänen

Om du har en anpassad domän som används mappad till din anpassade slutpunkt med en CNAME-post eller om du använder ditt eget certifikat fortsätter du till Anpassad domän som mappats till slutpunkten för innehållsleveransnätverket.

Om CNAME-postposten för slutpunkten inte längre finns eller om den innehåller underdomänen cdnverify fortsätter du till Anpassad domän som inte har mappats till cdn-slutpunkten.

Den anpassade domänen har mappats till CDN-slutpunkten med en CNAME-post

När du lade till en anpassad domän i slutpunkten skapade du en CNAME-post i DNS-domänregistratorn som mappats till cdn-slutpunktens värdnamn.

Om CNAME-posten fortfarande finns och inte innehåller underdomänen cdnverify använder DigiCert CA:n den för att automatiskt verifiera ägarskapet för din anpassade domän.

Om du använder ett eget certifikat krävs inte domänverifiering.

CNAME-posten ska ha följande format:

• Namnet är ditt anpassade domännamn.
• Värdet är värdnamnet för innehållsleveransnätverkets slutpunkt.

Namn	Typ	Värde
<www.contoso.com>	CNAME	contoso.azureedge.net

Mer information om CNAME-poster finns i Skapa CNAME DNS-posten.

Om din CNAME-post är i rätt format verifierar DigiCert automatiskt ditt anpassade domännamn och skapar ett certifikat för din domän. DigitCert skickar inget verifieringsmeddelande till dig och du behöver inte godkänna din begäran. Certifikatet är giltigt i ett år och kommer att förnyas automatiskt innan det upphör att gälla. Gå vidare till Vänta på spridning.

Automatisk validering tar vanligtvis några timmar. Om du inte ser domänen verifierad på 24 timmar öppnar du ett supportärende.

Kommentar

Om du har en CAA-post (Certificate Authority Authorization) med dns-providern måste den innehålla lämpliga certifikatutfärdare för auktorisering. DigiCert är certifikatutfärdare för Microsoft- och Edgio-profiler. Information om hur du hanterar CAA poster finns i Hantera CAA-poster. Hjälpverktyg för CAA-poster finns i CAA Record Helper.

Anpassad domän mappas inte till CDN-slutpunkten

Om posten CNAME-post innehåller underdomänen cdnverify följer du resten av anvisningarna i det här steget.

DigiCert skickar ett verifieringsmeddelande till följande e-postadresser. Kontrollera att du kan godkänna direkt från någon av följande adresser:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Du bör få ett e-postmeddelande om några minuter så att du kan godkänna begäran. Om du använder ett skräppostfilter lägger du till verification@digicert.com det i listan över tillåtna. Kontakta Microsoft-supporten om du inte får ett e-postmeddelande inom 24 timmar.

När du väljer godkännandelänken dirigeras du till följande formulär för onlinegodkännande:

Följ instruktionerna i formuläret. Du har två verifieringsalternativ:

• Du kan godkänna alla framtida order som placerats via samma konto för samma rotdomän, till exempel contoso.com. Den här metoden rekommenderas om du planerar att lägga till andra anpassade domäner för samma rotdomän.

• Du kan bara godkänna det specifika värdnamn som används i den här begäran. Ett annat godkännande krävs för senare begäranden.

Efter godkännandet slutför DigiCert skapandet av certifikatet för det anpassade domännamnet. Certifikatet är giltigt i ett år och kommer att förnyas automatiskt innan det har upphört att gälla.

Vänta på spridning

När domännamnet har verifierats kan det ta upp till 6–8 timmar innan HTTPS-funktionen för den anpassade domänen aktiveras. När processen är klar ändras den anpassade HTTPS-statusen i Azure-portalen till Aktiverad. De fyra åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen är nu klar att använda HTTPS.

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du aktiverar HTTPS. När du har aktiverat HTTPS visas de fyra åtgärdsstegen i dialogrutan Anpassad domän. När varje steg blir aktivt visas andra understegsinformation under steget när det fortsätter. Alla dessa understeg sker inte. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdssteg	Information om åtgärdsundersteg
1 Skicka begäran	Begäran skickas
	Din HTTPS-begäran skickas.
	Din HTTPS-begäran har skickats.
2 Domänverifiering	Domänen verifieras automatiskt om den är CNAME mappad till CDN-slutpunkten. I annat fall skickas en verifieringsbegäran till e-postmeddelandet som anges i domänens registreringspost (WHOIS-registrant).
	Domänägarskapet har verifierats och godkänts.
	Begäran om verifiering av domänägarskap har gått ut (kunden svarade troligtvis inte inom 6 dagar). HTTPS aktiveras inte på din domän. *
	Begäran om verifiering av domänägarskap avvisades av kunden. HTTPS aktiveras inte på din domän. *
3 Etablering av certifikat	Certifikatutfärdaren håller på att utfärda det certifikat som krävs för att aktivera HTTPS på din domän.
	Certifikatet har utfärdats och håller på att distribueras till CDN-nätverket. Det kan ta upp till 6 timmar.
	Certifikatet har distribuerats till CDN-nätverket.
4 Slutfört	HTTPS har aktiverats på din domän.

* Det här meddelandet visas inte om inte ett fel har inträffat.

Om det uppstår ett fel innan begäran har skickats visas följande felmeddelande:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Rensa resurser – inaktivera HTTPS

I det här avsnittet får du lära dig hur du inaktiverar HTTPS för din anpassade domän.

Inaktivera HTTPS-funktionen

1. I Azure-portalen söker du efter och väljer CDN-profiler.

2. Välj din Azure CDN Standard från Microsoft, Azure CDN Standard från Edgio eller Azure CDN Premium från Edgio-profilen .

3. I listan över slutpunkter väljer du slutpunkten som innehåller din anpassade domän.

4. Välj den anpassade domän som du vill inaktivera HTTPS för.

   

5. Välj Av för att inaktivera HTTPS och välj sedan Använd.

   

Vänta på spridning

När HTTPS-funktionen för den anpassade domänen har inaktiverats kan det ta upp till 6–8 timmar innan ändringen börjar gälla. När processen är klar ändras den anpassade HTTPS-statusen i Azure-portalen till Inaktiverad. De tre åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen använder inte längre HTTPS.

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du inaktiverar HTTPS. När du har inaktiverat HTTPS visas tre åtgärdssteg i dialogrutan anpassad domän. När ett steg blir aktivt visas information under steget. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdsförlopp	Åtgärdsinformation
1 Skicka begäran	Begäran skickas
2 Avetablering av certifikat	Tar bort certifikat
3 Slutfört	Certifikatet har tagits bort

Automatisk rotation av certifikat med Azure CDN från Edgio

Hanterade certifikat från Azure Key Vault kan använda funktionen autorotera certifikat, vilket gör att Azure CDN från Edgio automatiskt kan hämta uppdaterade certifikat och sprida dem till Edgio CDN-plattformen. Så aktiverar du funktionen:

1. Registrera Azure CDN som ett program i ditt Microsoft Entra-ID.

2. Ge Azure CDN-tjänsten åtkomst till hemligheterna i ditt Key Vault. Gå till "Åtkomstprinciper" i ditt Key Vault för att lägga till en ny princip och ge sedan tjänstens huvudnamn Microsoft.AzureFrontDoor-Cdn behörigheten Hämta hemligheter .

3. Ange certifikatversionen till Senaste under certifikathanteringstypen i menyn Anpassad domän . Om en specifik version av certifikatet har valts krävs manuella uppdateringar.

Kommentar

• Tänk på att det kan ta upp till 24 timmar innan certifikatet roteras automatiskt för att fullständigt slutföra spridningen av det nya certifikatet.
• Om ett certifikat används för att täcka flera anpassade domäner är det viktigt att aktivera automatisk rotation av certifikat på alla anpassade domäner som delar det här certifikatet för att säkerställa korrekt åtgärd. Om du inte gör det kan det leda till att Edgio-plattformen har en felaktig version av certifikatet för den anpassade domänen som inte har den här funktionen aktiverad."

Vanliga frågor och svar

1. Vem är certifikatleverantör och vilken typ av certifikat används?

   Ett dedikerat certifikat från Digicert används för din anpassade domän för:

   • Azure Content Delivery Network från Edgio
   • Azure Content Delivery Network från Microsoft

2. Använder du IP-baserad eller SNI(Server Name Indication) TLS/SSL?

   Både Azure CDN från Edgio och Azure CDN Standard från Microsoft använder SNI TLS/SSL.

3. Vad händer om jag inte får domänverifieringsmeddelandet från DigiCert?

   Om du inte använder underdomänen cdnverify och CNAME-posten är för slutpunktens värdnamn får du inget e-postmeddelande om domänverifiering.

   Verifieringen sker i så fall automatiskt. Om du inte har en CNAME-post och inte har fått något e-postmeddelande inom 24 timmar kontaktar du Microsoft-supporten.

4. Är det mindre säkert att använda ett SAN-certifikat än att använda ett dedikerat certifikat?

   Ett SAN-certifikat följer samma standarder för kryptering och säkerhet som ett dedikerat certifikat. Alla utfärdade TLS/SSL-certifikat använder SHA-256 för förbättrad serversäkerhet.

5. Behöver jag en CAA-post (Certificate Authority Authorization) med DNS-leverantören?

   Auktoriseringspost för certifikatutfärdare krävs för närvarande inte. Men om du har en sådan måste den innehålla DigiCert som en giltig certifikatutfärdare.

6. Den 20 juni 2018 började Azure CDN från Edgio använda ett dedikerat certifikat med SNI TLS/SSL som standard. Vad händer med mina befintliga anpassade domäner som använder SAN-certifikat och IP-baserad TLS/SSL?

   Dina befintliga domäner migreras gradvis till ett enskilt certifikat under de kommande månaderna om Microsoft analyserar att endast SNI-klientbegäranden görs till ditt program.

   Om icke-SNI-klienter identifieras finns domänerna kvar i SAN-certifikatet med IP-baserad TLS/SSL. Begäranden till din tjänst eller klienter som inte är SNI påverkas inte.

7. Hur fungerar certifikatförnyelser med Bring Your Own Certificate?

   För att säkerställa att ett nyare certifikat distribueras till POP-infrastrukturen laddar du upp ditt nya certifikat till Azure Key Vault. I dina TLS-inställningar i Azure Content Delivery Network väljer du den senaste certifikatversionen och väljer Spara. Azure Content Delivery Network sprider sedan ditt nya uppdaterade certifikat.

   Om du använder samma Azure Key Vault-certifikat på flera anpassade domäner (till exempel ett jokerteckencertifikat) för Azure CDN från Edgio-profiler bör du uppdatera alla dina anpassade domäner som använder samma certifikat till den nyare certifikatversionen.

Nästa steg

I den här självstudiekursen lärde du dig att:

• Aktivera HTTPS-protokollet på din anpassade domän.
• Använda ett CDN-hanterat certifikat
• Använda ditt eget certifikat
• Verifiera domänen.
• Inaktivera HTTPS-protokollet på din anpassade domän.

Gå vidare till nästa kurs om du vill lära dig hur du konfigurerar cachelagring på en CDN-slutpunkt.

Självstudie: Konfigurera Azures CDN-cachelagringsregler