Domäner i Azure Front Door
En domän representerar ett anpassat domännamn som Azure Front Door använder för att ta emot programmets trafik. Azure Front Door har stöd för att lägga till tre typer av domännamn:
- Underdomäner är den vanligaste typen av anpassat domännamn. Ett exempel på underdomän är
myapplication.contoso.com. - Apex-domäner innehåller ingen underdomän. Ett exempel på en apex-domän är
contoso.com. Mer information om hur du använder apex-domäner med Azure Front Door finns i Apex-domäner. - Jokerteckendomäner tillåter att trafik tas emot för alla underdomäner . Ett exempel på jokerteckendomän är
*.contoso.com. Mer information om hur du använder jokerteckendomäner med Azure Front Door finns i Jokerteckendomäner.
Domäner läggs till i din Azure Front Door-profil. Du kan använda en domän i flera vägar inom en slutpunkt om du använder olika sökvägar i varje väg.
Information om hur du lägger till en anpassad domän i din Azure Front Door-profil finns i Konfigurera en anpassad domän på Azure Front Door med hjälp av Azure-portalen.
DNS-konfiguration
När du lägger till en domän i din Azure Front Door-profil konfigurerar du två poster på DNS-servern:
- En DNS TXT-post som krävs för att verifiera ägarskapet för ditt domännamn. Mer information om DNS TXT-poster finns i Domänverifiering.
- En DNS CNAME-post som styr flödet av Internettrafik till Azure Front Door.
Dricks
Du kan lägga till ett domännamn i din Azure Front Door-profil innan du gör några DNS-ändringar. Den här metoden kan vara till hjälp om du behöver konfigurera Azure Front Door-konfigurationen tillsammans eller om du har ett separat team som ändrar dina DNS-poster.
Du kan också lägga till din DNS TXT-post för att verifiera domänägarskapet innan du lägger till CNAME-posten för att kontrollera trafikflödet. Den här metoden kan vara användbar för att undvika avbrott i migreringen om du redan har ett program i produktion.
Domänverifiering
Alla domäner som läggs till i Azure Front Door måste verifieras. Validering hjälper dig att skydda dig från oavsiktlig felkonfiguration och hjälper även till att skydda andra från domänförfalskning. I vissa fall kan domäner förevigas av en annan Azure-tjänst. Annars måste du följa valideringsprocessen för Azure Front Door-domänen för att bevisa ditt ägarskap för domännamnet.
För verifierade Azure-domäner är domäner som har verifierats av en annan Azure-tjänst som stöds. Om du registrerar och verifierar en domän till en annan Azure-tjänst och sedan konfigurerar Azure Front Door senare kan du arbeta med en förvaliderad domän. Du behöver inte verifiera domänen via Azure Front Door när du använder den här typen av domän.
Kommentar
Azure Front Door accepterar för närvarande endast fördefinierade domäner som har konfigurerats med Azure Static Web Apps.
Icke-Azure-verifierade domäner är domäner som inte verifieras av en Azure-tjänst som stöds. Den här domäntypen kan hanteras med valfri DNS-tjänst, inklusive Azure DNS, och kräver att domänägarskapet verifieras av Azure Front Door.
Validering av TXT-post
För att verifiera en domän måste du skapa en DNS TXT-post. Namnet på TXT-posten måste vara av formuläret _dnsauth.{subdomain}. Azure Front Door ger ett unikt värde för din TXT-post när du börjar lägga till domänen i Azure Front Door.
Anta till exempel att du vill använda den anpassade underdomänen myapplication.contoso.com med Azure Front Door. Först bör du lägga till domänen i din Azure Front Door-profil och notera det TXT-postvärde som du behöver använda. Sedan bör du konfigurera en DNS-post med följande egenskaper:
| Property | Värde |
|---|---|
| Postnamn | _dnsauth.myapplication |
| Postvärde | använd värdet som tillhandahålls av Azure Front Door |
| Time to live (TTL) | 1 timme |
När domänen har verifierats kan du på ett säkert sätt ta bort TXT-posten från DNS-servern.
Mer information om hur du lägger till en DNS TXT-post för en anpassad domän finns i Konfigurera en anpassad domän på Azure Front Door med hjälp av Azure-portalen.
Domänverifieringstillstånd
I följande tabell visas de valideringstillstånd som en domän kan visa.
| Domänverifieringstillstånd | Beskrivning och åtgärder |
|---|---|
| Skickar in | Den anpassade domänen skapas. Vänta tills domänresursen är klar. |
| Väntande | DNS TXT-postvärdet har genererats och Azure Front Door är redo att lägga till DNS TXT-posten. Lägg till DNS TXT-posten i DNS-providern och vänta tills verifieringen har slutförts. Om statusen förblir Väntande även efter att TXT-posten har uppdaterats med DNS-providern väljer du Återskapa för att uppdatera TXT-posten och lägger sedan till TXT-posten i DNS-providern igen. |
| Väntar på förlängning | Det hanterade certifikatet är mindre än 45 dagar från det att det upphör att gälla. Om du redan har en CNAME-post som pekar på Azure Front Door-slutpunkten krävs ingen åtgärd för certifikatförnyelse. Om den anpassade domänen pekar på en annan CNAME-post väljer du statusen Väntande omvalidering och väljer sedan Återskapa på sidan Verifiera den anpassade domänen. Slutligen väljer du Lägg till om du använder Azure DNS eller lägger till TXT-posten manuellt med din egen DNS-providers DNS-hantering. |
| Uppdaterar valideringstoken | En domän försätts i tillståndet Uppdatera valideringstoken under en kort period efter att knappen Återskapa har valts. När ett nytt TXT-postvärde har utfärdats ändras tillståndet till Väntar. Ingen åtgärd krävs. |
| Godkänd | Domänen har verifierats och Azure Front Door kan acceptera trafik som använder den här domänen. Ingen åtgärd krävs. |
| Avvisat | Certifikatleverantören/utfärdaren har avvisat utfärdandet av det hanterade certifikatet. Domännamnet kan till exempel vara ogiltigt. Välj länken Avvisad och välj sedan Återskapa på sidan Verifiera den anpassade domänen , enligt skärmbilderna under den här tabellen. Välj sedan Lägg till för att lägga till TXT-posten i DNS-providern. |
| Timeout | TXT-posten lades inte till i DNS-providern inom sju dagar, eller så lades en ogiltig DNS TXT-post till. Välj timeout-länken och välj sedan Återskapa på sidan Verifiera den anpassade domänen. Välj sedan Lägg till för att lägga till en ny TXT-post i DNS-providern. Kontrollera att du använder det uppdaterade värdet. |
| Internt fel | Det har uppstått ett okänt fel. Försök verifiera igen genom att välja knappen Uppdatera eller Återskapa . Om du fortfarande har problem skickar du en supportbegäran till Azure-supporten. |
Kommentar
- Standard-TTL för TXT-poster är 1 timme. När du behöver återskapa TXT-posten för omvalidering bör du vara uppmärksam på TTL för den tidigare TXT-posten. Om den inte upphör att gälla misslyckas verifieringen tills den tidigare TXT-posten upphör att gälla.
- Om knappen Återskapa inte fungerar tar du bort och återskapar domänen.
- Om domäntillståndet inte visas som förväntat väljer du knappen Uppdatera .
HTTPS för anpassade domäner
Genom att använda HTTPS-protokollet på din anpassade domän ser du till att dina känsliga data levereras säkert med TLS/SSL-kryptering när de skickas via Internet. När en klient, till exempel en webbläsare, är ansluten till en webbplats med hjälp av HTTPS validerar klienten webbplatsens säkerhetscertifikat och ser till att den har utfärdats av en legitim certifikatutfärdare. Den här processen ger trygghet och skyddar dina webbprogram mot attacker.
Azure Front Door stöder användning av HTTPS med dina egna domäner och avlastar hantering av TLS-certifikat (Transport Layer Security) från dina ursprungsservrar. När du använder anpassade domäner kan du antingen använda Azure-hanterade TLS-certifikat (rekommenderas) eller köpa och använda dina egna TLS-certifikat.
Mer information om hur Azure Front Door fungerar med TLS finns i TLS från slutpunkt till slutpunkt med Azure Front Door.
Azure Front Door-hanterade TLS-certifikat
Azure Front Door kan automatiskt hantera TLS-certifikat för underdomäner och apexdomäner. När du använder hanterade certifikat behöver du inte skapa nycklar eller certifikatsigneringsbegäranden och du behöver inte ladda upp, lagra eller installera certifikaten. Dessutom kan Azure Front Door automatiskt rotera (förnya) hanterade certifikat utan mänsklig inblandning. Den här processen undviker driftstopp som orsakas av ett fel när TLS-certifikaten förnyas i tid.
Processen att generera, utfärda och installera ett hanterat TLS-certifikat kan ta från flera minuter till en timme att slutföra, och ibland kan det ta längre tid.
Kommentar
Hanterade Azure Front Door-certifikat (Standard och Premium) roteras automatiskt om domänens CNAME-post pekar direkt till en Front Door-slutpunkt eller indirekt pekar på en Traffic Manager-slutpunkt. Annars måste du verifiera domänägarskapet igen för att rotera certifikaten.
Domäntyper
I följande tabell sammanfattas de funktioner som är tillgängliga med hanterade TLS-certifikat när du använder olika typer av domäner:
| Att tänka på | Underdomän | Apex-domän | Domän med jokertecken |
|---|---|---|---|
| Tillgängliga hanterade TLS-certifikat | Ja | Ja | Nej |
| Hanterade TLS-certifikat roteras automatiskt | Ja | Se nedan | Nej |
När du använder Azure Front Door-hanterade TLS-certifikat med apex-domäner kan den automatiserade certifikatrotationen kräva att du förnyar ditt domänägarskap. Mer information finns i Apex-domäner i Azure Front Door.
Utfärdande av hanterat certifikat
Azure Front Door-certifikat utfärdas av vår partnercertifikatutfärdare DigiCert. För vissa domäner måste du uttryckligen tillåta DigiCert som certifikatutfärdare genom att skapa en CAA-domänpost med värdet : 0 issue digicert.com.
Azure hanterar certifikaten helt åt dig, så alla aspekter av det hanterade certifikatet, inklusive rotutfärdaren, kan ändras när som helst. Dessa ändringar ligger utanför din kontroll. Se till att undvika hårda beroenden för alla aspekter av ett hanterat certifikat, till exempel kontrollera certifikatets tumavtryck eller fästa på det hanterade certifikatet eller någon del av certifikathierarkin. Om du behöver fästa certifikat bör du använda ett kundhanterat TLS-certifikat, enligt beskrivningen i nästa avsnitt.
Kundhanterade TLS-certifikat
Ibland kan du behöva ange egna TLS-certifikat. Vanliga scenarier för att tillhandahålla egna certifikat är:
- Din organisation kräver att du använder certifikat som utfärdats av en specifik certifikatutfärdare.
- Du vill att Azure Key Vault ska utfärda ditt certifikat med hjälp av en partnercertifikatutfärdare.
- Du måste använda ett TLS-certifikat som ett klientprogram känner igen.
- Du måste använda samma TLS-certifikat på flera system.
- Du använder jokerteckendomäner. Azure Front Door tillhandahåller inte hanterade certifikat för jokerteckendomäner.
Kommentar
- Från och med september 2023 har Azure Front Door stöd för BYOC (Bring Your Own Certificates) för validering av domänägarskap. Front Door godkänner domänägarskapet om certifikatets namn (CN) eller alternativt ämnesnamn (SAN) för certifikatet matchar den anpassade domänen. Om du väljer Azure-hanterat certifikat använder domänverifieringen DNS TXT-posten.
- För anpassade domäner som skapats före BYOC-baserad validering, och domänvalideringsstatusen inte är Godkänd, måste du utlösa det automatiska godkännandet av domänägarvalideringsverifieringen genom att välja valideringstillståndet och klicka på knappen Förnya i portalen. Om du använder kommandoradsverktyget kan du utlösa domänverifiering genom att skicka en tom PATCH-begäran till domän-API:et.
Certifikatkrav
Om du vill använda certifikatet med Azure Front Door måste det uppfylla följande krav:
- Fullständig certifikatkedja: När du skapar ditt TLS/SSL-certifikat måste du skapa en fullständig certifikatkedja med en tillåten certifikatutfärdare (CA) som ingår i Microsofts lista över betrodda certifikatutfärdare. Om du använder en icke-tillåten certifikatutfärdare avvisas din begäran. Rotcertifikatutfärdarcertifikatutfärdarna måste vara en del av Microsofts lista över betrodda certifikatutfärdarcertifikat. Om ett certifikat utan fullständig kedja presenteras kan inte de begäranden som involverar detta certifikat fungera som förväntat.
- Eget namn: Certifikatets gemensamma namn (CN) måste matcha domänen som konfigurerats i Azure Front Door.
- Algoritm: Azure Front Door stöder inte certifikat med elliptiska krypteringsalgoritmer (EC).
- Filtyp (innehåll): Certifikatet måste laddas upp till nyckelvalvet från en PFX-fil som använder
application/x-pkcs12innehållstypen.
Importera ett certifikat till Azure Key Vault
Anpassade TLS-certifikat måste importeras till Azure Key Vault innan du kan använda det med Azure Front Door. Information om hur du importerar ett certifikat till ett nyckelvalv finns i Självstudie: Importera ett certifikat i Azure Key Vault.
Nyckelvalvet måste finnas i samma Azure-prenumeration som din Azure Front Door-profil.
Varning
Azure Front Door stöder endast nyckelvalv i samma prenumeration som Front Door-profilen. Om du väljer ett nyckelvalv under en annan prenumeration än din Azure Front Door-profil resulterar det i ett fel.
Certifikat måste laddas upp som ett certifikatobjekt i stället för en hemlighet.
Bevilja åtkomst till Azure Front Door
Azure Front Door måste ha åtkomst till nyckelvalvet för att kunna läsa certifikatet. Du måste konfigurera både nyckelvalvets nätverksbrandvägg och valvets åtkomstkontroll.
Om ditt nyckelvalv har begränsningar för nätverksåtkomst måste du konfigurera nyckelvalvet så att betrodda Microsoft-tjänster kan passera brandväggen.
Du kan konfigurera åtkomstkontroll på ditt nyckelvalv på två sätt:
- Azure Front Door kan använda en hanterad identitet för att få åtkomst till ditt nyckelvalv. Du kan använda den här metoden när ditt nyckelvalv använder Microsoft Entra-autentisering. Mer information finns i Använda hanterade identiteter med Azure Front Door Standard/Premium.
- Du kan också ge Azure Front Door tjänstens huvudnamn åtkomst till ditt nyckelvalv. Du kan använda den här metoden när du använder principer för valvåtkomst.
Lägga till ditt anpassade certifikat i Azure Front Door
När du har importerat certifikatet till ett nyckelvalv skapar du en hemlig Azure Front Door-resurs, som är en referens till certifikatet som du lade till i nyckelvalvet.
Konfigurera sedan domänen så att den använder Azure Front Door-hemligheten för sitt TLS-certifikat.
En guidad genomgång av de här stegen finns i Konfigurera HTTPS på en anpassad Azure Front Door-domän med hjälp av Azure-portalen.
Växla mellan certifikattyper
Du kan ändra en domän mellan att använda ett Azure Front Door-hanterat certifikat och ett användarhanterat certifikat.
- Det kan ta upp till en timme innan det nya certifikatet distribueras när du växlar mellan certifikattyper.
- Om domäntillståndet är Godkänt orsakar inte växling av certifikattypen mellan en användarhanterad och ett hanterat certifikat någon stilleståndstid.
- När du byter till ett hanterat certifikat fortsätter Azure Front Door att använda det tidigare certifikatet tills domänägarskapet har återkallats och domäntillståndet blir Godkänt.
- Om du byter från BYOC till hanterat certifikat krävs domänomvalidering. Om du byter från hanterat certifikat till BYOC behöver du inte förnya domänen.
Förnyelse av certifikat
Förnya Azure Front Door-hanterade certifikat
För de flesta anpassade domäner förnyar Azure Front Door automatiskt (roterar) hanterade certifikat när de är nära att upphöra att gälla och du behöver inte göra något.
Azure Front Door roterar dock inte certifikat automatiskt i följande scenarier:
- Den anpassade domänens CNAME-post pekar på en annan DNS-post än din Azure Front Door-slutpunktsdomän.
- Den anpassade domänen pekar på Azure Front Door-slutpunkten via en kedja. Om din DNS-post till exempel pekar på Azure Traffic Manager, som i sin tur matchar Azure Front Door, är
contoso.comCNAME-kedjan CNAME icontoso.trafficmanager.netCNAME icontoso.z01.azurefd.net. Azure Front Door kan inte verifiera hela kedjan. - Den anpassade domänen använder en A-post. Vi rekommenderar att du alltid använder en CNAME-post för att peka på Azure Front Door.
- Den anpassade domänen är en apex-domän och använder CNAME-utplattad.
Om något av scenarierna ovan gäller för din anpassade domän blir domänvalideringstillståndet väntande om 45 dagar innan det hanterade certifikatet upphör att gälla. Tillståndet För väntande förlängning anger att du måste skapa en ny DNS TXT-post för att återuppta domänägarskapet.
Kommentar
DNS TXT-poster upphör att gälla efter sju dagar. Om du tidigare har lagt till en TXT-post för domänverifiering på DNS-servern måste du ersätta den med en ny TXT-post. Se till att du använder det nya värdet, annars misslyckas domänvalideringsprocessen.
Om domänen inte kan verifieras blir domänvalideringstillståndet Avvisad. Det här tillståndet anger att certifikatutfärdare har avvisat begäran om att utfärda ett hanterat certifikat.
Mer information om domänverifieringstillstånd finns i Domänverifieringstillstånd.
Förnya Azure-hanterade certifikat för domäner som förvaliderats av andra Azure-tjänster
Azure-hanterade certifikat roteras automatiskt av Azure-tjänsten som verifierar domänen.
Förnya kundhanterade TLS-certifikat
När du uppdaterar certifikatet i nyckelvalvet kan Azure Front Door automatiskt identifiera och använda det uppdaterade certifikatet. För att den här funktionen ska fungera ställer du in den hemliga versionen på "Senaste" när du konfigurerar certifikatet i Azure Front Door.
Om du väljer en viss version av certifikatet måste du välja den nya versionen manuellt när du uppdaterar certifikatet.
Det tar upp till 72 timmar innan den nya versionen av certifikatet/hemligheten distribueras automatiskt.
Om du vill ändra den hemliga versionen från "Senaste" till en angiven version eller tvärtom lägger du till ett nytt certifikat.
Säkerhetsprinciper
Du kan använda Azure Front Door brandvägg för webbprogram (WAF) för att söka igenom begäranden till ditt program efter hot och för att framtvinga andra säkerhetskrav.
Om du vill använda WAF med en anpassad domän använder du en Säkerhetsprincipresurs för Azure Front Door. En säkerhetsprincip associerar en domän med en WAF-princip. Du kan också skapa flera säkerhetsprinciper så att du kan använda olika WAF-principer med olika domäner.
Nästa steg
- Information om hur du lägger till en anpassad domän i din Azure Front Door-profil finns i Konfigurera en anpassad domän på Azure Front Door med hjälp av Azure-portalen.
- Läs mer om hur TLS från slutpunkt till slutpunkt med Azure Front Door.