Konfigurera HTTPS på en anpassad Azure Front Door-domän (klassisk)

Gäller för: ✔️ Front Door (klassisk)

Viktigt!

Azure Front Door (klassisk) dras tillbaka den 31 mars 2027. För att undvika avbrott i tjänsten är det viktigt att du migrera dina Azure Front Door-profiler (klassiska) till Azure Front Door Standard- eller Premium-nivån senast i mars 2027. Mer information finns i Azure Front Door (klassisk) pensionering.

Den här artikeln beskriver hur du aktiverar HTTPS för en anpassad domän som är associerad med din Front Door (klassisk). Genom att använda HTTPS på din anpassade domän (till exempel https://www.contoso.com) säkerställs säker dataöverföring via TLS/SSL-kryptering. När en webbläsare ansluter till en webbplats med HTTPS validerar den webbplatsens säkerhetscertifikat och verifierar dess legitimitet, vilket ger säkerhet och skyddar dina webbprogram från skadliga attacker.

Azure Front Door har som standard stöd för HTTPS på dess standardvärdnamn (till exempel https://contoso.azurefd.net). Du måste dock aktivera HTTPS separat för anpassade domäner som www.contoso.com.

Viktiga attribut för den anpassade HTTPS-funktionen är:

• Ingen extra kostnad: Inga kostnader för certifikatanskaffning, förnyelse eller HTTPS-trafik.
• Enkel aktivering: Envalsetablering via Azure Portal, REST API eller andra utvecklarverktyg.
• Fullständig certifikathantering: Automatisk anskaffning och förnyelse av certifikat, vilket eliminerar risken för avbrott i tjänsten på grund av utgångna certifikat.

I den här handledningen får du lära dig att:

• Aktivera HTTPS på din anpassade domän.
• Använd ett AFD-hanterat certifikat.
• Använd ditt eget TLS/SSL-certifikat.
• Verifiera domänen.
• Inaktivera HTTPS på din anpassade domän.

Förutsättningar

PowerShell

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt.

• En Azure Front Door med minst en anpassad domän registrerad. Mer information finns i Självstudiekurs: Lägga till en anpassad domän i din Front Door.

• Azure Cloud Shell eller Azure PowerShell för att registrera Front Door-tjänstens huvudnamn i ditt Microsoft Entra-ID när du använder ditt eget certifikat.

  Stegen i den här artikeln kör Azure PowerShell-cmdletarna interaktivt i Azure Cloud Shell. Om du vill köra cmdletarna i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra sedan in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.

  Du kan också installera Azure PowerShell lokalt för att köra cmdletarna. Om du kör PowerShell lokalt loggar du in på Azure med hjälp av cmdleten Connect-AzAccount .

Azure CLI

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt.

• En Azure Front Door med minst en anpassad domän registrerad. Mer information finns i Självstudiekurs: Lägga till en anpassad domän i din Front Door.

• Azure Cloud Shell eller Azure CLI för att registrera Front Door-tjänstens huvudnamn i ditt Microsoft Entra-ID när du använder ditt eget certifikat.

  Stegen i den här artikeln kör Azure CLI-kommandona interaktivt i Azure Cloud Shell. Om du vill köra kommandona i Cloud Shell väljer du Öppna Cloud Shell i det övre högra hörnet i ett kodblock. Välj Kopiera för att kopiera koden och klistra in den i Cloud Shell för att köra den. Du kan också köra Cloud Shell inifrån Azure Portal.

  Du kan också installera Azure CLI lokalt för att köra kommandona. Om du kör Azure CLI lokalt loggar du in på Azure med kommandot az login .

TLS-/SSL-certifikat

Om du vill aktivera HTTPS på en anpassad Front Door-domän (klassisk) behöver du ett TLS/SSL-certifikat. Du kan antingen använda ett certifikat som hanteras av Azure Front Door eller ditt eget certifikat.

Alternativ 1 (standard): Använd ett certifikat som hanteras av Front Door

Med hjälp av ett certifikat som hanteras av Azure Front Door kan du aktivera HTTPS med några inställningsändringar. Azure Front Door hanterar alla certifikathanteringsuppgifter, inklusive anskaffning och förnyelse. Om din anpassade domän redan är mappad till Front Door standardklientdelsvärd ({hostname}.azurefd.net) krävs ingen ytterligare åtgärd. Annars måste du verifiera ditt domänägarskap via e-post.

Så här aktiverar du HTTPS på en anpassad domän:

1. I Azure Portal går du till din Front Door-profil.

2. Välj den anpassade domän som du vill aktivera HTTPS för från listan över frontend-värdar.

3. Under HTTPS för anpassad domän väljer du Aktiverad och väljer Front Door hanterad som certifikatkälla.

4. Välj Spara.

5. Fortsätt och verifiera domänen.

Anmärkning

• DigiCerts gräns på 64 tecken tillämpas för Azure Front Door-hanterade certifikat. Verifieringen misslyckas om den här gränsen överskrids.
• Aktivering av HTTPS via Front Door-hanterat certifikat stöds inte för apex-/rotdomäner (till exempel contoso.com). Använd ditt eget certifikat för det här scenariot (se Alternativ 2).

Alternativ 2: Använda ditt eget certifikat

Du kan använda ditt eget certifikat via en integrering med Azure Key Vault. Kontrollera att certifikatet kommer från en Microsoft Trusted CA-lista och har en fullständig certifikatkedja.

Förbered ditt nyckelvalv och certifikat

• Skapa ett key vault-konto i samma Azure-prenumeration som din Front Door.
• Konfigurera nyckelvalvet så att betrodda Microsoft-tjänster kringgår brandväggen om begränsningar för nätverksåtkomst är aktiverade.
• Använd modellen för nyckelvalvs åtkomstpolicy.
• Ladda upp certifikatet som ett certifikatobjekt , inte en hemlighet.

Anmärkning

Front Door stöder inte certifikat med elliptiska krypteringsalgoritmer (EC). Certifikatet måste ha en fullständig certifikatkedja med lövcertifikat och mellanliggande certifikat, och rot-CA måste ingå i listan över betrodda certifikatutfärdare från Microsoft.

Registrera Azure Front Door

Registrera tjänstehuvudnamnet för Azure Front Door i Microsoft Entra ID med Azure PowerShell eller Azure CLI.

PowerShell

Använd New-AzADServicePrincipal cmdlet för att registrera Front Door-tjänstens huvudprincip i ditt Microsoft Entra ID.

New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"

Azure CLI

Använd kommandotaz-ad-sp create för att registrera Front Door-tjänstens huvudnamn i ditt Microsoft Entra-ID.

az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Bevilja Azure Front Door åtkomst till ditt nyckelvalv

1. I ditt nyckelvalvskonto väljer du Åtkomstprinciper.

2. Välj Skapa för att skapa en ny åtkomstprincip.

3. I Hemliga behörigheter väljer du Hämta.

4. I Certifikatbehörigheter väljer du Hämta.

5. I Välj huvudnamn söker du efter ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 och väljer Microsoft.Azure.Frontdoor. Välj Nästa.

6. Välj Nästa i Program.

7. Välj Skapa i Granska + skapa.

Anmärkning

Om nyckelvalvet har begränsningar för nätverksåtkomst tillåter du betrodda Microsoft-tjänster att komma åt ditt nyckelvalv.

Välj det certifikat som Azure Front Door ska distribuera

1. Gå tillbaka till din Front Door i portalen.

2. Välj den anpassade domän som du vill aktivera HTTPS för.

3. Under Certifikathanteringstyp väljer du Använd mitt eget certifikat.

4. Välj ett nyckelvalv, hemlighet och hemlighetsversion.

   Anmärkning

   Om du vill aktivera automatisk certifikatrotation anger du den hemliga versionen till "Senaste". Om en viss version har valts måste du uppdatera den manuellt för certifikatrotation.

   Varning

   Kontrollera att tjänstens huvudnamn har GET-behörighet för Key Vault. Om du vill se certifikatet i portalens listruta måste ditt användarkonto ha LIST- och GET-behörigheter för Key Vault.

5. När du använder ditt eget certifikat krävs inte domänverifiering. Gå vidare till Vänta på spridning.

Verifiera domänen

Om CNAME-posten fortfarande finns och inte innehåller underdomänen afdverify verifierar DigiCert automatiskt ägarskapet för din anpassade domän.

CNAME-posten ska ha följande format:

Namn	Typ	Värde
<www.contoso.com>	CNAME (CNAME)	contoso.azurefd.net

Mer information om CNAME-poster finns i Skapa CNAME DNS-posten.

Om din CNAME-post är korrekt verifierar DigiCert automatiskt din anpassade domän och skapar ett dedikerat certifikat. Certifikatet är giltigt i ett år och uppdateras automatiskt innan det upphör att gälla. Gå vidare till Vänta på spridning.

Anmärkning

Om du har en CAA-post (Certificate Authority Authorization) hos DNS-providern måste den innehålla DigiCert som giltig certifikatutfärdare. Mer information finns i Hantera CAA-poster.

Viktigt!

Från och med den 8 maj 2025 stöder DigiCert inte längre den WHOIS-baserade domänverifieringsmetoden.

Vänta på spridning

Efter domänvalidering kan det ta upp till 6–8 timmar innan https-funktionen för anpassad domän aktiveras. När det är klart är den anpassade HTTPS-statusen i Azure Portal inställd på Aktiverad.

Åtgärdsförlopp

I följande tabell visas åtgärdens förlopp när HTTPS aktiveras:

Åtgärdssteg	Information om åtgärdsundersteg
1. Skicka begäran	Skickar begäran
	Din HTTPS-begäran skickas.
	HTTPS-begäran har skickats.
2. Domänverifiering	Domänen verifieras automatiskt om CNAME mappas till standardvärden för .azurefd.net klientdel.
	Ditt domänägarskap har verifierats framgångsrikt.
	Verifieringsbegäran om domänägarskap har upphört att gälla (kunden svarade troligen inte inom sex dagar). HTTPS är inte aktiverat på din domän. *
	Begäran om validering av domänägarskap avvisades av kunden. HTTPS är inte aktiverat på din domän. *
3. Etablering av certifikat	Certifikatutfärdare utfärdar det certifikat som krävs för att aktivera HTTPS på din domän.
	Certifikatet utfärdades och distribueras för din Front Door. Den här processen kan ta flera minuter till en timme.
	Certifikatet har framgångsrikt distribuerats för din Front Door.
4. Slutför	HTTPS har aktiverats på din domän.

* Det här meddelandet visas bara om ett fel inträffar.

Om det uppstår ett fel innan begäran har skickats visas följande felmeddelande:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Vanliga frågor och svar

1. Vem är certifikatleverantör och vilken typ av certifikat används?

   Ett dedikerat/enskilt certifikat som tillhandahålls av DigiCert används för din anpassade domän.

2. Använder du IP- eller SNI-baserad TLS/SSL?

   Azure Front Door använder SNI TLS/SSL.

3. Vad händer om jag inte får domänverifieringsmeddelandet från DigiCert?

   Om du har en CNAME-post för din anpassade domän som pekar direkt på slutpunktens värdnamn och du inte använder underdomännamnet afdverify får du inget e-postmeddelande om domänverifiering. Verifieringen sker i så fall automatiskt. Annars, om du inte har en CNAME-post och inte fick ett e-postmeddelande inom 24 timmar, kontaktar du Microsofts support.

4. Är det mindre säkert att använda ett SAN-certifikat än att använda ett dedikerat certifikat?

   Ett SAN-certifikat följer samma standarder för kryptering och säkerhet som ett dedikerat certifikat. Alla utfärdade TLS/SSL-certifikat använder SHA-256 för förbättrad serversäkerhet.

5. Behöver jag en CAA-post (Certificate Authority Authorization) hos min DNS-leverantör?

   Nej, en auktoriseringspost för certifikatutfärdare krävs för närvarande inte. Men om du har en sådan måste den innehålla DigiCert som en giltig certifikatutfärdare.

Rensa resurser

Så här inaktiverar du HTTPS på din anpassade domän:

Inaktivera HTTPS-funktionen

1. I Azure Portal går du till din Azure Front Door-konfiguration.

2. Välj den anpassade domän som du vill inaktivera HTTPS för.

3. Välj Inaktiverad och välj Spara.

Vänta på spridning

När du har inaktiverat https-funktionen för den anpassade domänen kan det ta upp till 6–8 timmar att börja gälla. När det är klart är den anpassade HTTPS-statusen i Azure Portal inställd på Inaktiverad.

Åtgärdsförlopp

I följande tabell visas åtgärdens förlopp när HTTPS inaktiveras:

Åtgärdsförlopp	Åtgärdsinformation
1. Skicka begäran	Skickar din begäran
2. Avinstallation av certifikat	Tar bort certifikat
3. Slutför	Certifikatet har tagits bort

Nästa steg

Konfigurera en princip för geofiltrering