Konfigurera HTTPS på en anpassad Front Door-domän (klassisk)

  • Artikel

Viktigt!

Azure Front Door (klassisk) dras tillbaka den 31 mars 2027. För att undvika avbrott i tjänsten är det viktigt att du migrerar dina Azure Front Door-profiler (klassiska) till Azure Front Door Standard- eller Premium-nivån senast i mars 2027. Mer information finns i Azure Front Door (klassisk) tillbakadragning.

Den här artikeln visar hur du aktiverar HTTPS-protokollet för en anpassad domän som är associerad med din Front Door (klassisk) under avsnittet klientdelsvärdar. Genom att använda HTTPS-protokollet på din anpassade domän (till exempel https://www.contoso.com) ser du till att dina känsliga data levereras säkert via TLS/SSL-kryptering när de skickas via Internet. När webbläsaren är ansluten till en webbplats med HTTPS verifierar den webbplatsens säkerhetscertifikat och verifierar om den utfärdas av en legitim certifikatutfärdare. Den här processen ger säkerhet och skyddar dina webbprogram mot skadliga attacker.

Azure Front Door har som standard stöd för HTTPS på ett Standardvärdnamn för Front Door. Om du till exempel skapar en Front Door (till exempel https://contoso.azurefd.net) aktiveras HTTPS automatiskt för begäranden som görs till https://contoso.azurefd.net. Men när du registrerar den anpassade domänen "www.contoso.com" måste du dessutom aktivera HTTPS för den här klientdelsvärden.

Några viktiga attribut i den anpassade HTTPS-funktionen är:

  • Ingen extra kostnad: Det finns inga kostnader för certifikatanskaffning eller förnyelse och ingen extra kostnad för HTTPS-trafik.

  • Enkel aktivering: enklicksetablering är tillgänglig från Azure Portal. Du kan också aktivera funktionen med REST API eller andra utvecklingsverktyg.

  • Komplett certifikathantering finns tillgänglig: All anskaffning och hantering av certifikat hanteras åt dig. Certifikat etableras och förnyas automatiskt innan de upphör att gälla, vilket tar bort risken för avbrott i tjänsten på grund av att ett certifikat upphör att gälla.

I den här självstudien lär du dig att:

  • Aktivera HTTPS-protokollet på din anpassade domän.
  • Använda ett AFD-hanterat certifikat
  • Använd ditt eget certifikat, d.v.s. ett anpassat TLS/SSL-certifikat
  • Verifiera domänen
  • Inaktivera HTTPS-protokollet på en anpassad domän

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Förutsättningar

Innan du kan slutföra stegen i den här kursen måste du först skapa en Front Door och med minst en anpassad domän publicerad. Mer information finns i Självstudiekurs: Lägga till en anpassad domän i din Front Door.

TLS-/SSL-certifikat

Om du vill aktivera HTTPS-protokollet för säker leverans av innehåll på en anpassad Front Door-domän (klassisk) måste du använda ett TLS/SSL-certifikat. Du kan välja att använda ett certifikat som hanteras av Azure Front Door eller använda ditt eget certifikat.

Alternativ 1 (standard): Använd ett certifikat som hanteras av Front Door

När du använder ett certifikat som hanteras av Azure Front Door kan HTTPS-funktionen aktiveras med några inställningsändringar. Azure Front Door hanterar fullständigt certifikathanteringsuppgifter som anskaffning och förnyelse. När du har aktiverat funktionen startar processen omedelbart. Om den anpassade domänen redan har mappats till klientdelsstandardvärden för Front Door ({hostname}.azurefd.net) krävs ingen ytterligare åtgärd. Front Door bearbetar stegen och slutför din begäran automatiskt. Men om din anpassade domän mappas någon annanstans, måste du använda e-post för att verifiera att du äger domänen.

Följ dessa steg om du vill aktivera HTTPS på en anpassad domän:

  1. I Azure-portalen bläddrar du till din Front Door-profil.

  2. I listan över klientdelsvärdar väljer du den anpassade domän som du vill aktivera HTTPS för som innehåller din anpassade domän.

  3. Under avsnittet HTTPS för anpassad domän väljer du Aktiverad och väljer Front Door som hanteras som certifikatkälla.

  4. Välj Spara.

  5. Fortsätt att verifiera domänen.

Kommentar

  • För Azure Front Door-hanterade certifikat tillämpas DigiCerts gräns på 64 tecken. Verifieringen misslyckas om gränsen överskrids.
  • Det går inte att aktivera HTTPS via Det hanterade Front Door-certifikatet för apex-/rotdomäner (exempel: contoso.com). Du kan använda ditt eget certifikat för det här scenariot. Fortsätt med alternativ 2 för mer information.

Alternativ 2: Använda ditt eget certifikat

Du kan använda ditt eget certifikat för att aktivera HTTPS. Detta görs via en integrering med Azure Key Vault där du kan lagra certifikaten säkert. Azure Front Door använder denna säkerhetsmekanism för att hämta certifikatet, och det krävs några extra steg. När du skapar ditt TLS/SSL-certifikat måste du skapa en fullständig certifikatkedja med en tillåten certifikatutfärdare (CA) som ingår i Microsofts lista över betrodda certifikatutfärdare. Om du använder en icke-tillåten certifikatutfärdare avvisas din begäran. Om ett certifikat utan fullständig kedja presenteras kan inte de begäranden som involverar detta certifikat fungera som förväntat.

Förbered ditt nyckelvalv och certifikat

  • Du måste ha ett key vault-konto i samma Azure-prenumeration som din ytterdörr. Skapa ett Key Vault-konto om du inte redan har ett.

    Varning

    Azure Front Door stöder för närvarande endast Key Vault-konton i samma prenumeration som Front Door-konfigurationen. Om du väljer ett Key Vault under en annan prenumeration än din Front Door inträffar ett fel.

  • Om ditt nyckelvalv har begränsningar för nätverksåtkomst måste du konfigurera nyckelvalvet så att betrodda Microsoft-tjänster kan passera brandväggen.

  • Nyckelvalvet måste konfigureras för att använda nyckelvalvets behörighetsmodell för åtkomstprincip .

  • Om du redan har ett certifikat kan du ladda upp det direkt till ditt nyckelvalv. Annars skapar du ett nytt certifikat direkt via Azure Key Vault från en av de partnercertifikatutfärdare som Azure Key Vault integrerar med. Ladda upp certifikatet som ett certifikatobjekt i stället för en hemlighet.

Kommentar

Front Door stöder inte certifikat med elliptiska krypteringsalgoritmer (EC). Certifikatet måste ha en fullständig certifikatkedja med lövcertifikat och mellanliggande certifikat, och rotcertifikatutfärdare måste ingå i listan över betrodda Certifikatutfärdare från Microsoft.

Registrera Azure Front Door

Registrera tjänstens huvudnamn för Azure Front Door som en app i ditt Microsoft Entra-ID med hjälp av Azure PowerShell eller Azure CLI.

Kommentar

  • Den här åtgärden kräver minst rollbehörigheter för programadministratör i Microsoft Entra-ID. Registreringen behöver bara utföras en gång per Microsoft Entra-klientorganisation.
  • Program-ID:t tilldelas av Azure specifikt för Azure Front Door (klassisk).
  • Azure Front Door (klassisk) har ett annat program-ID än Azure Front Door Standard/Premium-nivån.
  • Den tilldelade rollen är endast för den valda prenumerationen om du inte definierar ett annat omfång.
Azure PowerShell

  1. Om det behövs installerar du Azure PowerShell i PowerShell på den lokala datorn.

  2. Kör följande kommando i PowerShell:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI

  1. Om det behövs installerar du Azure CLI på den lokala datorn.

  2. Kör följande kommando i CLI:

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Bevilja Azure Front Door åtkomst till ditt nyckelvalv

Ge Azure Front Door behörighet till certifikaten i ditt Azure Key Vault-konto.

  1. I ditt nyckelvalvskonto väljer du Åtkomstprinciper.

  2. Välj Skapa för att skapa en ny åtkomstprincip.

  3. I Behörigheter till hemlighet väljer du Hämta för att tillåta att Front Door hämtar certifikatet.

  4. I Certifikatbehörigheter väljer du Hämta för att tillåta att Front Door hämtar certifikatet.

  5. I Välj huvudkonto söker du efter ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 och väljer Microsoft.Azure.Frontdoor. Välj Nästa.

  6. I Program väljer du Nästa.

  7. I Granska + skapa väljer du Skapa.

Kommentar

Om ditt nyckelvalv är skyddat med begränsningar för nätverksåtkomst måste du tillåta betrodda Microsoft-tjänster att komma åt ditt nyckelvalv.

Azure Front Door kan nu komma åt det här nyckelvalvet och de certifikat som det innehåller.

Välj det certifikat som Azure Front Door ska distribuera

  1. Gå tillbaka till din Front Door i portalen.

  2. I listan med anpassade domäner väljer du den anpassade domänen som du vill aktivera HTTPS för.

    Sidan Anpassad domän visas.

  3. Under Certifikathanteringstyp väljer du Använd mitt eget certifikat.

  4. För Azure Front Door Service måste prenumerationen för Key Vault-kontot vara samma som för Front Door. Välj ett nyckelvalv, en hemlighet och hemlighetsversion.

    Azure Front Door visar följande information:

    • Nyckelvalvskonton för ditt prenumerations-ID.
    • Hemligheterna i det valda nyckelvalvet.
    • Tillgängliga hemliga versioner.

    Kommentar

    För att certifikatet automatiskt ska roteras till den senaste versionen när en nyare version av certifikatet finns tillgänglig i ditt Key Vault, ange den hemliga versionen till ”Senaste”. Om en viss version har valts måste du välja om den nya versionen manuellt för certifikatrotation. Det tar 72–96 timmar innan den nya versionen av certifikatet/hemligheten distribueras.

    Skärmbild av att välja hemlig version på sidan uppdatera anpassad domän.

    Varning

    Det här är en varning endast för Azure-portalen. Du måste konfigurera tjänstens huvudnamn för att ha en GET-behörighet i Key Vault. För att en användare ska kunna se certifikatet i portalens listruta måste användarkontot ha LIST- och GET-behörigheter för Key Vault. Om en användare inte har dessa behörigheter visas ett otillgängligt felmeddelande i portalen. Ett otillgängligt felmeddelande påverkar inte certifikatets automatiska rotation eller någon HTTPS-funktion. Inga åtgärder krävs för det här felmeddelandet om du inte tänker göra ändringar i certifikatet eller versionen. Om du vill ändra informationen på den här sidan kan du läsa ge behörighet till Key Vault för att lägga till ditt konto i list- och GET-behörigheten för Key Vault.

  5. Domänverifiering krävs inte om du använder ett eget certifikat. Gå vidare till Vänta på spridning.

Verifiera domänen

Om du redan har en anpassad domän som används och mappas till din anpassade slutpunkt med en CNAME-post eller om du använder ett eget certifikat, så mappas fortsätt till Anpassad domän till Din Front Door. Om CNAME-postposten för din domän inte längre finns eller om den innehåller underdomänen afdverify fortsätter du till Anpassad domän som inte är mappad till Din Front Door.

Den anpassade domänen har mappats till din Front Door med en CNAME-post

När du lade till en anpassad domän till din Front Doors klientdelsvärdar skapade du en CNAME-post i din domänregistrators DNS-tabell för att mappa den till din Front Doors .azurefd.net-standardvärdnamn. Om CNAME-posten fortfarande finns och inte innehåller underdomänen afdverify använder DigiCert Certificate Authority den för att automatiskt verifiera ägarskapet för din anpassade domän.

Om du använder ett eget certifikat krävs inte domänverifiering.

CNAME-posten ska ha följande format, där Namn är namnet på ditt anpassade domännamn och Värde är din Front Doors .azurefd.net-standardvärdnamn:

Namn Typ Värde
<www.contoso.com> CNAME contoso.azurefd.net

Mer information om CNAME-poster finns i Skapa CNAME DNS-posten.

Om din CNAME-post har rätt format verifierar DigiCert automatiskt det anpassade domännamnet och skapar ett dedikerat certifikat för domännamnet. DigitCert skickar inget verifieringsmeddelande till dig och du behöver inte godkänna din begäran. Certifikatet är giltigt i ett år och uppdateras automatiskt innan det upphör att gälla. Gå vidare till Vänta på spridning.

Den automatiska verifieringen tar vanligtvis några minuter. Öppna ett supportärende om domänen inte har verifierats inom en timme.

Kommentar

Om du har en CAA-post (Certificate Authority Authorization) hos DNS-providern måste den innehålla DigiCert som giltig certifikatutfärdare. En CAA-post gör att domänägare kan ange med sina DNS-provider vilka certifikatutfärdare som är auktoriserade att utfärda certifikat för deras domän. Om en certifikatutfärdare mottar en order för ett certifikat för en domän som har en CAA-post och den certifikatutfärdaren inte finns med i listan över auktoriserade utfärdare hindras certifikatufärdaren att utfärda certifikatet till den domänen eller underdomänen. Information om hur du hanterar CAA poster finns i Hantera CAA-poster. Hjälpverktyg för CAA-poster finns i CAA Record Helper.

Anpassad domän är inte mappad till din Front Door

Om CNAME-posten för slutpunkten inte finns längre eller om den innehåller afdverify-underdomänen följer du instruktionerna i det här steget.

När du har aktiverat HTTPS på din anpassade domän verifierar DigiCert-certifikatutfärdaren ägarskapet för din domän genom att kontakta registranten enligt domänens WHOIS-registrantinformation. Kontakten sker via e-postadressen (som standard) eller telefonnumret som står i WHOIS-registreringen. Du måste slutföra domänverifieringen innan HTTPS är aktivt på din anpassade domän. Du har sex arbetsdagar på dig att godkänna domänen. Begäranden som inte godkänns inom sex arbetsdagar avbryts automatiskt. DigiCert-domänvalidering fungerar på underdomännivå. Du måste bevisa ägarskapet för varje underdomän separat.

WHOIS-post

DigiCert skickar också ett verifieringsmeddelande till andra e-postadresser. Om WHOIS-registrantinformationen är privat, kontrollerar du att du kan godkänna direkt från en av följande adresser:

<admin@your-domain-name.com> administrator@<your-domain-name.com> webmaster@<your-domain-name.com> hostmaster@<your-domain-name.com> postmaster@<your-domain-name.com>

Inom ett par minuter får du ett e-postmeddelande som ser ut ungefär som i följande exempel och som ber dig godkänna begäran. Om du använder ett skräppostfilter lägger du till no-reply@digitalcertvalidation.com det i listan över tillåtna. I vissa scenarier kanske DigiCert inte kan hämta domänkontakterna från WHOIS-registrantinformationen för att skicka ett e-postmeddelande till dig. Kontakta Microsoft-supporten om du inte får ett e-postmeddelande inom 24 timmar.

När du väljer godkännandelänken dirigeras du till ett formulär för onlinegodkännande. Följ instruktionerna i formuläret. Du har två verifieringsalternativ:

  • Du kan godkänna alla framtida order som placerats via samma konto för samma rotdomän, till exempel contoso.com. Den här metoden rekommenderas om du planerar att lägga till fler anpassade domäner för samma rotdomän.

  • Du kan bara godkänna det specifika värdnamn som används i den här begäran. Extra godkännande krävs för efterföljande begäranden.

Efter godkännandet slutför DigiCert skapandet av certifikatet för det anpassade domännamnet. Certifikatet är giltigt i ett år och förnyas automatiskt innan det upphör att gälla.

Vänta på spridning

När domännamnet har verifierats kan det ta upp till 6–8 timmar innan HTTPS-funktionen för den anpassade domänen aktiveras. När processen är klar visas HTTPS-status Aktiverad i Azure Portal och de fyra åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen är nu klar att använda HTTPS.

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du aktiverar HTTPS. När du har aktiverat HTTPS visas de fyra åtgärdsstegen i dialogrutan Anpassad domän. När varje steg blir aktivt visas mer information om understeg under steget när det fortsätter. Alla dessa understeg sker inte. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdssteg Information om åtgärdsundersteg
1. Skicka begäran Begäran skickas
Din HTTPS-begäran skickas.
Din HTTPS-begäran har skickats.
2. Domänverifiering Domänen verifieras automatiskt om den är CNAME mappad till standardvärden för .azurefd.net klientdel för Din Front Door. I annat fall skickas en verifieringsbegäran till e-postmeddelandet som anges i domänens registreringspost (WHOIS-registrant). Verifiera domänen så snart som möjligt.
Domänägarskapet har verifierats och godkänts.
Begäran om verifiering av domänägarskap har gått ut (kunden svarade troligtvis inte inom 6 dagar). HTTPS aktiveras inte på din domän. *
Begäran om validering av domänägarskap avvisades av kunden. HTTPS aktiveras inte på din domän. *
3. Etablering av certifikat Certifikatutfärdaren håller på att utfärda det certifikat som krävs för att aktivera HTTPS på din domän.
Certifikatet har utfärdats och håller på att distribueras till din Front Door. Den här processen kan ta från flera minuter till en timme att slutföra.
Certifikatet har distribuerats för din Front Door.
4. Slutför HTTPS har aktiverats på din domän.

* Det här meddelandet visas inte om inte ett fel har inträffat.

Om det uppstår ett fel innan begäran har skickats visas följande felmeddelande:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Vanliga frågor och svar

  1. Vem är certifikatleverantör och vilken typ av certifikat används?

    Ett dedikerat/enskilt certifikat som tillhandahålls av Digicert används för din anpassade domän.

  2. Använder du IP- eller SNI-baserad TLS/SSL?

    Azure Front Door använder SNI TLS/SSL.

  3. Vad händer om jag inte får domänverifieringsmeddelandet från DigiCert?

    Om du har en CNAME-post för din anpassade domän som pekar direkt på slutpunktens värdnamn (och du inte använder underdomännamnet afdverify) får du inget e-postmeddelande om domänverifiering. Verifieringen sker i så fall automatiskt. Om du inte har en CNAME-post och inte har fått något e-postmeddelande inom 24 timmar kontaktar du Microsoft-supporten.

  4. Är det mindre säkert att använda ett SAN-certifikat än att använda ett dedikerat certifikat?

    Ett SAN-certifikat följer samma standarder för kryptering och säkerhet som ett dedikerat certifikat. Alla utfärdade TLS/SSL-certifikat använder SHA-256 för förbättrad serversäkerhet.

  5. Behöver jag en CAA-post (Certificate Authority Authorization) med DNS-leverantören?

    Nej, en auktoriseringspost för certifikatutfärdare krävs för närvarande inte. Men om du har en sådan måste den innehålla DigiCert som en giltig certifikatutfärdare.

Rensa resurser

I föregående steg aktiverade du HTTPS-protokollet på en anpassad domän. Om du inte längre vill använda din anpassade domän med HTTPS kan du inaktivera HTTPS genom att göra följande:

Inaktivera HTTPS-funktionen

  1. I Azure-portalen bläddrar du till din Azure Front Door-konfiguration.

  2. I listan över klientdelsvärdar väljer du den anpassade domän som du vill inaktivera HTTPS för.

  3. Välj Inaktiverad för att inaktivera HTTPS och välj sedan Spara.

Vänta på spridning

När HTTPS-funktionen för den anpassade domänen har inaktiverats kan det ta upp till 6–8 timmar innan ändringen börjar gälla. När processen är klar anges den anpassade HTTPS-statusen i Azure-portalen till Inaktiverad och de tre åtgärdsstegen i dialogrutan för anpassad domän markeras som slutförda. Den anpassade domänen använder inte längre HTTPS.

Åtgärdsförlopp

I följande tabell visas åtgärdsförloppet när du inaktiverar HTTPS. När du har inaktiverat HTTPS visas de tre åtgärdsstegen i dialogrutan Anpassad domän. När varje steg blir aktivt visas mer information under steget. När ett steg har slutförts visas en grön bock bredvid steget.

Åtgärdsförlopp Åtgärdsinformation
1. Skicka begäran Begäran skickas
2. Avetablering av certifikat Tar bort certifikat
3. Slutför Certifikatet har tagits bort

Nästa steg

Om du vill lära dig hur du konfigurerar en princip för geofiltrering för din Front Door fortsätter du till nästa självstudie.