Azure API Management örneğiniz için özel etki alanı adı yapılandırma

UYGULANANLAR: Tüm API Management katmanları

Azure bulutunda bir Azure API Management hizmet örneği oluşturduğunuzda, Azure ona bir azure-api.net alt etki alanı (örneğin, apim-service-name.azure-api.net) atar. API Management uç noktalarınızı, gibi contoso.comkendi özel etki alanı adınızı kullanarak da kullanıma sağlayabilirsiniz. Bu makalede, var olan bir özel DNS adını BIR API Management örneği tarafından kullanıma sunulan uç noktalarla eşleme adımları gösterilmektedir.

Önemli

API Management yalnızca konak üst bilgisi değerleri eşleşen istekleri kabul eder:

• Ağ Geçidi'nin varsayılan etki alanı adı
• Ağ Geçidi'nin yapılandırılmış özel etki alanı adlarından herhangi biri

Önkoşullar

• Api Management örneği. Daha fazla bilgi için bkz . Azure API Management örneği oluşturma.

• Size veya kuruluşunuza ait özel bir etki alanı adı. Bu makalede, özel bir etki alanı adı temin etme yönergeleri sağlanmaz.

• İsteğe bağlı olarak, ortak ve özel anahtara (. PFX). Konu veya konu alternatif adının (SAN) etki alanı adıyla eşleşmesi gerekir (bu, API Management örneğinin TLS üzerinden URL'leri güvenli bir şekilde kullanıma sunmasını sağlar).

  Bkz. Etki alanı sertifikası seçenekleri.

• Özel etki alanı adını API Management örneğinizin varsayılan etki alanı adıyla eşlemek için bir DNS sunucusunda barındırılan DNS kayıtları. Bu konu, DNS kayıtlarını barındırma yönergeleri sağlamaz.

  Gerekli kayıtlar hakkında daha fazla bilgi için bu makalenin devamında yer alan DNS yapılandırması bölümüne bakın.

Özel etki alanları için uç noktalar

Özel bir etki alanı adı atayabileceğiniz birkaç API Management uç noktası vardır. Şu anda aşağıdaki uç noktalar kullanılabilir:

Uç nokta	Varsayılan
Ağ geçidi	Varsayılan değer: <apim-service-name>.azure-api.net. Ağ geçidi, Tüketim katmanında yapılandırma için kullanılabilen tek uç noktadır. Özel bir Ağ Geçidi etki alanı eklendikten sonra varsayılan Ağ Geçidi uç noktası yapılandırması kullanılabilir durumda kalır.
Geliştirici portalı	Varsayılan değer: <apim-service-name>.developer.azure-api.net
Yönetim	Varsayılan değer: <apim-service-name>.management.azure-api.net
Yapılandırma API'si (v2)	Varsayılan değer: <apim-service-name>.configuration.azure-api.net
SCM	Varsayılan değer: <apim-service-name>.scm.azure-api.net

Dikkat edilmesi gereken noktalar

• Hizmet katmanınızda desteklenen uç noktalardan herhangi birini güncelleştirebilirsiniz. Müşteriler genellikle Ağ Geçidi'ni (bu URL, API Management aracılığıyla kullanıma sunulan API'leri çağırmak için kullanılır) ve Geliştirici portalı’nı (geliştirici portalı URL'si) güncelleştirir.
• Özel bir Ağ Geçidi etki alanı adı yapılandırdıktan sonra varsayılan Ağ Geçidi uç noktası kullanılabilir durumda kalır ve silinemez. Özel etki alanı adıyla yapılandırdığınız diğer API Management uç noktaları (Geliştirici portalı gibi) için varsayılan uç nokta artık kullanılamaz.
• Yönetim ve SCM uç noktalarını yalnızca API Management örnek sahipleri dahili olarak kullanabilir. Bu uç noktalara daha az sıklıkta bir özel etki alanı adı atanır.
• Premium ve Geliştirici katmanları, Ağ Geçidi uç noktası için birden çok ana bilgisayar adı ayarlamayı destekler.
• gibi *.contoso.comjoker karakter etki alanı adları, Tüketim katmanı dışındaki tüm katmanlarda desteklenir. Belirli bir alt etki alanı sertifikası (örneğin, api.contoso.com) api.contoso.com istekleri için joker sertifikadan (*.contoso.com) önceliklidir.

Etki alanı sertifikası seçenekleri

API Management, Azure Key Vault'tan içeri aktarılan özel TLS sertifikalarını veya sertifikaları destekler. Ücretsiz, yönetilen bir sertifikayı da etkinleştirebilirsiniz.

Uyarı

Sertifika sabitlemeye ihtiyacınız varsa, lütfen varsayılan sertifikayı veya ücretsiz, yönetilen sertifikayı değil, özel bir etki alanı adını ve özel veya Key Vault sertifikasını kullanın. Yönetmediğiniz bir sertifikaya sabit bağımlılık almanızı önermeyiz.

Özel

Üçüncü taraf sağlayıcıdan özel bir sertifikanız zaten varsa, bunu API Management örneğine yükleyebilirsiniz. Aşağıdaki gereksinimleri karşılaması gerekir. (API Management tarafından yönetilen ücretsiz sertifikayı etkinleştirirseniz, bu gereksinimleri zaten karşılar.)

• PFX dosyası olarak dışarı aktarılır, üçlü DES kullanılarak şifrelenir ve isteğe bağlı olarak parola korumalıdır.
• En az 2048 bit uzunluğunda özel anahtar içerir
• Sertifika zincirindeki tüm ara sertifikaları ve kök sertifikayı içerir.

Anahtar Kasası

Sertifikalarınızı yönetmek ve olarak autorenewayarlamak için Azure Key Vault kullanmanızı öneririz.

Özel etki alanı TLS sertifikasını yönetmek için Azure Key Vault kullanıyorsanız, sertifikanın Key Vault'a gizli dizi olarak değil sertifika olarak eklendiğinden emin olun.

Dikkat

API Management'ta anahtar kasası sertifikası kullanırken, anahtar kasasına erişmek için kullanılan sertifikayı, anahtar kasasını veya yönetilen kimliği silmemeye dikkat edin.

BIR TLS/SSL sertifikası getirmek için API Management'ın listeye sahip olması ve sertifikayı içeren Azure Key Vault'ta gizli dizi izinleri alması gerekir.

• Sertifikayı içeri aktarmak için Azure portalını kullandığınızda, gerekli tüm yapılandırma adımları otomatik olarak tamamlanır.

• Komut satırı araçlarını veya yönetim API'sini kullandığınızda, bu izinler iki adımda el ile verilmelidir:

  1. API Management örneğinizin Yönetilen kimlikler sayfasında sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği etkinleştirin. Bu sayfadaki asıl kimliği not edin.
  2. Anahtar kasasına erişmek için yönetilen kimliğe izinler atayın. Aşağıdaki bölümdeki adımları kullanın.

  Anahtar kasasına erişimi yapılandırma

  1. Portalda anahtar kasanıza gidin.

  2. Sol menüde Erişim yapılandırması'nı seçin ve yapılandırılan İzin modelini not edin.

  3. İzin modeline bağlı olarak, API Management yönetilen kimliği için bir anahtar kasası erişim ilkesi veya Azure RBAC erişimi yapılandırın.

     Anahtar kasası erişim ilkesi eklemek için:
     

     1. Sol menüde Erişim ilkeleri'ni seçin.
     2. Erişim ilkeleri sayfasında + Oluştur'u seçin.
     3. İzinler sekmesindeki Gizli dizi izinleri'nin altında Al ve Listele'yi ve ardından İleri'yi seçin.
     4. Sorumlu sekmesinde Sorumluyu seçin, yönetilen kimliğinizin kaynak adını arayın ve İleri'yi seçin. Sistem tarafından atanan bir kimlik kullanıyorsanız, sorumlu API Management örneğinizin adıdır.
     5. İleri'yi yeniden seçin. Gözden Geçir + oluştur sekmesinde Oluştur'u seçin.

     Azure RBAC erişimini yapılandırmak için:
     

     1. Sol menüde Erişim denetimi (IAM) öğesini seçin.
     2. Erişim denetimi (IAM) sayfasında Rol ataması ekle'yi seçin.
     3. Rol sekmesinde Key Vault Gizli Dizileri Kullanıcısı'nı seçin.
     4. Üyeler sekmesinde Yönetilen kimlik>+ Üye seç'i seçin.
     5. Yönetilen kimliği seçin sayfasında, API Management örneğiniz ile ilişkilendirilmiş sistem tarafından atanan yönetilen kimliği veya kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından Seç'i seçin.
     6. Gözden geçir + ata'yı seçin.

Sertifika olarak autorenew ayarlandıysa ve API Management katmanınızın bir SLA'sı varsa (Geliştirici katmanı dışındaki tüm katmanlarda), API Management hizmette kapalı kalma süresi olmadan en son sürümü otomatik olarak alır.

Daha fazla bilgi için bkz . Azure API Management'ta yönetilen kimlikleri kullanma.

Yönetilen

Kendi sertifikanızı satın almak ve yönetmek istemiyorsanız API Management, etki alanınız için ücretsiz, yönetilen bir TLS sertifikası sunar. Sertifika otomatik olarak yeniden oluşturulur.

Not

Ücretsiz, yönetilen TLS sertifikası önizleme aşamasındadır. Şu anda v2 hizmet katmanlarında kullanılamaz.

Sınırlamalar

• Şu anda yalnızca API Management hizmetinizin Ağ Geçidi uç noktasıyla kullanılabilir
• Şirket içinde barındırılan ağ geçidiyle desteklenmez
• Şu Azure bölgelerinde desteklenmez: Fransa Güney ve Güney Afrika Batı
• Şu anda yalnızca Azure bulutunda kullanılabilir
• Kök etki alanı adlarını (örneğin, contoso.com) desteklemez. gibi api.contoso.comtam bir ad gerektirir.
• Yalnızca ortak etki alanı adlarını destekler
• Yalnızca mevcut bir API Management örneği güncelleştirilirken yapılandırılabilir, örnek oluşturulurken yapılandırılamaz

Özel etki alanı adı ayarlama - portal

Kullanmak istediğiniz etki alanı sertifikasına göre adımları seçin.

Özel

1. Azure portalında API Management örneğine gidin.
2. Sol gezinti bölmesinde Özel etki alanları'nı seçin.
3. +Ekle'yi seçin veya güncelleştirmek istediğiniz mevcut bir uç noktayı seçin.
4. Sağdaki pencerede özel etki alanı için uç nokta türü'nü seçin.
5. Konak adı alanında, kullanmak istediğiniz adı belirtin. Örneğin, api.contoso.com.
6. Sertifika'nın altında Özel'i seçin
7. Sertifikayı seçmek ve karşıya yüklemek için Sertifika dosyası'na tıklayın.
8. Geçerli bir karşıya yükleyin. PFX dosyasını açın ve sertifika bir parolayla korunuyorsa Parolasını sağlayın.
9. Ağ geçidi uç noktasını yapılandırırken, İstemci sertifikası anlaşması veya Varsayılan SSL bağlaması gibi diğer seçenekleri gerektiği gibi seçin veya seçimini kaldırın.
10. Ekle'yi seçin veya mevcut bir uç nokta için Güncelleştir'i seçin.
11. Kaydet'i seçin.

Anahtar Kasası

1. Azure portalında API Management örneğine gidin.
2. Sol gezinti bölmesinde Özel etki alanları'nı seçin.
3. +Ekle'yi seçin veya güncelleştirmek istediğiniz mevcut bir uç noktayı seçin.
4. Sağdaki pencerede özel etki alanı için uç nokta türü'nü seçin.
5. Konak adı alanında, kullanmak istediğiniz adı belirtin. Örneğin, api.contoso.com.
6. Sertifika'nın altında Key Vault'a ve ardından Seç'e tıklayın.
   1. Açılan listeden Abonelik'i seçin.
   2. Açılan listeden Anahtar kasası'nı seçin.
   3. Sertifikalar yüklendikten sonra açılan listeden Sertifika'yı seçin. Seç'e tıklayın.
   4. İstemci kimliği'nde, anahtar kasasına erişmek için örnekte etkinleştirilen sistem tarafından atanan bir kimliği veya kullanıcı tarafından atanan yönetilen kimliği seçin.
7. Ağ geçidi uç noktasını yapılandırırken, İstemci sertifikası anlaşması veya Varsayılan SSL bağlaması gibi diğer seçenekleri gerektiği gibi seçin veya seçimini kaldırın.
8. Ekle'yi seçin veya mevcut bir uç nokta için Güncelleştir'i seçin.
9. Kaydet'i seçin.

Yönetilen

1. Azure portalında API Management örneğine gidin.
2. Sol gezinti bölmesinde Özel etki alanları'nı seçin.
3. +Ekle'yi seçin veya güncelleştirmek istediğiniz mevcut bir uç noktayı seçin.
4. Sağdaki pencerede özel etki alanı için uç nokta türü'nü seçin.
5. Konak adı alanında, kullanmak istediğiniz adı belirtin. Örneğin, api.contoso.com.
6. API Management tarafından yönetilen ücretsiz bir sertifikayı etkinleştirmek için Sertifika'nın altında Yönetilen'i seçin. Yönetilen sertifika yalnızca Ağ Geçidi uç noktası için önizlemede kullanılabilir.
7. Aşağıdaki değerleri kopyalayın ve DNS'yi yapılandırmak için kullanın:
   • TXT kaydı
   • CNAME kaydı
8. Ağ geçidi uç noktasını yapılandırırken, İstemci sertifikası anlaşması veya Varsayılan SSL bağlaması gibi diğer seçenekleri gerektiği gibi seçin veya seçimini kaldırın.
9. Ekle'yi seçin veya mevcut bir uç nokta için Güncelleştir'i seçin.
10. Kaydet'i seçin.

Not

Sertifikayı atama işlemi, dağıtımın boyutuna bağlı olarak 15 dakika veya daha uzun sürebilir. Geliştirici katmanında kapalı kalma süresi vardır ancak Temel ve daha yüksek katmanlarda kapalı kalma süresi yoktur.

DNS yapılandırması

• Özel etki alanınız için bir CNAME kaydı yapılandırın.
• API Management'ın ücretsiz, yönetilen sertifikasını kullanırken, etki alanının sahipliğini oluşturmak için bir TXT kaydı da yapılandırın.

Not

Ücretsiz sertifika DigiCert tarafından verilir. Bazı etki alanları için, şu değere sahip bir CAA etki alanı kaydı oluşturarak sertifika veren olarak DigiCert'e açıkça izin vermelisiniz: 0 issue digicert.com.

CNAME kaydı

Özel etki alanı adınızdan (örneğin, api.contoso.com) API Management hizmeti ana bilgisayar adınıza (örneğin, <apim-service-name>.azure-api.net) işaret eden bir CNAME kaydı yapılandırın. CNAME kaydı, IP adresinin değişmesi durumunda A kaydından daha kararlıdır. Daha fazla bilgi için bkz . Azure API Management'ın IP adresleri ve API Management SSS.

Not

Bazı etki alanı kayıt şirketleri, gibi contoso.comkök adları değil, gibi www.contoso.combir CNAME kaydı kullanırken alt etki alanları eşlemenize izin verir. CNAME kayıtları hakkında daha fazla bilgi için kayıt şirketiniz veya IETF Etki Alanı Adları - Uygulama ve Belirtim tarafından sağlanan belgelere bakın.

Dikkat

Ücretsiz, yönetilen sertifikayı kullandığınızda ve DNS sağlayıcınızla bir CNAME kaydı yapılandırdığınızda, bunun varsayılan API Management hizmeti ana bilgisayar adına (<apim-service-name>.azure-api.net ) çözümlendiğinden emin olun. Şu anda, CNAME kaydı varsayılan API Management ana bilgisayar adına çözümlenmezse API Management sertifikayı otomatik olarak yenilemez. Örneğin, ücretsiz, yönetilen sertifikayı kullanıyorsanız ve DNS sağlayıcınız olarak Cloudflare kullanıyorsanız, CNAME kaydında DNS proxy'sinin etkinleştirilmediğinden emin olun.

TXT kaydı

API Management için ücretsiz, yönetilen sertifikayı etkinleştirirken, etki alanı adının sahipliğini oluşturmak için DNS bölgenizde bir TXT kaydı da yapılandırın.

• Kaydın adı, ön ekinde apimuidbulunan özel etki alanı adınızdır. Örnek: apimuid.api.contoso.com.
• Değer, API Management örneğiniz tarafından sağlanan bir etki alanı sahipliği tanımlayıcısıdır.

Portalı kullanarak özel etki alanınız için ücretsiz, yönetilen sertifikayı yapılandırdığınızda, gerekli TXT kaydının adı ve değeri otomatik olarak görüntülenir.

Etki Alanı Sahipliği Tanımlayıcısı Al REST API'sini çağırarak da bir etki alanı sahipliği tanımlayıcısı alabilirsiniz.

API Management proxy sunucusu TLS el sıkışmasında SSL sertifikaları ile nasıl yanıt verir?

Ağ Geçidi uç noktası için özel bir etki alanı yapılandırırken, istemci isteğine bağlı olarak API Management'ın sunucu sertifikasıyla nasıl yanıt vereceğini belirleyen ek özellikler ayarlayabilirsiniz.

Sunucu Adı Göstergesi (SNI) üst bilgisi ile çağıran istemciler

Ağ Geçidi uç noktası için yapılandırılmış bir veya birden çok özel etki alanınız varsa, API Management https isteklerine aşağıdakilerden birinden yanıt verebilir:

• Özel etki alanı (örneğin, contoso.com)
• Varsayılan etki alanı (örneğin, apim-service-name.azure-api.net).

API Management, SNI üst bilgisindeki bilgilere bağlı olarak uygun sunucu sertifikasıyla yanıt verir.

SNI üst bilgisi olmadan çağrı yapan istemciler

SNI üst bilgisini göndermeyen bir istemci kullanıyorsanız, API Management aşağıdaki mantığı temel alarak yanıtlar oluşturur:

• Hizmette Ağ Geçidi için yapılandırılmış yalnızca bir özel etki alanı varsa, varsayılan sertifika Ağ Geçidi'nin özel etki alanına verilen sertifikadır.

• Hizmet Ağ Geçidi için birden çok özel etki alanı yapılandırdıysa (Geliştirici ve Premium katmanında desteklenir) defaultSslBinding özelliğini true ("defaultSslBinding":"true" olarak ayarlayarak varsayılan sertifikayı belirleyebilirsiniz. Portalda Varsayılan SSL bağlama onay kutusunu seçin.

  Özelliğini ayarlamazsanız, varsayılan sertifika konumunda *.azure-api.netbarındırılan varsayılan Ağ Geçidi etki alanına verilen sertifikadır.

Büyük yüke sahip PUT/POST isteği desteği

API Management proxy sunucusu, HTTPS'de istemci tarafı sertifikaları kullanılırken büyük yükleri (>40 KB) olan istekleri destekler. Sunucunun isteğinin donmasını önlemek için negotiateClientCertificate özelliğini Ağ Geçidi ana bilgisayar adında true ("negotiateClientCertificate": "true") olarak ayarlayabilirsiniz. Portalda İstemci sertifikası anlaşması onay kutusunu seçin.

Özellik true olarak ayarlanırsa, istemci sertifikası herhangi bir HTTP isteği değişiminden önce SSL/TLS bağlantı zamanında istenir. Ayar Ağ Geçidi ana bilgisayar adı düzeyinde uygulandığından, tüm bağlantı istekleri istemci sertifikasını ister. Bu sınırlamayı geçici olarak düzeltebilir ve Ağ Geçidi için en fazla 20 özel etki alanı yapılandırabilirsiniz (yalnızca Premium katmanında desteklenir).

Sonraki adımlar

Hizmetinizi yükseltme ve ölçeklendirme