Öğretici: Azure CDN özel etki alanı üzerinde HTTPS yapılandırma

Bu öğreticide, Azure CDN uç noktasıyla ilişkilendirilmiş özel bir etki alanı için HTTPS protokollerinin nasıl etkinleştirileceği gösterilmektedir.

Özel etki alanınızdaki HTTPS protokolü (örneğin, https://www.contoso.com), hassas verilerinizin TLS/SSL aracılığıyla güvenli bir şekilde teslim edilmesini sağlar. Web tarayıcınız HTTPS aracılığıyla bağlandığında, tarayıcı web sitesinin sertifikasını doğrular. Tarayıcı, geçerli bir sertifika yetkilisi tarafından verildiğini doğrular. Bu işlem güvenlik sağlar ve web uygulamalarınızı saldırılara karşı korur.

Azure CDN varsayılan olarak CDN uç noktası ana bilgisayar adı üzerinde HTTPS’yi destekler. Örneğin, bir CDN uç noktası (gibi https://contoso.azureedge.net) oluşturursanız HTTPS otomatik olarak etkinleştirilir.

Özel HTTPS özelliğinin en önemli niteliklerinden bazıları şunlardır:

• Ek maliyet yok: Sertifika alma veya yenileme için maliyet yoktur ve HTTPS trafiği için ek maliyet yoktur. Yalnızca CDN’den GB çıkışı için ücret ödersiniz.

• Basit etkinleştirme: Tek tıklamayla sağlama özelliği Azure portalından kullanılabilir. Özelliği etkinleştirmek için REST API’yi veya diğer geliştirici araçlarını kullanabilirsiniz.

• Tam sertifika yönetimi kullanılabilir:

  • Tüm sertifika tedariki ve yönetimi sizin için işlenir.
  • Sertifikalar süre dolmadan önce otomatik olarak sağlanır ve yenilenir.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

• Özel etki alanınızda HTTPS protokolünü etkinleştirme.
• Yönetilen CDN sertifikasını kullanma
• Kendi sertifikanızı kullanma
• Etki alanını doğrulama
• Özel etki alanınızda HTTPS protokolünü devre dışı bırakma.

Önkoşullar

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Bu öğreticideki adımları tamamlayabilmeniz için önce bir CDN profili ve en az bir CDN uç noktası oluşturun. Daha fazla bilgi için bkz. Hızlı Başlangıç: Azure CDN profili ve uç noktası oluşturma.

CDN uç noktanızda bir Azure CDN özel etki alanını ilişkilendirin. Daha fazla bilgi için bkz . Öğretici: Azure CDN uç noktanıza özel etki alanı ekleme.

Önemli

CDN tarafından yönetilen sertifikalar kök veya apex etki alanları için kullanılamaz. Azure CDN özel etki alanınız bir kök veya apex etki alanıysa Kendi sertifikanızı getir özelliğini kullanmanız gerekir.

---

TLS/SSL sertifikaları

Azure CDN özel etki alanında HTTPS'yi etkinleştirmek için TLS/SSL sertifikası kullanırsınız. Azure CDN tarafından yönetilen bir sertifika kullanmayı veya sertifikanızı kullanmayı seçersiniz.

1. Seçenek (varsayılan): Yönetilen CDN sertifikasıyla HTTPS’yi etkinleştirme

Azure CDN, tedarik ve yenileme gibi sertifika yönetimi görevlerini gerçekleştirir. Özelliği etkinleştirmenizin ardından işlem hemen başlar.

Özel etki alanı ZATEN CDN uç noktasına eşlenmişse, başka bir eylem gerekmez. Azure CDN adımları işler ve isteğinizi otomatik olarak tamamlar.

Özel etki alanınız başka bir yere eşlenmişse, etki alanı sahipliğini doğrulamak için e-postayı kullanın.

Özel bir etki alanı üzerinde HTTPS'yi etkinleştirmek için aşağıdaki adımları uygulayın:

1. Azure CDN'niz tarafından yönetilen bir sertifikayı bulmak için Azure portalına gidin. CDN profillerini arayın ve seçin.

2. Profilinizi seçin:

   • Microsoft'tan Azure CDN Standard
   • Edgio'dan Azure CDN Standard
   • Edgio'dan Azure CDN Premium

3. CDN uç noktaları listesinde özel etki alanınızı içeren uç noktayı seçin.

   

   Uç Nokta sayfası görünür.

4. Özel etki alanları listesinde, HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.

   

   Özel etki alanı sayfası görünür.

5. Sertifika yönetimi türü bölümünde Yönetilen CDN’yi seçin.

6. HTTPS’yi etkinleştirmek için Açık seçeneğini belirleyin.

   

7. Etki alanını doğrulamaya devam edin.

2. Seçenek: Kendi sertifikanızla HTTPS’yi etkinleştirme

Önemli

• Bu seçenek yalnızca Microsoft'un Azure CDN'siyle kullanılabilir.
• Edgio'dan Azure CDN ile kendi sertifikanızı kullanma seçeneği 20 Haziran 2024'te bakımdan geçirilmiştir. Bu özellik bu süre boyunca kullanılamayacak ve 2025'in başlarında yeniden kullanıma sunulacaktır.

HTTPS özelliğini etkinleştirmek için kendi sertifikanızı kullanabilirsiniz. Bu işlem, sertifikalarınızı güvenli bir şekilde depolamanıza olanak tanıyan Azure Key Vault ile tümleştirme yoluyla gerçekleştirilir. Azure CDN, sertifikanızı almak için bu güvenli mekanizmayı kullanır ve birkaç ek adım gerektirir. TLS/SSL sertifikanızı oluştururken, Microsoft Güvenilen CA Listesi'nin parçası olan izin verilen sertifika yetkilisine (CA) sahip eksiksiz bir sertifika zinciri oluşturmanız gerekir. İzin verilmeyen bir CA kullanıyorsanız isteğiniz reddedilir. Tam zincir içermeyen bir sertifika sunulursa, bu sertifikayı içeren isteklerin beklendiği gibi çalışacağı garanti edilmemektedir.

Azure Key Vault hesabınızı ve sertifikanızı hazırlama

1. Azure Key Vault: Özel HTTPS’yi etkinleştirmek istediğiniz Azure CDN profili ve CDN uç noktalarıyla aynı abonelik altında çalışan bir Azure Key Vault hesabınız olması gerekir. Azure Key Vault hesabınız yoksa oluşturun.

2. Azure Key Vault sertifikaları: Sertifikanız varsa doğrudan Azure Key Vault hesabınıza yükleyin. Sertifikanız yoksa doğrudan Azure Key Vault aracılığıyla yeni bir sertifika oluşturun.

Not

• Azure Content Delivery Network yalnızca PFX sertifikalarını destekler.
• Sertifikanın yaprak ve ara sertifikalara sahip eksiksiz bir sertifika zinciri olması ve kök CA'nın Microsoft Güvenilen CA Listesi'nin bir parçası olması gerekir.

Azure CDN için yönetilen kimliği ayarlama

Azure CDN'nin Azure Key Vault hesabınıza erişmesine izin vermek için Azure CDN için yönetilen kimliği yapılandırma'daki adımları izleyin.

Azure CDN’nin dağıtacağı sertifikayı seçme

1. Azure CDN portalına geri dönün ve özel HTTPS’yi etkinleştirmek istediğiniz profili ve CDN uç noktasını seçin.

2. Özel etki alanları listesinde, HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.

   Özel etki alanı sayfası görünür.

3. Sertifika yönetimi türü bölümünde Kendi sertifikamı kullan’ı seçin.

   

4. Bir anahtar kasası, Sertifika/Gizli Dizi ve Sertifika/Gizli Dizi sürümü seçin.

   Azure CDN, aşağıdaki bilgileri listeler:

   • Abonelik kimliğiniz için Key Vault hesapları.
   • Seçilen anahtar kasasının altındaki sertifikalar/gizli diziler.
   • Kullanılabilir sertifika/gizli sürümler.

   Not

   • Azure Content Delivery Network yalnızca PFX sertifikalarını destekler.
   • Anahtar kasanızda sertifikanın daha yeni bir sürümü kullanılabilir olduğunda sertifikanın otomatik olarak en son sürüme döndürülmesi için lütfen sertifika/gizli dizi sürümünü 'En Son' olarak ayarlayın. Belirli bir sürüm seçiliyse, sertifika döndürme için yeni sürümü el ile yeniden seçmeniz gerekir. Sertifikanın/gizli dizinin yeni sürümünün dağıtılması 72 saate kadar sürer. Yalnızca Standart Microsoft SKU'su sertifika otomatik döndürmeyi destekler.

5. HTTPS’yi etkinleştirmek için Açık seçeneğini belirleyin.

6. Sertifikanızı kullandığınızda etki alanı doğrulaması gerekmez. Yayılma için bekleme adımına ilerleyin.

Etki alanını doğrulama

Kullanımda bir CNAME kaydıyla özel uç noktanıza eşlenmiş özel bir etki alanınız varsa veya kendi sertifikanızı kullanıyorsanız Content Delivery Network uç noktanıza eşlenmiş özel etki alanı'na geçin.

Aksi takdirde, uç noktanız için CNAME kayıt girdisi artık yoksa veya cdnverify alt etki alanını içeriyorsa, CDN uç noktanızla eşlenmeyen Özel etki alanı'na geçin.

Özel etki alanı bir CNAME kaydı kullanılarak CDN uç noktanızla eşlendi

Uç noktanıza özel bir etki alanı eklediğinizde, CDN uç nokta ana bilgisayar adınız ile eşlenen DNS etki alanı kayıt şirketinde bir CNAME kaydı oluşturdunuz.

Bu CNAME kaydı hala varsa ve cdnverify alt etki alanını içermiyorsa, DigiCert CA bunu özel etki alanınızın sahipliğini otomatik olarak doğrulamak için kullanır.

Kendi sertifikanızı kullanıyorsanız etki alanı doğrulaması gerekmez.

CNAME kaydınız aşağıdaki biçimde olmalıdır:

• Ad , özel etki alanı adınızdır.
• Değer , içerik teslim ağı uç noktası ana bilgisayar adınızdır.

Adı	Tür	Değer
<www.contoso.com>	CNAME	contoso.azureedge.net

CNAME kayıtları hakkında daha fazla bilgi için bkz. CNAME DNS kaydı oluşturma.

CNAME kaydınız doğru biçimdeyse, DigiCert özel etki alanı adınızı otomatik olarak doğrular ve etki alanınız için bir sertifika oluşturur. DigitCert size doğrulama e-postası göndermez ve isteğinizi onaylamanız gerekmez. Sertifika bir yıl geçerlidir ve süresi dolmadan önce otomatik olarak yenilenir. Yayılma için bekleme adımına ilerleyin.

Otomatik doğrulama genellikle birkaç saat sürer. Etki alanınızın 24 saat içinde doğrulanmış olduğunu görmüyorsanız bir destek bileti açın.

Not

DNS sağlayıcınızla bir Sertifika Yetkilisi Yetkilendirme (CAA) kaydınız varsa, yetkilendirme için uygun CA'ları içermelidir. DigiCert, Microsoft ve Edgio profilleri için CA'dır. CAA kayıtlarını yönetme ile ilgili bilgi için bkz. CAA kayıtlarını yönetme. CAA kayıt aracı için bkz. CAA Kayıt Yardımcısı.

Özel etki alanı CDN uç noktanızla eşlenmedi

CNAME kayıt girdisi cdnverify alt etki alanını içeriyorsa, bu adımdaki yönergelerin geri kalanını izleyin.

DigiCert, aşağıdaki e-posta adreslerine bir doğrulama e-postası gönderir. Aşağıdaki adreslerden birinden doğrudan onaylayabileceğinizi doğrulayın:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

İsteği onaylamanız için birkaç dakika içinde bir e-posta almanız gerekir. İstenmeyen posta filtresi kullanıyorsanız izin verilenler listesine ekleyin verification@digicert.com . E-postayı 24 saat içinde almazsanız Microsoft destek ekibine başvurun.

Onay bağlantısını seçtiğinizde aşağıdaki çevrimiçi onay formuna yönlendirilirsiniz:

Formdaki yönergeleri uygulayın. İki doğrulama seçeneğiniz vardır:

• contoso.com gibi aynı kök etki alanı için aynı hesap üzerinden verilen gelecekteki tüm siparişleri onaylayabilirsiniz. Aynı kök etki alanı için başka özel etki alanları eklemeyi planlıyorsanız bu yaklaşım önerilir.

• Yalnızca bu istekte kullanılan söz konusu ana bilgisayar adını onaylayabilirsiniz. Sonraki istekler için başka bir onay gereklidir.

DigiCert onaydan sonra özel etki alanı adınız için sertifika oluşturma işlemlerini tamamlar. Sertifika, bir yıl için geçerlidir. Özel etki alanınız için CNAME kaydı doğrulamadan sonra uç nokta ana bilgisayar adınız ile eşlenecek şekilde eklenir veya güncelleştirilirse süresi dolmadan önce otomatik olarak yenilenir.

Not

Yönetilen sertifika otomatik yeniden oluşturma işlemi, özel etki alanınızın cdn uç noktanıza bir CNAME kaydıyla doğrudan eşlenmesi gerekir.

Yayılma için bekleme

Etki alanı doğrulandıktan sonra özel etki alanı HTTPS özelliğinin etkinleştirilmesi 6-8 saate kadar sürebilir. İşlem tamamlandığında Azure portalındaki özel HTTPS durumu Etkin olarak değiştirilir. Özel etki alanı iletişim kutusundaki dört işlem adımı tamamlandı olarak işaretlenir. Özel etki alanınız artık HTTPS’yi kullanmak için hazırdır.

İşlem ilerleme durumu

Aşağıdaki tabloda, HTTPS’yi etkinleştirdiğinizde oluşan işlem ilerleme durumunu gösterir. HTTPS’yi etkinleştirmenizin ardından özel etki alanı iletişim kutusunda dört işlem adımı görünür. Her adım etkinleştikçe, adım ilerledikçe adımın altında diğer alt adım ayrıntıları görüntülenir. Bu alt işlemlerin tümü gerçekleşmez. Bir adım başarıyla tamamlandıktan sonra adımın yanında yeşil bir onay işareti görünür.

İşlem adımı	İşlem alt adımı ayrıntıları
1 İstek gönderiliyor	İstek gönderiliyor
	HTTPS isteğiniz gönderiliyor.
	HTTPS isteğiniz başarıyla gönderildi.
2 Etki alanı doğrulaması	CNAME CDN Uç Noktası ile eşlenmişse etki alanı otomatik olarak doğrulanır. Aksi takdirde, etki alanınızın kayıt kaydında (WHOIS kayıt şirketi) listelenen e-postaya bir doğrulama isteği gönderilir.
	Etki alanı sahipliğiniz başarıyla doğrulandı.
	Etki alanı doğrulama isteğinin süresi doldu. (Müşteri büyük olasılıkla 6 gün içinde yanıt vermedi.) ETKI alanınızda HTTPS etkinleştirilmez. *
	Etki alanı sahipliğini doğrulama isteği, müşteri tarafından reddedildi. ETKI alanınızda HTTPS etkinleştirilmez. *
3 Sertifika sağlanıyor	Sertifika yetkilisi şu anda etki alanınızdaki HTTPS'nin etkinleştirilmesi için gereken sertifikayı veriyor.
	Sertifika verildi ve şu anda CDN ağına dağıtılıyor. Bu işlem 6 saat kadar sürebilir.
	Sertifika, CDN ağına başarıyla dağıtıldı.
4 Tamamlandı	HTTPS, etki alanınızda başarıyla etkinleştirildi.

* Bir hata oluşmadığı sürece bu ileti görünmez.

İstek gönderilmeden önce hata oluşursa, aşağıdaki hata iletisi görüntülenir:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Kaynakları temizleme - HTTPS’yi devre dışı bırakma

Bu bölümde, özel etki alanınız için HTTPS'yi nasıl devre dışı bırakacağınızı öğreneceksiniz.

HTTPS özelliğini devre dışı bırakma

1. Azure portalında CDN profillerini arayın ve seçin.

2. Microsoft'tan Azure CDN Standard, Edgio'dan Azure CDN Standard veya Edgio profilinden Azure CDN Premium'u seçin.

3. Uç noktalar listesinde, özel etki alanınızı içeren uç noktayı seçin.

4. HTTPS'yi devre dışı bırakmak istediğiniz özel etki alanını seçin.

   

5. HTTPS'yi devre dışı bırakmak için Kapalı'yı ve ardından Uygula'yı seçin.

   

Yayılma için bekleme

Özel etki alanı HTTPS özelliği devre dışı bırakıldıktan sonra bu işlemin geçerli olması 6-8 saate kadar sürebilir. İşlem tamamlandığında Azure portalındaki özel HTTPS durumu Devre Dışı olarak değiştirilir. Özel etki alanı iletişim kutusundaki üç işlem adımı tamamlandı olarak işaretlenir. Özel etki alanınız artık HTTPS’yi kullanamaz.

İşlem ilerleme durumu

Aşağıdaki tabloda, HTTPS’yi devre dışı bıraktığınızda oluşan işlem ilerleme durumunu gösterir. HTTPS'yi devre dışı bırakdıktan sonra, özel etki alanı iletişim kutusunda üç işlem adımı görüntülenir. Bir adım etkin hale geldiğinde, adımın altında ayrıntılar görüntülenir. Bir adım başarıyla tamamlandıktan sonra adımın yanında yeşil bir onay işareti görünür.

İşlem ilerleme durumu	İşlem ayrıntıları
1 İstek gönderiliyor	İsteğiniz gönderiliyor
2 Sertifika sağlaması kaldırılıyor	Sertifika siliniyor
3 Tamamlandı	Sertifika silindi

Sık sorulan sorular

1. Sertifika sağlayıcısı kimdir ve ne tür bir sertifika kullanılır?

   Özel etki alanınız için Digicert tarafından sağlanan ayrılmış bir sertifika kullanılır:

   • Edgio'dan Azure Content Delivery Network
   • Microsoft'tan Azure Content Delivery Network

2. IP tabanlı veya Sunucu Adı Göstergesi (SNI) TLS/SSL kullanıyor musunuz?

   Hem Edgio'dan Azure CDN hem de Microsoft'tan Azure CDN Standard, SNI TLS/SSL kullanır.

3. DigiCert’ten etki alanı doğrulama e-postası almazsam ne olur?

   cdnverify alt etki alanını kullanmıyorsanız ve CNAME girdiniz uç nokta ana bilgisayar adınız içinse, etki alanı doğrulama e-postası almazsınız.

   Doğrulama otomatik olarak gerçekleşir. Ancak CNAME girişiniz yoksa ve e-postayı 24 saat içinde almazsanız Microsoft destek ekibine başvurun.

4. Ayrılmış sertifika kullanmak, SAN sertifikasından daha mı güvenlidir?

   SAN sertifikası, ayrılmış sertifika ile aynı şifreleme ve güvenlik standartlarını uygular. Verilen tüm TLS/SSL sertifikaları, gelişmiş sunucu güvenliği için SHA-256 kullanır.

5. DNS sağlayıcım ile Sertifika Yetkilisi Yetkilendirme kaydı kullanmam gerekir mi?

   Sertifika Yetkilisi Yetkilendirme kaydı şu anda gerekli değildir. Ancak, varsa, geçerli CA olarak DigiCert’i içermelidir.

6. 20 Haziran 2018'de Edgio'dan Azure CDN, varsayılan olarak SNI TLS/SSL ile ayrılmış bir sertifika kullanmaya başladı. Subject Alternative Names (SAN) sertifikası ve IP tabanlı TLS/SSL kullanan mevcut özel etki alanlarıma ne olacak?

   Microsoft, uygulamanıza yalnızca SNI istemci isteklerinin yapıldığını analiz ederse, mevcut etki alanlarınız önümüzdeki aylarda tek bir sertifikaya aşamalı olarak geçirilir.

   SNI olmayan istemciler algılanırsa, etki alanlarınız IP tabanlı TLS/SSL ile SAN sertifikasında kalır. Hizmetinize veya SNI olmayan istemcilere yönelik istekler etkilenmez.

7. Sertifika yenilemeleri Kendi Sertifikanızı Getirin ile nasıl çalışır?

   POP altyapısına daha yeni bir sertifika dağıtıldığından emin olmak için yeni sertifikanızı Azure Key Vault'a yükleyin. Azure Content Delivery Network'teki TLS ayarlarınızda en yeni sertifika sürümünü seçin ve kaydet'i seçin. Azure Content Delivery Network daha sonra yeni güncelleştirilmiş sertifikanızı yayacaktır.

   Önemli

   • 20 Haziran 2024 itibarıyla Edgio'dan Azure CDN Standard ve Premium, Kendi sertifikalarımı kullan özelliğini desteklemeyecektir. Bu özellik 2025'in başlarında yeniden tanıtılacaktır.
   • Bu özelliği kullanan özel etki alanları için gerekli eylemler nelerdir? Edgio platformunda zaten dağıtılan BYOC sertifikaları son kullanma tarihine kadar geçerli kalacaktır. 2025'te süresi dolan sertifikalar için eylem gerekmez. Güncelleştirme gerektiren veya bu yıl süresi dolmak üzere olan sertifikalar için CDN Yönetilen'e geçmenizi öneririz. Ek yardım gerekiyorsa bir destek mühendisiyle çalışmak için bir destek isteği gönderin.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

• Özel etki alanınızda HTTPS protokolünü etkinleştirme.
• Yönetilen CDN sertifikasını kullanma
• Kendi sertifikanızı kullanma
• Etki alanını doğrulama.
• Özel etki alanınızda HTTPS protokolünü devre dışı bırakma.

CDN uç noktanızda önbelleğe almayı yapılandırma hakkında bilgi edinmek için sonraki öğreticiye geçin.

Öğretici: Azure CDN önbelleğe alma kurallarını ayarlama