Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir: ✔️ Front Door (klasik)
Önemli
Azure Front Door (klasik) 31 Mart 2027'de kullanımdan kaldırılacaktır. Hizmet kesintisini önlemek için, Mart 2027'ye kadar Azure Front Door (klasik) profilleriniziAzure Front Door Standard veya Premium katmanına geçirmenizönemlidir. Daha fazla bilgi için bkz: Azure Front Door (klasik) kullanımdan kaldırma.
Bu makalede, Front Door'unuzla (klasik) ilişkilendirilmiş özel bir etki alanı için HTTPS'nin nasıl etkinleştirileceği açıklanmaktadır. Özel etki alanınızda (örneğin, ) HTTPS kullanmak, https://www.contoso.comTLS/SSL şifrelemesi aracılığıyla güvenli veri aktarımı sağlar. Bir web tarayıcısı HTTPS kullanarak bir web sitesine bağlandığında, web sitesinin güvenlik sertifikasını doğrular ve meşruluğunu doğrular, güvenlik sağlar ve web uygulamalarınızı kötü amaçlı saldırılara karşı korur.
Azure Front Door varsayılan ana bilgisayar adında (örneğin, https://contoso.azurefd.net) HTTPS'yi varsayılan olarak destekler. Ancak, gibi www.contoso.comözel etki alanları için HTTPS'yi ayrı olarak etkinleştirmeniz gerekir.
Özel HTTPS özelliğinin temel öznitelikleri şunlardır:
- Ek maliyet yok: Sertifika alma, yenileme veya HTTPS trafiği için maliyet yoktur.
- Basit etkinleştirme: Azure portalı, REST API veya diğer geliştirici araçları aracılığıyla tek seçimle sağlama.
- Tam sertifika yönetimi: Otomatik sertifika tedariki ve yenilemesi, süresi dolan sertifikalardan kaynaklanan hizmet kesintisi riskini ortadan kaldırır.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Özel etki alanınızda HTTPS'yi etkinleştirin.
- AFD tarafından yönetilen bir sertifika kullanın.
- Kendi TLS/SSL sertifikanızı kullanın.
- Etki alanını doğrulama.
- Özel etki alanınızda HTTPS'yi devre dışı bırakın.
Önkoşullar
Aktif bir aboneliğe sahip bir Azure hesabı. Ücretsiz hesap oluşturun.
En az bir özel etki alanı tanımlanmış bir Azure Front Door. Daha fazla bilgi için bkz. Kılavuz: Front Door’a özel etki alanı ekleme.
Kendi sertifikanızı kullanırken Front Door hizmet sorumlusunu Microsoft Entra kimliğinize kaydetmek için Azure Cloud Shell veya Azure PowerShell.
Bu makaledeki adımlar Azure Cloud Shell'de Azure PowerShell cmdlet'lerini etkileşimli olarak çalıştırır. Cmdlet'leri Cloud Shell'de çalıştırmak için bir kod bloğunun sağ üst köşesindeki Cloud Shell'i Aç'ı seçin. Kodu kopyalamak için Kopyala'yı seçin ve çalıştırmak için Cloud Shell'e yapıştırın. Cloud Shell'i Azure portalından da çalıştırabilirsiniz.
Cmdlet'leri çalıştırmak için Azure PowerShell'i yerel olarak da yükleyebilirsiniz . PowerShell'i yerel olarak çalıştırıyorsanız Connect-AzAccount cmdlet'ini kullanarak Azure'da oturum açın.
TLS/SSL sertifikaları
Front Door (klasik) özel etki alanında HTTPS'yi etkinleştirmek için bir TLS/SSL sertifikasına sahip olmanız gerekir. Azure Front Door tarafından yönetilen bir sertifikayı veya kendi sertifikanızı kullanabilirsiniz.
Seçenek 1 (varsayılan): Front Door tarafından yönetilen bir sertifika kullanın
Azure Front Door tarafından yönetilen bir sertifika kullanmak, birkaç ayar değişikliğiyle HTTPS'yi etkinleştirmenize olanak tanır. Azure Front Door, tedarik ve yenileme dahil olmak üzere tüm sertifika yönetimi görevlerini gerçekleştirir. Özel etki alanınız zaten Front Door'un varsayılan ön uç barındırıcısına ({hostname}.azurefd.net) eşlenmişse, başka bir işlem yapmanıza gerek yoktur. Aksi takdirde, etki alanı sahipliğini e-posta yoluyla doğrulamanız gerekir.
Özel bir etki alanında HTTPS'yi etkinleştirmek için:
Ön uç barındırma hizmetleri listesinden HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.
Özel etki alanı HTTPS altında Etkin seçeneğini seçin ve sertifika kaynağı olarak Front Door yönetilen seçeneğini seçin.
Kaydet'i seçin.
Etki alanını doğrulama adımına ilerleyin.
Not
- DigiCert'in 64 karakter sınırı, Azure Front Door tarafından yönetilen sertifikalar için zorunlu kılındı. Bu sınır aşılırsa doğrulama başarısız olur.
- Front Door tarafından yönetilen sertifika aracılığıyla HTTPS'nin etkinleştirilmesi apex/root etki alanları (örneğin, contoso.com) için desteklenmez. Bu senaryo için kendi sertifikanızı kullanın (bkz. Seçenek 2).
Seçenek 2: Kendi sertifikanızı kullanın
Azure Key Vault ile tümleştirme aracılığıyla kendi sertifikanızı kullanabilirsiniz. Sertifikanızın Microsoft Güvenilen CA Listesi'nden olduğundan ve eksiksiz bir sertifika zincirine sahip olduğundan emin olun.
Anahtar kasanızı ve sertifikanızı hazırlayın
- Azure aboneliğinizde, Front Door'unuz ile aynı abonelikte bir anahtar kasası hesabı oluşturun.
- Ağ erişim kısıtlamaları etkinse, güvenilen Microsoft hizmetlerinin güvenlik duvarını atlamasına izin verecek şekilde anahtar kasanızı yapılandırın.
- Key Vault erişim ilkesi izin modelini kullanın.
- Sertifikanızı, sır olarak değil, bir sertifika nesnesi olarak karşıya yükleyin.
Not
Front Door, üç nokta eğrisi (EC) şifreleme algoritmalarına sahip sertifikaları desteklemez. Sertifikanın yaprak ve ara sertifikalara sahip eksiksiz bir sertifika zinciri olması ve kök CA'nın Microsoft Güvenilen CA listesinin bir parçası olması gerekir.
Azure Front Door’u kaydetme
Azure PowerShell veya Azure CLI kullanarak Azure Front Door hizmet sorumlusunu Microsoft Entra Kimliğinize kaydedin.
Front Door hizmet sorumlusunu Microsoft Entra Kimliğinize kaydetmek için New-AzADServicePrincipal cmdlet'ini kullanın.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Anahtar kasanıza Azure Front Door erişimi verme
Anahtar kasası hesabınızda Erişim ilkeleri'ni seçin.
Yeni bir erişim ilkesi oluşturmak için Oluştur'u seçin.
Gizli izinler bölümünde Al'ı seçin.
Sertifika izinlerinde Al'ı seçin.
Principal seçin bölümünde ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 için arama yapın ve Microsoft.Azure.Frontdoor'u seçin. İleri'yi seçin.
Uygulama'da İleri'yi seçin.
Gözden Geçir + oluştur içinde Oluştur'u seçin.
Not
Anahtar kasanızda ağ erişim kısıtlamaları varsa, güvenilen Microsoft hizmetleri anahtar kasanıza erişmesine izin verin.
Dağıtım için Azure Front Door sertifikasını seçin
Portalda ön kapınıza dönün.
HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.
Sertifika yönetim türü altında Kendi sertifikamı kullan'ı seçin.
Bir anahtar kasası, Gizli ve Gizli sürüm seçin.
Not
Otomatik sertifika döndürmeyi etkinleştirmek için gizli anahtar sürümünü 'En Son' olarak ayarlayın. Belirli bir sürüm seçiliyse, sertifika döndürme için el ile güncelleştirmeniz gerekir.
Uyarı
Hizmet sorumlunuzun Key Vault üzerinde GET iznine sahip olduğundan emin olun. Portal açılan listesinde sertifikayı görmek için kullanıcı hesabınızın Key Vault'ta LIST ve GET izinlerine sahip olması gerekir.
Kendi sertifikanızı kullanırken etki alanı doğrulaması gerekmez. Yayılmayı bekleyin adımına geçin.
Etki alanını doğrulama
CNAME kaydınız hala varsa ve alt etki alanını afdverify içermiyorsa, DigiCert özel etki alanınızın sahipliğini otomatik olarak doğrular.
CNAME kaydınız aşağıdaki biçimde olmalıdır:
| Adı | Tür | Değer |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
CNAME kayıtları hakkında daha fazla bilgi için bkz. CNAME DNS kaydı oluşturma.
CNAME kaydınız doğruysa, DigiCert özel etki alanınızı otomatik olarak doğrular ve ayrılmış bir sertifika oluşturur. Sertifika bir yıl geçerlidir ve süresi dolmadan önce otomatik olarak yeniden oluşturulur. Yayılma için bekleme adımına ilerleyin.
Not
DNS sağlayıcınız ile bir Sertifika Yetkilisi Yetkilendirme (CAA) kaydınız varsa bunun geçerli CA olarak DigiCert‘i içermesi gerekir. Daha fazla bilgi için bkz . CAA kayıtlarını yönetme.
Önemli
8 Mayıs 2025 itibarıyla DigiCert artık WHOIS tabanlı etki alanı doğrulama yöntemini desteklememektedir.
Yayılma için bekleme
Etki alanı doğrulamasından sonra özel etki alanı HTTPS özelliğinin etkinleştirilmesi 6-8 saat kadar sürebilir. Tamamlandığında, Azure portalındaki özel HTTPS durumu Etkin olarak ayarlanır.
İşlem ilerleme durumu
Aşağıdaki tabloda HTTPS etkinleştirilirken işlemin ilerleme durumu gösterilmektedir:
| İşlem adımı | İşlem alt adımı ayrıntıları |
|---|---|
| 1. İstek gönderiliyor | İstek gönderiliyor |
| HTTPS isteğiniz gönderiliyor. | |
| HTTPS isteğiniz başarıyla gönderildi. | |
| 2. Etki alanı doğrulaması | CNAME varsayılan .azurefd.net ön eklemeli host'a eşlenirse, alan adı otomatik olarak doğrulanır. |
| Etki alanı sahipliğiniz başarıyla doğrulandı. | |
| Etki alanı sahipliği doğrulama isteğinin süresi doldu (müşteri büyük olasılıkla altı gün içinde yanıt vermedi). HTTPS, etki alanınızda etkinleştirilmemiş. * | |
| Etki alanı sahipliği doğrulama isteği müşteri tarafından reddedildi. HTTPS, etki alanınızda etkinleştirilmemiş. * | |
| 3. Sertifika sağlama | Sertifika yetkilisi, etki alanınızda HTTPS'yi etkinleştirmek için gereken sertifikayı yayınlar. |
| Sertifika verildi ve Front Door'unuz için dağıtım aşamasında. Bu işlem birkaç dakika ile bir saat arasında sürebilir. | |
| Sertifika Front Door hizmetiniz için başarıyla dağıtıldı. | |
| 4. Tamamlandı | HTTPS, etki alanınızda başarıyla etkinleştirildi. |
* Bu ileti yalnızca bir hata oluştuğunda görünür.
İstek gönderilmeden önce hata oluşursa, aşağıdaki hata iletisi görüntülenir:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Sık sorulan sorular
Sertifika sağlayıcısı kimdir ve ne tür bir sertifika kullanılır?
Özel etki alanınız için DigiCert tarafından sağlanan ayrılmış/tek bir sertifika kullanılır.
IP tabanlı veya SNI TLS/SSL kullanıyor musunuz?
Azure Front Door, SNI TLS/SSL kullanır.
DigiCert’ten etki alanı doğrulama e-postası almazsam ne olur?
Özel etki alanınız için doğrudan uç nokta ana bilgisayar adınızı gösteren bir CNAME girdiniz varsa ve afdverify alt etki alanı adını kullanmıyorsanız, etki alanı doğrulama e-postası almazsınız. Doğrulama otomatik olarak gerçekleşir. Aksi takdirde, CNAME girdiniz yoksa ve 24 saat içinde e-posta almadıysanız Microsoft desteğine başvurun.
Ayrılmış sertifika kullanmak, SAN sertifikasından daha mı güvenlidir?
SAN sertifikası, ayrılmış sertifika ile aynı şifreleme ve güvenlik standartlarını uygular. Verilen tüm TLS/SSL sertifikaları, gelişmiş sunucu güvenliği için SHA-256 kullanır.
DNS sağlayıcım ile Sertifika Yetkilisi Yetkilendirme kaydı kullanmam gerekir mi?
Hayır, sertifika yetkilisi yetkilendirme kaydı şu anda gerekli değildir. Ancak, varsa, geçerli CA olarak DigiCert’i içermelidir.
Kaynakları temizleme
Özel etki alanınızda HTTPS'yi devre dışı bırakmak için:
HTTPS özelliğini devre dışı bırakma
HTTPS'yi devre dışı bırakmak istediğiniz özel etki alanını seçin.
Devre Dışı'yı seçin ve Kaydet'i seçin.
Yayılma için bekleme
Özel etki alanı HTTPS özelliği devre dışı bırakıldıktan sonra etkin hale getirmesi 6-8 saat kadar sürebilir. Tamamlandığında, Azure portalındaki özel HTTPS durumu Devre Dışı olarak ayarlanır.
İşlem ilerleme durumu
Aşağıdaki tabloda HTTPS devre dışı bırakıldığında işlemin ilerleme durumu gösterilmektedir:
| İşlem ilerleme durumu | İşlem ayrıntıları |
|---|---|
| 1. İstek gönderiliyor | İsteğiniz gönderiliyor |
| 2. Sertifika devreden çıkarma | Sertifika siliniyor |
| 3. Tamamlandı | Sertifika silindi |