你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:在 Azure CDN 自定义域中配置 HTTPS
重要
Microsoft Azure CDN Standard(经典版)将于 2027 年 9 月 30 日停用。 为了避免任何服务中断,请务必在 2027 年 9 月 30 日之前将 Microsoft Azure CDN Standard(经典版)配置文件迁移到 Azure Front Door Standard 层或 Premium 层。 有关详细信息,请参阅 Microsoft Azure CDN Standard(经典版)停用。
Edgio 的 Azure CDN 将于 2025 年 11 月 4 日停用。 为了避免服务中断,必须在此日期之前将工作负载迁移到 Azure Front Door。 有关详细信息,请参阅 Edgio Azure CDN 停用常见问题解答。
本教程演示如何为与 Azure CDN 终结点关联的自定义域启用 HTTPS 协议。
自定义域上的 HTTPS 协议(例如 https://www.contoso.com
)可确保敏感数据通过 TLS/SSL 安全地进行分发。 当 Web 浏览器通过 HTTPS 连接时,浏览器将验证网站的证书。 浏览器会验证它是否由合法的证书颁发机构颁发。 此过程提供安全性并保护 Web 应用程序免受攻击。
默认情况下,Azure CDN 支持对 CDN 终结点主机名使用 HTTPS。 例如,如果创建 CDN 终结点(如 https://contoso.azureedge.net
),则会自动启用 HTTPS。
自定义 HTTPS 功能的一些关键属性包括:
无额外费用:可免费获取或续订证书,对 HTTPS 流量也不额外收费。 只需为从 CDN 出口的 GB 数付费。
简单启用:可从 Azure 门户进行一键式预配。 还可以使用 REST API 或其他开发人员工具启用该功能。
提供完整的证书管理:
- 为你处理所有证书获取和管理。
- 在证书过期之前自动预配并续订证书。
在本教程中,你将了解如何执行以下操作:
- 在自定义域上启用 HTTPS 协议。
- 使用 CDN 托管的证书
- 使用自己的证书
- 验证域
- 在自定义域上禁用 HTTPS 协议。
备注
建议使用 Azure Az PowerShell 模块与 Azure 交互。 若要开始,请参阅安装 Azure PowerShell。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az。
在完成本教程中的步骤之前,先创建 CDN 配置文件和至少一个 CDN 终结点。 有关详细信息,请参阅快速入门:创建 Azure CDN 配置文件和终结点。
在 CDN 终结点上关联 Azure CDN 自定义域。 有关详细信息,请参阅教程:将自定义域添加到 Azure CDN 终结点。
重要
CDN 托管的证书不可用于根域或顶点域。 如果 Azure CDN 自定义域是根域或顶点域,则必须使用“自带证书”功能。
若要在 Azure CDN 自定义域上启用 HTTPS,请使用 TLS/SSL 证书。 可选择是使用 Azure CDN 托管的证书还是自己的证书。
Azure CDN 可处理证书管理任务,例如获取和续订操作。 启用此功能后,进程将立即启动。
如果自定义域已映射到 CDN 终结点,则无需进一步操作。 Azure CDN 将会自动执行步骤并完成请求。
如果自定义域映射到其他位置,请使用电子邮件来验证域所有权。
若要在自定义域上启用 HTTPS,请执行以下步骤:
如果你有一个自定义域正在使用中,且它已映射到具有 CNAME 记录的自定义终结点,或者你使用的是自己的证书,请转到映射到内容分发网络终结点的自定义域。
如果终结点的 CNAME 记录条目不复存在,或者它包含 cdnverify 子域,请转到未映射到 CDN 终结点的自定义域。
将自定义域添加到终结点时,你在 DNS 域注册器中创建了一个映射到 CDN 终结点主机名的 CNAME 记录。
如果该 CNAME 记录仍然存在,并且不包含 cdnverify 子域,则 DigiCert CA 将使用它来自动验证自定义域的所有权。
如果使用的是自己的证书,则无需验证域。
CNAME 记录应采用以下格式:
- “名称”是指你的自定义域名。
- “值”是你的内容分发网络终结点主机名。
名称 | 类型 | 值 |
---|---|---|
<[www.contoso.com](www.contoso.com)> | CNAME | contoso.azureedge.net |
有关 CNAME 记录的详细信息,请参阅创建 CNAME DNS 记录。
如果 CNAME 记录采用正确的格式,DigiCert 会自动验证自定义域名,并为域创建证书。 DigitCert 不会向你发送验证电子邮件,并且你无需批准请求。 该证书会在一年内有效,并会在过期前自动续订。 转到等待传播。
自动验证通常需要几个小时。 如果在 24 小时内未看到域完成验证,请创建一个支持票证。
备注
如果通过 DNS 提供商获得证书颁发机构授权 (CAA) 记录,则必须包含用于授权的相应 CA。 DigiCert 是 Microsoft 和 Edgio 配置文件的 CA。 有关管理 CAA 记录的信息,请参阅管理 CAA 记录。 有关 CAA 记录工具,请参阅 CAA 记录帮助器。
如果 CNAME 记录条目包含 cdnverify 子域,请按照此步骤中的其余说明进行操作。
DigiCert 会向以下电子邮件地址发送验证电子邮件。 请验证是否可直接从以下地址之一进行审批:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
你会在几分钟内收到一封电子邮件,要求你批准请求。 如果正在使用垃圾邮件筛选器,请将 verification@digicert.com 添加到其允许列表。 如果未在 24 小时内收到电子邮件,请与 Microsoft 支持部门联系。
选择批准链接时,会转到以下在线批准表:
按表中的说明操作;有两种验证选项:
可批准通过同一根域(例如 consoto.com)的同一帐户下的所有将来订单。 如果你打算为同一根域添加其他自定义域,建议使用此方法。
可以只批准该请求中使用的特定主机名。 需要对后续请求另外进行审批。
批准后,DigiCert 会针对自定义域名完成证书创建。 该证书的有效期为一年。 如果在验证后添加或更新你的自定义域的 CNAME 记录以映射到你的终结点主机名,则它在过期前将自动续订。
备注
托管证书自动续订要求自定义域通过 CNAME 记录直接映射到 CDN 终结点。
验证域名后,将需要长达 6-8 小时才能使自定义域 HTTPS 功能激活。 当进程完成时,Azure 门户中的自定义 HTTPS 状态将更改为“已启用”。 “自定义域”对话框中的 4 个操作步骤将标记为“已完成”。 自定义域现可使用 HTTPS。
下表显示启用 HTTPS 时出现的操作进度。 启用 HTTPS 后,自定义域对话框中将出现四个操作步骤。 当每个步骤变为活动状态时,其下将随之显示其他子步骤详细信息。 并非所有这些子步骤都会执行。 步骤成功完成后,它旁边会显示一个绿色的复选标记。
操作步骤 | 操作子步骤详细信息 |
---|---|
1 提交请求 | 提交请求 |
正在提交 HTTPS 请求。 | |
已成功提交 HTTPS 请求。 | |
2 域验证 | 如果域是映射到 CDN 终结点的 CNAME,则会自动验证域。 否则,将会向域的注册记录中列出的电子邮件(WHOIS 注册者)发送验证请求。 |
已成功验证域所有权。 | |
域所有权验证请求已过期(很可能是客户在 6 天内未响应)。 将不会在域中启用 HTTPS。 * | |
客户已拒绝域所有权验证请求。 将不会在域中启用 HTTPS。 * | |
3 证书预配 | 证书颁发机构当前正在颁发在你的域中启用 HTTPS 所需的证书。 |
证书已颁发,当前正将证书部署到 CDN 网络。 最多可能需要 6 小时才能完成此操作。 | |
已成功将证书部署到 CDN 网络。 | |
4 完成 | 已成功在域中启用 HTTPS。 |
* 除非出现错误,否则不会显示此消息。
如果提交请求之前出现错误,则会显示以下错误消息:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
本部分介绍了如何为自定义域禁用 HTTPS。
在 Azure 门户中,搜索并选择“CDN 配置文件”。
选择 Microsoft 提供的标准 Azure CDN、Edgio 提供的标准 Azure CDN 或 Edgio 提供的高级 Azure CDN 配置文件。
在终结点的列表中,选取包含自定义域的终结点。
选择要禁用 HTTPS 的自定义域。
选择“禁用” 以禁用 HTTPS,然后选择“应用” 。
禁用自定义域 HTTPS 功能后,最多可能需要 6-8 小时才会生效。 当进程完成时,Azure 门户中的自定义 HTTPS 状态将更改为“已禁用”。 自定义域不再能够使用 HTTPS。
谁是证书提供者?使用哪种类型的证书?
Digicert 提供的专用证书用于自定义域:
- Edgio 的 Azure 内容分发网络
- Microsoft 的 Azure 内容分发网络
你使用基于 IP 的 TLS/SSL 还是服务器名称指示 (SNI) TLS/SSL?
Edgio 提供的 Azure CDN 和 Microsoft 提供的标准 Azure CDN 都使用 SNI TLS/SSL。
如果我未收到 DigiCert 发来的域验证电子邮件,怎么办?
如果你未在使用 cdnverify 子域,并且 CNAME 条目指向终结点主机名,那么你将不会收到域验证电子邮件。
验证会自动进行。 否则,如果你没有 CNAME 条目,并且在 24 小时内未收到电子邮件,请联系 Microsoft 支持部门。
使用 SAN 证书是否没有使用专用证书安全?
SAN 证书遵循与专用证书相同的加密和安全标准。 所有颁发的 TLS/SSL 证书都使用 SHA-256 来增强服务器安全性。
我是否需要通过我的 DNS 提供商获得证书颁发机构授权记录?
当前无需具备证书颁发机构授权记录。 但是,如果你确实有一个,则必须包含 DigiCert 作为一个有效的 CA。
从 2018 年 6 月 20 日开始,Edgio 提供的 Azure CDN 默认使用专用证书和 SNI TLS/SSL。 使用“使用者可选名称”(SAN) 证书和基于 IP 的 TLS/SSL 的现有自定义域会发生什么情况?
如果 Microsoft 经分析出只有 SNI 客户端请求才会发送到你的应用程序,则现有域会在未来几个月逐渐迁移到单个证书。
如果检测到非 SNI 客户端,则域将保留在具有基于 IP 的 TLS/SSL 的 SAN 证书中。 对非 SNI 的服务或客户端的请求不受影响。
证书续订如何处理自带证书?
若要确保将较新的证书部署到 POP 基础结构,请将新证书上传到 Azure Key Vault。 在 Azure 内容分发网络上的 TLS 设置中,选择最新的证书版本并选择“保存”。 然后,Azure 内容分发网络将传播新的已更新证书。
重要
- 自 2024 年 6 月 20 日起,Edgio 的 Azure CDN 标准版和高级版将不再支持“使用我自己的证书”功能。 此功能将于 2025 年初重新引入。
- 使用此功能时需要对自定义域执行哪些操作? 已在 Edgio 平台上部署的 BYOC 证书将一直有效,直到其到期日期为止。 无需对 2025 年到期的证书采取任何操作。 对于需要更新或今年即将到期的证书,建议改用“CDN 托管”。 如果需要更多帮助,请提交支持请求,以便与支持工程师合作。
在本教程中,你了解了如何执行以下操作:
- 在自定义域上启用 HTTPS 协议。
- 使用 CDN 托管的证书
- 使用自己的证书
- 验证域。
- 在自定义域上禁用 HTTPS 协议。
继续学习下一教程,了解如何在 CDN 终结点上配置缓存。