教學課程: 使用自訂網域和受控憑證保護您的 Azure App Service 應用程式
應用程式隨附的預設網域名稱 <app-name>.azurewebsites.net
不一定會以您想要的方式來表示您的品牌。 在本教學課程中,您會使用自有的 www
網域 (例如 www.contoso.com
) 設定 App Service,並使用 App Service 受控憑證保護自訂網域。
<app-name>.azurewebsites.net
名稱已透過適用於所有 App Service 應用程式的萬用字元憑證進行保護,但您的自訂網域必須使用不同的憑證提供 TLS 保護。 最簡單的方式是使用來自 App Service 的受控憑證。 這不僅免費且易於使用,還提供在 App Service 中保護自訂網域的基本功能。 如需詳細資訊,請參閱將 TLS 憑證新增至 App Service。
案例必要條件
- 建立 App Service 應用程式。
- 請確定您可以編輯自訂網域的 DNS 記錄。 若要編輯 DNS 記錄,您需要存取網域提供者 (例如 GoDaddy) 的 DNS 登錄。 例如,若要為
www.contoso.com
新增 DNS 項目,您必須能夠為contoso.com
根網域設定 DNS 設定。 您的自訂網域必須位於公用 DNS 區域;只有內部負載平衡器 (ILB) App Service 環境 (ASE) 才支援私人 DNS 區域。 - 如果尚無自訂網域,您可以購買App Service 網域。
A. 相應增加您的應用程式
您必須將應用程式擴大到基本層。 基本層滿足自訂網域 (共用) 和憑證 (基本) 的最低定價層需求。
步驟 1: 在 Azure 入口網站中:
- 在頂端搜尋列中輸入您應用程式的名稱。
- 選取 [App Service] 類型的具名資源。
步驟 2: 在您應用程式的管理頁面中:
- 在左側導覽中,選取 [擴大 (App Service 方案)]。
- 選取 [基本 B1] 核取方塊。
- 選取選取。 當應用程式更新完成時,您會看到快顯通知。
如需應用程式調整的詳細資訊,請參閱在 Azure App Service 中擴大應用程式。
B. 設定自訂網域
步驟 1: 在您應用程式的管理頁面中:
- 在左側功能表中,選取 [自訂網域]。
- 選取 [新增自訂網域]。
步驟 2: 在 [新增自訂網域] 對話方塊中:
- 針對 [網域提供者],選取 [所有其他網域服務]。
- 針對 [TLS/SSL 憑證],選取 [App Service 受控憑證]。
- 針對 [網域],根據您擁有的網域指定您所需的完整網域名稱。 例如,如果您擁有
contoso.com
,則可以使用 www.contoso.com。 - 還不要選取 [驗證]。
針對 App Service 中的每個自訂網域,您需要向網域提供者取得兩個 DNS 記錄。 [網域驗證] 區段會顯示您必須向網域提供者新增的兩個 DNS 記錄。 選取個別的 [複製] 按鈕,以協助您進行下一個步驟。
C. 建立 DNS 記錄
登入網域提供者的網站。
- 尋找管理 DNS 記錄的頁面: [網域名稱]、[DNS] 或 [名稱伺服器管理] (確切頁面會因網域提供者而異)。
- 選取 [新增] 或適當的小工具以建立 DNS 記錄。
- 根據 Azure 入口網站中的 [網域驗證] 區段來選取 DNS 記錄類型 ([CNAME]、[A] 或 [TXT])。
- 根據 Azure 入口網站中 [網域驗證] 區段的 [主機] 和 [值] 資料行來設定 DNS 記錄。
- 請務必為您的自訂網域新增兩個不同的記錄。
- 對於某些提供者,您必須選取另外的 [儲存變更] 連結,才會讓 DNS 記錄的變更生效。
此螢幕擷取畫面顯示
www
子網域的 DNS 記錄在完成後應有的外觀。
D. 驗證及完成
步驟 1: 回到 Azure 入口網站中的 [新增自訂網域] 對話方塊,選取 [驗證]。
步驟 2: 如果 [網域驗證] 區段在兩個網域記錄旁顯示綠色核取記號,則您已正確設定。 選取 [新增]。 如果顯示任何紅色 X,請修正您網域提供者網站中 DNS 記錄設定的任何錯誤。
步驟 3: 您應該會看到新增至清單的自訂網域。 您也可能會看到紅色 X,但標示著沒有繫結。 請稍候幾分鐘,讓 App Service 為您的自訂網域建立受控憑證。 當程序完成時,紅色 X 會變成綠色核取記號,並標有 [安全]。
E. 在瀏覽器中測試
瀏覽至您稍早設定的 DNS 名稱 (例如 www.contoso.com
)。 網址列現在應該會顯示您應用程式 URL 的安全性鎖定圖示,指出其受到 TLS 保護。
如果您在瀏覽至自訂網域的 URL 時收到 HTTP 404 (找不到) 錯誤,瀏覽器用戶端可能快取了您自訂網域的舊 IP 位址。 請清除快取,然後重試瀏覽至該 URL。 在 Windows 電腦上,您可以使用 ipconfig /flushdns
清除快取。
常見問題集
如果我還沒有自訂網域,該怎麼辦?
您的應用程式一律會獲指派 <app-name>.azurewebsites.net
名稱 (只要未刪除該名稱)。 如果您想要,可以購買 App Service 網域。 App Service 網域是由 Azure 管理,並與 App Service 整合,可讓您更輕鬆地與應用程式一起管理。
此受控憑證是否會過期?
只要 App Service 應用程式中的自訂網域有此設定,App Service 受控憑證就不會過期。
我還可以使用 App Service 受控憑證對應用程式進行哪些作業?
此受控憑證會免費提供,僅限用於保護您應用程式設定的自訂網域。 其隨附一些限制。 若要執行更多作業 (例如下載憑證或在您的應用程式程式碼中使用),您可以上傳自己的憑證、購買 App Service 憑證或匯入 Key Vault 憑證。 如需詳細資訊,請參閱將私人憑證新增至您的應用程式。
如何使用我已有的憑證來保護自訂網域?
請參閱將私人憑證新增至您的應用程式和在 Azure App Service 中使用 TLS/SSL 繫結保護自訂 DNS 名稱。