教學課程:使用自定義網域和受控憑證來保護您的應用程式

這很重要

自 2025 年 7 月 28 日起,App Service Managed Certificates(ASMC)的變更影響了某些情境下憑證的發行與續期方式。 雖然大多數客戶不需要採取行動,但我們建議您檢閱我們的 ASMC 詳細部落格文章 以取得更多資訊。

應用程式隨附的預設網域名稱可能不能以您期望的方式展現您的品牌。 在本教學課程中,您會使用您擁有的 www 網域來設定App Service,例如 www.contoso.com,並使用App Service 受控憑證保護自定義網域。

所有 App Service 應用程式的通配符憑證已保護預設名稱,但您的自定義網域必須以個別憑證保護 TLS。 最簡單的方式是從 App Service 使用受控憑證。 它是免費的且易於使用,並提供在 App Service 中保護自定義網域的基本功能。 欲了解更多資訊,請參閱 在 Azure App Service 中新增並管理 TLS/SSL 憑證。

先決條件

  • Azure App Service 建立一個應用程式。
  • 請確定您可以編輯自訂網域的 DNS 記錄。 若要編輯 DNS 記錄,您需要存取網域提供者 (例如 GoDaddy) 的 DNS 登錄。 例如,若要將 DNS 項目新增至 www.contoso.com,您必須能夠設定 contoso.com 根域的 DNS 設定。 你的自訂網域必須位於公共 DNS 區域;私有 DNS 區域僅支援於 Internal Load Balancer (ILB) App Service Environment (ASE) 上。
  • 如果您還沒有自定義網域,您可以 購買 App Service 網域

擴大您的應用程式

您需要將應用程式升級至 基本 層。 基本 層滿足自定義網域(共用)和憑證的最低定價層需求(基本)。

步驟1:Azure入口

  1. 在頂端的搜尋列中輸入應用程式的名稱。
  2. 選取具名資源,其類型為 App Service

螢幕快照,顯示如何使用頂端工具列中的搜尋方塊來開啟App Service 應用程式的管理頁面。

步驟 2: 在應用程式的管理頁面中:

  1. 在側邊欄功能表中的 [設定] 下,選取 [擴展 (App Service 方案)]。
  2. 選取 [基本 B1] 核取方塊。
  3. 選擇 [] 選取 []。 當應用程式更新完成時,您會看到通知。

顯示如何將 App Service 應用程式升級到 Basic B1 層級的螢幕截圖。

欲了解更多應用程式縮放資訊,請參閱 Scale up a app in Azure App Service

設定自訂網域

步驟 1: 在應用程式的管理頁面中:

  1. 在提要欄位功能表中的 [ 設定 ] 下,選取 [自定義網域]。
  2. 選取 [+ 新增自訂網域]

顯示如何新增自定義網域的螢幕快照。

步驟 2: 在 [ 新增自訂網域 ] 對話框中:

  1. 針對 [網域提供者],選取 [所有其他網域服務]。
  2. 針對 [TLS/SSL 憑證],選取 [App Service 受控憑證]。
  3. 針對 [網域],根據您擁有的網域指定您想要的完整網域名稱。 例如,如果您擁有 contoso.com,您可以使用 www.contoso.com
  4. 還不要選取 [驗證]

顯示如何設定新自定義網域以及受控憑證的螢幕快照。

針對 App Service 中的每個自訂網域,您必須向網域提供者註冊兩個 DNS 記錄。 [ 網域驗證] 區段會顯示這兩個 DNS 記錄。 選取個別的 [ 複製] 按鈕,以協助您進行下一個步驟。

建立 DNS 記錄

登入網域提供者的網站。

  1. 尋找管理 DNS 記錄、 功能變數名稱DNS名稱伺服器管理 的頁面(確切頁面與網域提供者不同)。
  2. 選取 [新增 ] 或適當的小工具以建立 DNS 記錄。
  3. 請根據Azure入口網站中的Domain validation區段選擇DNS紀錄類型(CNAME、A 或 TXT)。
  4. 根據Azure入口網站中Domain validation欄位中的HostValue欄位來設定DNS記錄。
  5. 請務必為您的自定義網域新增兩個不同的記錄。
  6. 對於特定提供者,在您選取個別的 [ 儲存變更 ] 連結之前,DNS 記錄的變更才會生效。 螢幕擷圖顯示了您完成後,子域 www 的 DNS 記錄應該呈現的樣子。

螢幕快照顯示網域提供者網站在您新增 CNAME 記錄和 www 子域的 TXT 記錄之後,應該看起來的樣子。

驗證並完成

步驟 1: 回到Azure入口網站的 Add custom domain對話框,選擇 Validate

顯示如何在 [新增自定義網域] 對話框中驗證 DNS 記錄設定的螢幕快照。

步驟 2: 如果 [ 網域驗證 ] 區段在兩個網域記錄的旁邊顯示綠色複選標記,則您已正確設定這些記錄。 選取 ,然後新增。 如果它顯示任何紅色 X,請修正網域提供者網站中 DNS 記錄設定中的任何錯誤。

顯示驗證後啟動 [新增] 按鈕的螢幕快照。

步驟 3: 您應該會看到新增至清單的自訂網域。 您也可能會看到紅色 X,表示沒有繫結。 請等候幾分鐘,App Service 為您的自定義網域建立受控憑證。 當過程完成時,紅色 X 會變成綠色勾選標記,並顯示安全保護

顯示具有新安全自定義網域之自定義網域頁面的螢幕快照。

在瀏覽器中測試

流覽至您稍早設定的 DNS 名稱(例如 www.contoso.com)。 網址列現在應該會顯示您應用程式 URL 的安全性鎖定圖示,指出其受到 TLS 保護。

顯示使用自定義網域和TLS安全性流覽至App Service 應用程式的螢幕快照。

如果您在流覽至自定義網域的 URL 時收到 HTTP 404(找不到)錯誤,瀏覽器用戶端可能會快取自定義網域的舊 IP 位址。 清除快取,然後再次嘗試流覽至URL。 在Windows機器上,你可以在終端機或執行對話框中使用 ipconfig /flushdns 來清除快取。

常見問題

如果我還沒有自定義網域,該怎麼辦?

您的應用程式一律會獲指派 <app-name>.azurewebsites.net 名稱 (只要未刪除該名稱)。 如果您想要,您可以 購買 App Service 網域。 App Service 網域由 Azure 管理,並與 App Service 整合,讓與應用程式一起管理更為方便。

此受控憑證是否會過期?

只要針對 App Service 應用程式中的自定義網域進行設定,App Service 受控憑證就不會過期。

在我的應用程式中,我還能使用 App Service 管理的憑證做什麼?

受控憑證是針對保護您應用程式所設定自定義網域的唯一用途,免費提供。 它有許多 限制。 若想做更多操作,例如下載憑證或在申請碼中使用,你可以上傳自己的憑證、購買 App Service 憑證,或匯入 Key Vault 憑證。 如需詳細資訊,請參閱 將私人憑證新增至您的應用程式

如何使用我已經有的憑證來保障我的自訂網域的安全?

請參考 在你的應用程式新增私人憑證,並在 Azure App Service 中用 TLS/SSL 綁定自訂 DNS 名稱來保護。

相關內容

  • Last updated on