教學課程:使用自訂網域和受控憑證保護您的Azure App 服務應用程式

  • 發行項

應用程式 <app-name>.azurewebsites.net 隨附的預設功能變數名稱可能不會以您想要的方式代表您的品牌。 在本教學課程中,您會使用您擁有的 www 網域來設定App Service,例如 www.contoso.com ,並使用App Service受控憑證來保護自訂網域。

<app-name>.azurewebsites.net 名稱已經受到所有App Service應用程式的萬用字元憑證保護,但您的自訂網域必須使用個別憑證來保護 TLS。 最簡單的方法是使用來自 App Service 的受控憑證。 它是免費的且容易使用,並提供在 App Service 中保護自訂網域的基本功能。 如需詳細資訊,請參閱將 TLS 憑證新增至 App Service

案例必要條件

  • 建立 App Service 應用程式
  • 請確定您可以編輯自訂網域的 DNS 記錄。 若要編輯 DNS 記錄,您需要存取網域提供者 (例如 GoDaddy) 的 DNS 登錄。 例如,若要新增 的 www.contoso.com DNS 專案,您必須能夠設定根域的 contoso.com DNS 設定。 您的自訂網域必須位於公用 DNS 區域;只有內部負載平衡器 (ILB) App Service 環境 (ASE) 才支援私人 DNS 區域。
  • 如果尚無自訂網域,您可以購買App Service 網域

A. 相應增加您的應用程式

您必須將應用程式相應增加至 基本 層。 基本 層滿足自訂網域的最低定價層需求, (共用) 和憑證 (基本) 。

步驟 1: 在 Azure 入口網站中:

  1. 在頂端的搜尋列中輸入應用程式的名稱。
  2. 選取具名資源,其類型為App Service

此螢幕擷取畫面顯示如何使用頂端工具列中的搜尋方塊來開啟您App Service應用程式的管理頁面。

步驟 2: 在應用程式的管理頁面中:

  1. 在左側導覽中,選取 [相應增加 (App Service計畫)
  2. 選取 [基本 B1] 核取方塊。
  3. 選取 [選取] 。 當應用程式更新完成時,您會看到通知快顯通知。

顯示如何將App Service應用程式相應增加至基本 B1 層的螢幕擷取畫面。

如需應用程式調整的詳細資訊,請參閱相應增加應用程式Azure App 服務

B. 設定自訂網域

步驟 1: 在應用程式的管理頁面中:

  1. 在左側功能表中,選取 [自訂網域]。
  2. 選取 [新增自訂網域]。

顯示如何新增自訂網域的螢幕擷取畫面。

步驟 2: 在 [ 新增自訂網域 ] 對話方塊中:

  1. 針對 [網域提供者],選取 [所有其他網域服務]。
  2. 針對[TLS/SSL 憑證],選取[App Service受控憑證]。
  3. 針對 [網域],根據您擁有的網域指定您想要的完整功能變數名稱。 例如,如果您擁有 contoso.com ,您可以使用 www.contoso.com
  4. 還不要選取 [ 驗證 ]。

顯示如何設定新自訂網域以及受控憑證的螢幕擷取畫面。

針對App Service中的每個自訂網域,您需要兩個 DNS 記錄與您的網域提供者。 [ 網域驗證 ] 區段會顯示您必須與網域提供者一起新增的兩個 DNS 記錄。 選取個別的 [ 複製] 按鈕,以協助您下一個步驟。

C. 建立 DNS 記錄

登入網域提供者的網站。

  1. 尋找管理 DNS 記錄、 功能變數名稱DNS名稱伺服器管理 的頁面, (確切頁面與網域提供者) 不同。
  2. 選取 [新增 ] 或適當的小工具以建立 DNS 記錄。
  3. 根據 Azure 入口網站 (CNAME、A 或 TXT) 中的 [網域驗證] 區段,選取 DNS 記錄類型。
  4. 根據Azure 入口網站中 [網域驗證] 區段中的 [主機] 和 [] 資料行來設定 DNS 記錄。
  5. 請務必為自訂網域新增兩個不同的記錄。
  6. 對於某些提供者,在您選取個別的 [ 儲存變更] 連結之前,DNS 記錄的變更不會生效。 此螢幕擷取畫面顯示您的 DNS 記錄在您完成之後, www 子域應該看起來的樣子。

顯示網域提供者網站在新增 CNAME 記錄和 www 子域 TXT 記錄之後,應該看起來應該像的螢幕擷取畫面。

D. 驗證並完成

步驟 1: 回到Azure 入口網站的 [新增自訂網域] 對話方塊中,選取 [驗證]。

顯示如何在 [新增自訂網域] 對話方塊中驗證 DNS 記錄設定的螢幕擷取畫面。

步驟 2: 如果 [ 網域驗證 ] 區段顯示兩個網域記錄旁的綠色核取記號,則您已正確設定這些記錄。 選取 [新增]。 如果顯示任何紅色 X,請在網域提供者網站的 DNS 記錄設定中修正任何錯誤。

顯示驗證後啟用 [新增] 按鈕的螢幕擷取畫面。

步驟 3: 您應該會看到新增至清單的自訂網域。 您可能也會看到沒有 系結的紅色 X。 請稍候幾分鐘,App Service為您的自訂網域建立受控憑證。 當程式完成時,紅色 X 會變成綠色核取記號,並加上 安全核取記號。

顯示具有新安全自訂網域之自訂網域頁面的螢幕擷取畫面。

E. 在瀏覽器中測試

流覽至您稍早設定 (的 DNS 名稱,例如 www.contoso.com) 。 網址列現在應該會顯示您應用程式 URL 的安全性鎖定圖示,指出它受到 TLS 保護。

顯示使用自訂網域和 TLS 安全性流覽至App Service應用程式的螢幕擷取畫面。

如果您在流覽至自訂網域的 URL 時收到 HTTP 404 (找不到) 錯誤,瀏覽器用戶端可能會快取自訂網域的舊 IP 位址。 清除快取,然後再次嘗試流覽至 URL。 在 Windows 電腦上,您可以使用 ipconfig /flushdns 清除快取。

常見問題集

如果我還沒有自訂網域,該怎麼辦?

只要您未刪除它,該 <app-name>.azurewebsites.net 名稱一律會指派給您的應用程式。 如果您想要,您可以購買App Service網域。 App Service網域是由 Azure 管理,並與App Service整合,讓您更輕鬆地與應用程式一起管理。

此受控憑證是否過期?

只要已針對App Service應用程式中的自訂網域進行設定,App Service受控憑證就不會過期。

我可以使用應用程式的App Service受控憑證做什麼?

受控憑證是針對保護您應用程式已設定自訂網域的唯一用途,免費提供。 其中包含 一些限制。 若要執行更多動作,例如下載憑證,或在應用程式程式碼中使用憑證,您可以上傳自己的憑證、購買App Service憑證,或匯入金鑰保存庫憑證。 如需詳細資訊,請參閱 將私人憑證新增至您的應用程式

如何?使用我已經必須保護自訂網域的憑證嗎?

請參閱將私人憑證新增至您的應用程式,並在Azure App 服務 中使用 TLS/SSL 系結來保護自訂 DNS 名稱

後續步驟