共用方式為


教學課程:使用自定義網域和受控憑證來保護您的應用程式

應用程式隨附的預設網域名稱可能不能以您期望的方式展現您的品牌。 在本教學課程中,您會使用您擁有的 www 網域來設定App Service,例如 www.contoso.com,並使用App Service 受控憑證保護自定義網域。

所有 App Service 應用程式的通配符憑證已保護預設名稱,但您的自定義網域必須以個別憑證保護 TLS。 最簡單的方式是從 App Service 使用受控憑證。 它是免費的且易於使用,並提供在 App Service 中保護自定義網域的基本功能。 如需詳細資訊,請參閱 在 Azure App Service 中新增和管理 TLS/SSL 憑證

先決條件

  • 使用 Azure App Service 建立應用程式。
  • 請確定您可以編輯自訂網域的 DNS 記錄。 若要編輯 DNS 記錄,您需要存取網域提供者 (例如 GoDaddy) 的 DNS 登錄。 例如,若要將 DNS 項目新增至 www.contoso.com,您必須能夠設定 contoso.com 根域的 DNS 設定。 您的自定義網域必須位於公用 DNS 區域中;只有內部負載平衡器 (ILB) App Service Environment (ASE) 才支援私人 DNS 區域。
  • 如果您還沒有自定義網域,您可以 購買 App Service 網域

相應增加您的應用程式

您需要將應用程式升級至 基本 層。 基本 層滿足自定義網域(共用)和憑證的最低定價層需求(基本)。

步驟 1:Azure 入口網站中:

  1. 在頂端的搜尋列中輸入應用程式的名稱。
  2. 選取具名資源,其類型為 App Service

步驟 2: 在應用程式的管理頁面中:

  1. 在側邊欄功能表中的 [設定] 下,選取 [擴展 (App Service 方案)]。
  2. 勾選 基本 B1 的複選框。
  3. 選擇 [] 選取 []。 當應用程式更新完成時,您會看到通知。

如需應用程式擴展的詳細資訊,請參閱 在 Azure App Service 中擴展應用程式

設定自訂網域

步驟 1: 在應用程式的管理頁面中:

  1. 在提要欄位功能表中的 [ 設定 ] 下,選取 [自定義網域]。
  2. 選取 [+ 新增自訂網域]

步驟 2: 在 [ 新增自訂網域 ] 對話框中:

  1. 針對 [網域提供者],選取 [所有其他網域服務]。
  2. 針對 [TLS/SSL 憑證],選取 [App Service 受控憑證]。
  3. 針對 [網域],根據您擁有的網域指定您想要的完整網域名稱。 例如,如果您擁有 contoso.com,您可以使用 www.contoso.com
  4. 還不要選取 [驗證]

針對 App Service 中的每個自訂網域,您必須向網域提供者註冊兩個 DNS 記錄。 [ 網域驗證] 區段會顯示這兩個 DNS 記錄。 選取個別的 [ 複製] 按鈕,以協助您進行下一個步驟。

建立 DNS 記錄

登入網域提供者的網站。

  1. 尋找管理 DNS 記錄、 功能變數名稱DNS名稱伺服器管理 的頁面(確切頁面與網域提供者不同)。
  2. 選取 [新增 ] 或適當的小工具以建立 DNS 記錄。
  3. 根據 Azure 入口網站中的 [ 網域驗證 ] 區段選取 DNS 記錄類型(CNAME、A 或 TXT)。
  4. 根據 Azure 入口網站中 [網域驗證] 區段的 [主機] 和 [] 資料行來設定 DNS 記錄。
  5. 請務必為您的自定義網域新增兩個不同的記錄。
  6. 對於特定提供者,在您選取個別的 [ 儲存變更 ] 連結之前,DNS 記錄的變更才會生效。 螢幕擷圖顯示了您完成後,子域 www 的 DNS 記錄應該呈現的樣子。

驗證並完成

步驟 1: 回到 Azure 入口網站中的 [ 新增自定義網域 ] 對話框,選取 [ 驗證]。

步驟 2: 如果 [ 網域驗證 ] 區段在兩個網域記錄的旁邊顯示綠色複選標記,則您已正確設定這些記錄。 選取 ,然後新增。 如果它顯示任何紅色 X,請修正網域提供者網站中 DNS 記錄設定中的任何錯誤。

步驟 3: 您應該會看到新增至清單的自訂網域。 您也可能會看到紅色 X,表示沒有繫結。 請等候幾分鐘,App Service 為您的自定義網域建立受控憑證。 當過程完成時,紅色 X 會變成綠色勾選標記,並顯示安全保護

在瀏覽器中測試

流覽至您稍早設定的 DNS 名稱(例如 www.contoso.com)。 網址列現在應該會顯示您應用程式 URL 的安全性鎖定圖示,指出其受到 TLS 保護。

顯示使用自定義網域和TLS安全性流覽至App Service 應用程式的螢幕快照。

如果您在流覽至自定義網域的 URL 時收到 HTTP 404(找不到)錯誤,瀏覽器用戶端可能會快取自定義網域的舊 IP 位址。 清除快取,然後再次嘗試流覽至URL。 在 Windows 電腦上,您可以在終端機或 [執行] 對話框中使用 ipconfig /flushdns 來清除快取。

常見問題

如果我還沒有自定義網域,該怎麼辦?

<app-name>.azurewebsites.net只要您不刪除它,名稱一律會指派給您的應用程式。 如果您想要,您可以 購買 App Service 網域。 App Service 網域是由 Azure 管理,並與 App Service 整合,可讓您更輕鬆地與應用程式一起管理。

此自動管理憑證是否到期?

只要針對 App Service 應用程式中的自定義網域進行設定,App Service 受控憑證就不會過期。

在我的應用程式中,我還能使用 App Service 管理的憑證做什麼?

受控憑證是針對保護您應用程式所設定自定義網域的唯一用途,免費提供。 它有許多 限制。 若要執行更多動作,例如下載憑證,或在應用程式程式代碼中使用,您可以上傳自己的憑證、購買 App Service 憑證或匯入 Key Vault 憑證。 如需詳細資訊,請參閱 將私人憑證新增至您的應用程式

如何使用我已經有的憑證來保障我的自訂網域的安全?

請參閱 將私人憑證新增至您的應用程式 ,並使用 Azure App Service 中的 TLS/SSL 系結保護自定義 DNS 名稱