教學課程:使用自訂網域和受控憑證保護您的Azure App 服務應用程式
應用程式 <app-name>.azurewebsites.net
隨附的預設功能變數名稱可能不會以您想要的方式代表您的品牌。 在本教學課程中,您會使用您擁有的 www
網域來設定App Service,例如 www.contoso.com
,並使用App Service受控憑證來保護自訂網域。
此 <app-name>.azurewebsites.net
名稱已經受到所有App Service應用程式的萬用字元憑證保護,但您的自訂網域必須使用個別憑證來保護 TLS。 最簡單的方法是使用來自 App Service 的受控憑證。 它是免費的且容易使用,並提供在 App Service 中保護自訂網域的基本功能。 如需詳細資訊,請參閱將 TLS 憑證新增至 App Service。
案例必要條件
- 建立 App Service 應用程式。
- 請確定您可以編輯自訂網域的 DNS 記錄。 若要編輯 DNS 記錄,您需要存取網域提供者 (例如 GoDaddy) 的 DNS 登錄。 例如,若要新增 的
www.contoso.com
DNS 專案,您必須能夠設定根域的contoso.com
DNS 設定。 您的自訂網域必須位於公用 DNS 區域;只有內部負載平衡器 (ILB) App Service 環境 (ASE) 才支援私人 DNS 區域。 - 如果尚無自訂網域,您可以購買App Service 網域。
A. 相應增加您的應用程式
您必須將應用程式相應增加至 基本 層。 基本 層滿足自訂網域的最低定價層需求, (共用) 和憑證 (基本) 。
步驟 1: 在 Azure 入口網站中:
- 在頂端的搜尋列中輸入應用程式的名稱。
- 選取具名資源,其類型為App Service。
步驟 2: 在應用程式的管理頁面中:
- 在左側導覽中,選取 [相應增加 (App Service計畫) 。
- 選取 [基本 B1] 核取方塊。
- 選取 [選取] 。 當應用程式更新完成時,您會看到通知快顯通知。
如需應用程式調整的詳細資訊,請參閱相應增加應用程式Azure App 服務。
B. 設定自訂網域
步驟 1: 在應用程式的管理頁面中:
- 在左側功能表中,選取 [自訂網域]。
- 選取 [新增自訂網域]。
步驟 2: 在 [ 新增自訂網域 ] 對話方塊中:
- 針對 [網域提供者],選取 [所有其他網域服務]。
- 針對[TLS/SSL 憑證],選取[App Service受控憑證]。
- 針對 [網域],根據您擁有的網域指定您想要的完整功能變數名稱。 例如,如果您擁有
contoso.com
,您可以使用 www.contoso.com。 - 還不要選取 [ 驗證 ]。
針對App Service中的每個自訂網域,您需要兩個 DNS 記錄與您的網域提供者。 [ 網域驗證 ] 區段會顯示您必須與網域提供者一起新增的兩個 DNS 記錄。 選取個別的 [ 複製] 按鈕,以協助您下一個步驟。
C. 建立 DNS 記錄
登入網域提供者的網站。
- 尋找管理 DNS 記錄、 功能變數名稱、 DNS或 名稱伺服器管理 的頁面, (確切頁面與網域提供者) 不同。
- 選取 [新增 ] 或適當的小工具以建立 DNS 記錄。
- 根據 Azure 入口網站 (CNAME、A 或 TXT) 中的 [網域驗證] 區段,選取 DNS 記錄類型。
- 根據Azure 入口網站中 [網域驗證] 區段中的 [主機] 和 [值] 資料行來設定 DNS 記錄。
- 請務必為自訂網域新增兩個不同的記錄。
- 對於某些提供者,在您選取個別的 [ 儲存變更] 連結之前,DNS 記錄的變更不會生效。
此螢幕擷取畫面顯示您的 DNS 記錄在您完成之後,
www
子域應該看起來的樣子。
D. 驗證並完成
步驟 1: 回到Azure 入口網站的 [新增自訂網域] 對話方塊中,選取 [驗證]。
步驟 2: 如果 [ 網域驗證 ] 區段顯示兩個網域記錄旁的綠色核取記號,則您已正確設定這些記錄。 選取 [新增]。 如果顯示任何紅色 X,請在網域提供者網站的 DNS 記錄設定中修正任何錯誤。
步驟 3: 您應該會看到新增至清單的自訂網域。 您可能也會看到沒有 系結的紅色 X。 請稍候幾分鐘,App Service為您的自訂網域建立受控憑證。 當程式完成時,紅色 X 會變成綠色核取記號,並加上 安全核取記號。
E. 在瀏覽器中測試
流覽至您稍早設定 (的 DNS 名稱,例如 www.contoso.com
) 。 網址列現在應該會顯示您應用程式 URL 的安全性鎖定圖示,指出它受到 TLS 保護。
如果您在流覽至自訂網域的 URL 時收到 HTTP 404 (找不到) 錯誤,瀏覽器用戶端可能會快取自訂網域的舊 IP 位址。 清除快取,然後再次嘗試流覽至 URL。 在 Windows 電腦上,您可以使用 ipconfig /flushdns
清除快取。
常見問題集
如果我還沒有自訂網域,該怎麼辦?
只要您未刪除它,該 <app-name>.azurewebsites.net
名稱一律會指派給您的應用程式。 如果您想要,您可以購買App Service網域。 App Service網域是由 Azure 管理,並與App Service整合,讓您更輕鬆地與應用程式一起管理。
此受控憑證是否過期?
只要已針對App Service應用程式中的自訂網域進行設定,App Service受控憑證就不會過期。
我可以使用應用程式的App Service受控憑證做什麼?
受控憑證是針對保護您應用程式已設定自訂網域的唯一用途,免費提供。 其中包含 一些限制。 若要執行更多動作,例如下載憑證,或在應用程式程式碼中使用憑證,您可以上傳自己的憑證、購買App Service憑證,或匯入金鑰保存庫憑證。 如需詳細資訊,請參閱 將私人憑證新增至您的應用程式。
如何?使用我已經必須保護自訂網域的憑證嗎?
請參閱將私人憑證新增至您的應用程式,並在Azure App 服務 中使用 TLS/SSL 系結來保護自訂 DNS 名稱。