教學課程：在 Azure CDN 自訂網域上設定 HTTPS

本教學課程示範如何針對與 Azure CDN 端點相關聯的自訂網域，啟用 HTTPS 通訊協定。

您自訂網域 (例如 https://www.contoso.com) 上的 HTTPS 通訊協定可確保透過 TLS/SSL 安全地遞送您的敏感性資料。 當您的網頁瀏覽器透過 HTTPS 連線時，瀏覽器會驗證網站的憑證。 瀏覽器會驗證其是由合法的憑證授權單位所發行的。 此流程可提供安全性，並讓 Web 應用程式免於遭受攻擊。

Azure CDN 預設支援 CDN 端點主機名稱上的 HTTPS。 舉例來說，當您建立 CDN 端點時 (例如 https://contoso.azureedge.net)，會自動啟用 HTTPS。

自訂 HTTPS 功能的一些重要特色如下：

• 無額外成本：取得或更新憑證不需要成本，HTTPS 流量也不會產生額外成本。 您只需支付 CDN 的 GB 輸出。

• 容易啟用：從 Azure 入口網站按一下就能佈建。 您也可以使用 REST API 或其他開發工具來啟用此功能。

• 可使用完整憑證管理：

  • 為您處理所有憑證採購及管理。
  • 系統會自動佈建憑證並在到期前自動更新。

在本教學課程中，您會了解如何：

• 在您的自訂網域上啟用 HTTPS 通訊協定。
• 使用 CDN 管理的憑證
• 使用您自己的憑證
• 驗證網域
• 在您的自訂網域上停用 HTTPS 通訊協定。

必要條件

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用，請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組，請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。

您必須建立 CDN 設定檔和至少一個 CDN 端點，才能完成本教學課程中的步驟。 如需詳細資訊，請參閱快速入門：建立 Azure CDN 設定檔和端點。

在您的 CDN 端點上與 Azure CDN 自訂網域建立關聯。 如需詳細資訊，請參閱教學課程：將自訂網域新增至 Azure CDN 端點 (部分機器翻譯)。

重要

CDN 受控憑證不適用於根或頂點網域。 如果您的 Azure CDN 自訂網域是根或頂點網域，則您必須使用「使用您自己的憑證」功能。

---

TLS/SSL 憑證

您需要使用 TLS/SSL 憑證，才能在 Azure CDN 自訂網域上啟用 HTTPS。 您可以選擇使用 Azure CDN 所管理的憑證，或使用您自己的憑證。

選項 1 (預設值)：使用 CDN 管理的憑證啟用 HTTPS

Azure CDN 會處理憑證管理工作，例如購買和更新。 啟用此功能之後，程序就會立即啟動。

如果自訂網域已對應到 CDN 端點，則不需要任何進一步的動作。 Azure CDN 會處理相關步驟並自動完成您的要求。

如果您的自訂網域對應到其他位置，請使用電子郵件來驗證您的網域擁有權。

依照下列步驟啟用自訂網域的 HTTPS︰

1. 請移至 Azure 入口網站，尋找您的 Azure CDN 所管理的憑證。 搜尋並選取 [CDN 設定檔]。

2. 選擇您的設定檔：

   • 來自 Microsoft 的 Azure CDN 標準
   • 來自 Edgio 的 Azure CDN 標準
   • 來自 Verizon 的 Azure CDN 進階

3. 在 CDN 端點清單中，選取包含自訂網域的端點。

   

   [端點] 頁面隨即出現。

4. 在自訂網域清單中，選取您要啟用 HTTPS 的自訂網域。

   

   自訂網域頁面隨即出現。

5. 在憑證管理類型底下，選取 [CDN 管理]。

6. 選取 [開啟] 以啟用 HTTPS。

   

7. 繼續驗證網域。

選項 2：使用您自己的憑證啟用 HTTPS

重要

• 此選項僅適用於來自 Microsoft 的 Azure CDN。
• 2024 年 6 月 20 日，使用您自己的憑證搭配來自 Edgio 的 Azure CDN 的選項已進行維護。 此功能在這段期間無法使用，且將於 2025 年初再次提供。

您可以使用自己的憑證啟用 HTTPS 功能。 此程序會透過與 Azure Key Vault 的整合來進行，而讓您可以安全地儲存您的憑證。 Azure CDN 會使用此安全機制來取得您的憑證，為此您需要執行一些額外的步驟。 建立 TLS/SSL 憑證時，您必須使用屬於 Microsoft 信任 CA 清單的允許憑證授權單位 (CA) 來建立完整的憑證鏈結。 如果您使用非允許的 CA，則會拒絕您的要求。 若出現不含完整鏈結的憑證，則不保證與該憑證相關的要求能如預期運作。

準備您的 Azure Key Vault 帳戶和憑證

1. Azure Key Vault：在與您想要啟用自訂 HTTPS 的 Azure CDN 設定檔和 CDN 端點相同的訂用帳戶底下，您必須有執行中的 Azure Key Vault 帳戶。 建立 Azure Key Vault 帳戶 (如果您還沒有的話)。

2. Azure Key Vault 憑證：您果您有憑證，請直接將其上傳到您的 Azure Key Vault 帳戶。 如果您沒有憑證，請直接透過 Azure Key Vault 建立新的憑證。

注意

• Azure 內容傳遞網路僅支援 PFX 憑證。
• 憑證必須是具有分葉和中繼憑證的完整憑證鏈結，而且根 CA 必須是 Microsoft 受信任 CA 清單的一部分。

設定 Azure CDN 的受控識別

請遵循設定 Azure CDN 的受控識別中的步驟，以允許 Azure CDN 存取您的 Azure Key Vault 帳戶。

選取讓 Azure CDN 進行部署的憑證

1. 返回 Azure CDN 入口網站，然後選取您要啟用自訂 HTTPS 的設定檔和 CDN 端點。

2. 在自訂網域清單中，選取您要啟用 HTTPS 的自訂網域。

   自訂網域頁面隨即出現。

3. 在憑證管理類型底下，選取使用我自己的憑證。

   

4. 選取金鑰保存庫、憑證/密碼，以及憑證/密碼版本。

   Azure CDN 列出下列資訊：

   • 您的訂用帳戶識別碼的 Key Vault 帳戶。
   • 所選金鑰保存庫底下的憑證/秘密。
   • 可用的憑證/密碼版本。

   注意

   • Azure 內容傳遞網路僅支援 PFX 憑證。
   • 若要在金鑰保存庫中有新版本憑證時，能自動輪替為最新版本憑證，請將憑證/密碼版本設為「最新」。 若已選取特定版本，則須手動重新選取新版本，以便輪替憑證。 部署新版憑證/秘密最多需要 72 小時。 只有標準 Microsoft SKU 支援憑證自動輪替。

5. 選取 [開啟] 以啟用 HTTPS。

6. 使用自己的憑證時，無須進行網域驗證。 請繼續進行等待傳播。

驗證網域

若您有使用中的自訂網域以 CNAME 記錄對應至自訂端點，或您要使用自己的憑證，則請繼續進行自訂網域已對應至您的內容傳遞網路端點。

如果您端點的 CNAME 記錄項目已不存在或包含 cdnverify 子網域，請繼續進行自訂網域未對應至您的 CDN 端點。

自訂網域已經由 CNAME 記錄對應至您的 CDN 端點

當您為端點新增自訂網域時，便已在 DNS 網域註冊機構建立 CNAME 記錄 (可對應至 CDN 端點主機名稱)。

如果該 CNAME 記錄仍然存在且不包含 cdnverify 子網域，則 DigiCert CA 會使用它來自動驗證您自訂網域的擁有權。

若使用自己的憑證，則無須進行網域驗證。

您的 CNAME 記錄應該採用以下格式：

• [名稱] 是您的自訂網域名稱。
• 值是您的內容傳遞網路端點主機名稱。

名稱	類型	值
<www.contoso.com>	CNAME	contoso.azureedge.net

如需有關 CNAME 記錄的詳細資訊，請參閱建立 CNAME DNS 記錄。

如果您的 CNAME 記錄格式正確，DigiCert 就會自動驗證您的自訂網域名稱，並且為您的網域建立憑證。 DigitCert 不會傳送驗證電子郵件給您，因此您不需要核准您的要求。 憑證有效期限為一年，並且會在到期之前自動更新。 請繼續進行等待傳播。

自動驗證通常需要幾小時。 如果您沒有看到您的網域在 24 小時內進行驗證，請開啟支援票證。

注意

如果您具有 DNS 提供者的憑證授權單位授權 (CAA) 記錄，它必須包括授權的合適 CA。 DigiCert 是 Microsoft 和 Edgio 設定檔的 CA。 如需管理 CAA 記錄的相關資訊，請參閱管理 CAA 記錄。 有關 CAA 記錄工具，請參閱 CAA 記錄協助程式。

自訂網域未對應至您的 CDN 端點

如果 CNAME 記錄項目包含 cdnverify 子網域，請依照此步驟中的其餘指示進行操作。

DigiCert 會將驗證電子郵件傳送至下列電子郵件地址。 請確認您可以直接從下列其中一個地址核准：

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

您應該會在幾分鐘之內收到請求您核准要求的電子郵件。 若您使用垃圾郵件篩選器，請將 verification@digicert.com 新增至允許清單。 如果您未在 24 小時內收到驗證電子郵件，請連絡 Microsoft 支援服務。

當您選取核准連結時，系統會將您導向以下的線上核准表單：

遵循表單上的指示；您有兩個驗證選項：

• 您可以核准未來所有經相同帳戶針對同一個根網域 (如 contoso.com) 的所有訂購。 若您計劃新增相同根網域的其他自訂網域，建議使用這種方法。

• 您可以只核准這次要求使用的特定主機名稱。 後續要求需要另一個核准。

核准之後，DigiCert 會針對您的自訂網域名稱完成憑證建立。 憑證有效期間為一年。 如果已新增或更新自訂網域的 CNAME 記錄，以在驗證之後對應至您的端點主機名稱，則會在過期之前自動重新更新。

注意

受控憑證自動重新更新需要您的自訂網域透過 CNAME 記錄直接對應至 CDN 端點。

等待傳播

自訂網域 HTTPS 功能要在網域名稱通過驗證之後 6-8 小時才會啟用。 當流程完成時，Azure 入口網站中的自訂 HTTPS 狀態會變更為 [已啟用]。 自訂網域對話方塊中的四個操作步驟會標示為完成。 您的自訂網域現在已準備好使用 HTTPS。

作業進度

下表列出停用 HTTPS 時的作業進度。 啟用 HTTPS 之後，四個作業步驟會出現在 [自訂網域] 對話方塊中。 隨著每個步驟變成作用中狀態，其他子步驟詳細資料會在步驟進行時顯示於下方。 這裡的所有子步驟並非都會發生。 各個步驟完成時，旁邊都會出現一個綠色的核取記號。

作業步驟	作業子步驟詳細資料
1 提交要求	提交要求
	正在提交您的 HTTPS 要求。
	已成功提交您的 HTTPS 要求。
2 網域驗證	如果網域經由 CNAME 對應到 CDN 端點，則會自動進行驗證。 否則，系統會將驗證要求傳送到您網域註冊記錄 (WHOIS 註冊者) 中所列的電子郵件。
	已成功驗證您的網域擁有權。
	網域擁有權驗證要求已過期 (客戶可能未在 6 天內回應)。 您網域上的 HTTPS 將不會啟用。 *
	客戶拒絕網域擁有權驗證要求。 您網域上的 HTTPS 將不會啟用。 *
3 憑證佈建	憑證授權單位正在發行在網域上啟用 HTTPS 所需的憑證。
	憑證已發行，目前正在部署到 CDN 網路。 這可能需要 6 小時的時間。
	已成功將憑證部署到 CDN 網路。
4 完成	已成功在您的網域上啟用 HTTPS。

* 除非發生錯誤，否則不會出現這則訊息。

如果錯誤發生於提交要求之前，則會顯示下列錯誤訊息：

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

清除資源 - 停用 HTTPS

在本節中，您將學習如何停用自訂網域的 HTTPS。

停用 HTTPS 功能

1. 在 Azure 入口網站中，搜尋並選取 [CDN 設定檔]。

2. 選擇來自 Microsoft 的標準 Azure CDN、來自 Edgio 的標準 Azure CDN 或來自 Edgio 的進階 Azure CDN 設定檔。

3. 在端點清單中，挑選包含自訂網域的端點。

4. 選擇您要停用 HTTPS 的自訂網域。

   

5. 選擇 [關閉] 以停用 HTTPS，然後選取 [套用]。

   

等待傳播

自訂網域 HTTPS 功能停用之後，可能需要 6-8 小時才會生效。 當流程完成時，Azure 入口網站中的自訂 HTTPS 狀態會變更為 [已停用]。 自訂網域對話方塊中的三個操作步驟會標示為完成。 您的自訂網域無法再使用 HTTPS。

作業進度

下表指出停用 HTTPS 時的作業進度。 停用 HTTPS 之後，三個作業步驟會出現在 [自訂網域] 對話方塊中。 隨著每個步驟變成作用中狀態，詳細資料會顯示在步驟下方。 各個步驟完成時，旁邊都會出現一個綠色的核取記號。

作業進度	作業詳細資料
1 提交要求	正在提交您的要求
2 憑證取消佈建	刪除憑證
3 完成	已憑證刪除

常見問題集

1. 憑證提供者是誰？使用的是哪一種憑證？

   由 Digicert 提供的專用憑證會用於您以下的自訂網域：

   • 來自 Edgio 的 Azure 內容傳遞網路
   • Microsoft 的 Azure 內容傳遞網路

2. 您是否使用 IP 型或伺服器名稱指示 (SNI) TLS/SSL？

   來自 Edgio 的 Azure CDN 與來自 Microsoft 的標準 Azure CDN 都會使用 SNI TLS/SSL。

3. 如果沒有收到 DigiCert 的驗證電子郵件該怎麼辦？

   如果您並未使用 cdnverify 子網域，且您的 CNAME 輸入適用於您的端點主機名稱，則您不會收到網域驗證電子郵件。

   驗證會自動進行。 否則，如果您沒有 CNAME 項目且未在 24 小時內收到電子郵件，請連絡 Microsoft 支援服務。

4. SAN 憑證的安全性是否比專用憑證來得低？

   SAN 憑證遵循和專用憑證相同的加密與安全性標準。 所有發行的 TLS/SSL 憑證都使用 SHA-256 來加強伺服器安全性。

5. 是否需要我的 DNS 提供者的憑證授權單位授權記錄？

   目前不需要憑證授權單位授權記錄。 不過，如果您的確有一個授權記錄，它必須包含 DigiCert 作為有效的 CA。

6. 在 2018 年 6 月 20 日，來自 Edgio 的 Azure CDN 預設開始使用專用憑證搭配 SNI TLS/SSL。 如果使用主體別名 (SAN) 憑證和以 IP 為基礎的 TLS/SSL ，我的現有自訂網域會發生什麼狀況？

   如果 Microsoft 分析只有對您的應用程式進行 SNI 用戶端要求，則現有的網域會在未來幾個月中逐漸移轉至單一憑證。

   如果偵測到非 SNI 用戶端，您的網域會保留在具有 IP 型 TLS/SSL 的 SAN 憑證中。 對非 SNI 的服務或用戶端提出的要求不會受到影響。

7. 若使用您自己的憑證，該如何更新憑證？

   若要確保已將較新的憑證部署至 POP 基礎結構，請將您的新憑證上傳至 Azure Key Vault。 在 Azure 內容傳遞網路上的 TLS 設定中，選擇最新的憑證版本，然後選取 [儲存]。 Azure 內容傳遞網路接著會散佈新的更新憑證。

   重要

   • 自 2024 年 6 月 20 日起，來自 Edgio 的 Azure CDN 標準和進階版不支援使用自己的憑證功能。 此功能將於 2025 年初重新引入。
   • 使用這項功能自訂網域的必要動作為何？ 已在 Edgio 平台上部署的 BYOC 憑證將維持有效，直到其到期日為止。 不需要為 2025 年到期的憑證採取任何動作。 建議您針對需要更新或將於今年到期的憑證，切換至 CDN 受控。 如果您需要其他協助，請提交支援要求來與支援工程師合作。

下一步

在本教學課程中，您已了解如何：

• 在您的自訂網域上啟用 HTTPS 通訊協定。
• 使用 CDN 管理的憑證
• 使用您自己的憑證
• 驗證網域。
• 在您的自訂網域上停用 HTTPS 通訊協定。

請前往下一個教學課程，以了解如何在 CDN 端點上設定快取。

教學課程：設定 Azure CDN 快取規則