教學課程:在 Azure CDN 自定義網域上設定 HTTPS
本教學課程示範如何為與 Azure CDN 端點相關聯的自定義網域啟用 HTTPS 通訊協定。
自定義網域上的 HTTPS 通訊協定(例如 https://www.contoso.com,),可確保敏感數據會透過 TLS/SSL 安全地傳遞。 當您的網頁瀏覽器透過 HTTPS 連線時,瀏覽器會驗證網站的憑證。 瀏覽器會驗證它是由合法的證書頒發機構單位所簽發。 此流程可提供安全性,並讓 Web 應用程式免於遭受攻擊。
根據預設,Azure CDN 支援 CDN 端點主機名上的 HTTPS。 例如,如果您建立CDN端點 (例如 https://contoso.azureedge.net),則會自動啟用 HTTPS。
自訂 HTTPS 功能的一些重要特色如下:
無額外費用:憑證取得或更新的成本不高,HTTPS流量不需要額外費用。 您只需支付來自 CDN 的 GB 輸出費用。
簡單啟用:可從 Azure 入口網站 取得單鍵布建。 您也可以使用 REST API 或其他開發工具來啟用此功能。
完整的憑證管理可供使用:
- 所有憑證採購和管理都會為您處理。
- 憑證會在到期前自動布建和更新。
在本教學課程中,您會了解如何:
- 在您的自定義網域上啟用 HTTPS 通訊協定。
- 使用CDN管理的憑證
- 使用您自己的憑證
- 驗證網域
- 停用自定義網域上的 HTTPS 通訊協定。
必要條件
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
您必須先建立CDN配置檔和至少一個CDN端點,才能完成本教學課程中的步驟。 如需詳細資訊,請參閱 快速入門:建立 Azure CDN 配置檔和端點。
在 CDN 端點上建立 Azure CDN 自定義網域的關聯。 如需詳細資訊,請參閱 教學課程:將自定義網域新增至您的 Azure CDN 端點。
重要
CDN 管理的憑證不適用於根域或頂點網域。 如果您的 Azure CDN 自訂網域是根域或頂點網域,您必須使用自備憑證功能。
TLS/SSL 憑證
若要在 Azure CDN 自訂網域上啟用 HTTPS,請使用 TLS/SSL 憑證。 您可以選擇使用由 Azure CDN 管理的憑證,或使用您的憑證。
Azure CDN 會處理憑證管理工作,例如採購和更新。 啟用此功能之後,程式會立即啟動。
如果自定義網域已經對應至CDN端點,則不需要採取進一步的動作。 Azure CDN 會處理步驟,並自動完成您的要求。
如果您的自定義網域對應到其他地方,請使用電子郵件來驗證您的網域擁有權。
若要在自訂網域上啟用 HTTPS,請遵循下列步驟:
移至 Azure 入口網站,以尋找由 Azure CDN 管理的憑證。 搜尋並選取 [CDN 配置檔]。
選擇您的設定檔:
- 來自 Microsoft 的 Azure CDN 標準
- 來自 Edgio 的 Azure CDN 標準
- 來自 Edgio 的 Azure CDN 進階版
在 CDN 端點清單中,選取包含您自訂網域的端點。
[ 端點 ] 頁面隨即出現。
在自訂網域清單中,選取您要啟用 HTTPS 的自訂網域。
![顯示 [自定義網域] 頁面的螢幕快照,其中包含 [使用我自己的憑證] 選項。](media/cdn-custom-ssl/cdn-custom-domain.png)
自訂網域頁面隨即出現。
在 [憑證管理類型] 底下,選取 [ CDN 受控]。
選取 [開啟] 以啟用 HTTPS。
繼續驗證 網域。
驗證網域
如果您的自定義網域使用對應至具有 CNAME 記錄的自定義端點,或者您正在使用自己的憑證,請繼續進行對應至您 內容傳遞網路 端點的自定義網域。
否則,如果端點的 CNAME 記錄專案已不存在,或它包含 cdnverify 子域,請繼續移至 未對應至 CDN 端點的自定義網域。
自定義網域會透過 CNAME 記錄對應至 CDN 端點
當您將自定義網域新增至端點時,您在對應至CDN端點主機名的 DNS 網域註冊機構中建立了 CNAME 記錄。
如果該 CNAME 記錄仍然存在,而且不包含 cdnverify 子域,DigiCert CA 會使用它來自動驗證自定義網域的擁有權。
如果您使用自己的憑證,則不需要網域驗證。
您的 CNAME 記錄的格式應如下:
- 名稱 是您的自定義功能變數名稱。
- 值 是您的內容傳遞網路端點主機名。
| 名稱 | 類型 | 值 |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azureedge.net |
如需 CNAME 記錄的詳細資訊,請參閱 建立 CNAME DNS 記錄。
如果您的 CNAME 記錄格式正確,DigiCert 會自動驗證您的自訂功能變數名稱,併為您的網域建立憑證。 DigitCert 不會傳送驗證電子郵件給您,而且不需要核准您的要求。 憑證有效期限為一年,且會在到期之前自動重新更新。 請繼續進行等待傳播。
自動驗證通常需要幾個小時。 如果您在 24 小時內看不到已驗證的網域,請開啟支援票證。
注意
如果您有 DNS 提供者的證書頒發機構單位授權 (CAA) 記錄,則必須包含適當的 CA 以進行授權。 DigiCert 是 Microsoft 和 Edgio 配置檔的 CA。 如需管理 CAA 記錄的相關信息,請參閱 管理 CAA 記錄。 如需 CAA 記錄工具,請參閱 CAA 記錄協助程式。
自訂網域未對應至CDN端點
如果 CNAME 記錄專案包含 cdnverify 子域,請遵循此步驟中的其餘指示。
DigiCert 會將驗證電子郵件傳送至下列電子郵件位址。 確認您可以直接從下列其中一個位址核准:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
您應該會在幾分鐘內收到電子郵件,以便核准要求。 如果您使用垃圾郵件篩選條件,請將 新增 verification@digicert.com 至其allowlist。 如果您在 24 小時內未收到電子郵件,請連絡 Microsoft 支援服務。
當您選取核准連結時,系統會將您導向至下列線上核准表單:
遵循表單上的指示;您有兩個驗證選項:
您可以針對相同的根域,核准透過相同帳戶排列的所有未來訂單;例如,contoso.com。 如果您打算為相同的根域新增其他自定義網域,建議您使用此方法。
您可以只核准此要求中使用的特定主機名。 後續要求需要另一個核准。
核准之後,DigiCert 會完成自定義功能變數名稱的憑證建立。 憑證有效期限為一年,在憑證到期之前將會自動重新更新。
等待傳播
驗證域名之後,最多可能需要 6-8 小時才能啟用自定義網域 HTTPS 功能。 程式完成時,Azure 入口網站 中的自定義 HTTPS 狀態會變更為 [已啟用]。 自訂網域對話框中的四個作業步驟會標示為完成。 您的自訂網域現在已準備好使用 HTTPS。
作業進度
下表顯示啟用 HTTPS 時所發生的作業進度。 啟用 HTTPS 之後,自定義網域對話框中會出現四個作業步驟。 當每個步驟變成作用中時,其他子步驟詳細數據會在步驟進行時出現。 並非所有子步驟都會發生。 在步驟成功完成之後,旁邊會出現綠色複選標記。
| 作業步驟 | 作業子步驟詳細數據 |
|---|---|
| 1 提交要求 | 提交要求 |
| 您的 HTTPS 要求正在提交中。 | |
| 您的 HTTPS 要求已成功提交。 | |
| 2 網域驗證 | 如果網域是對應至 CDN 端點的 CNAME,則會自動驗證網域。 否則,驗證要求會傳送至您網域註冊記錄中所列的電子郵件(WHOIS 註冊者)。 |
| 您的網域擁有權已成功驗證。 | |
| 網域擁有權驗證要求已過期(客戶可能未在 6 天內回應)。 您的網域上不會啟用 HTTPS。 * | |
| 客戶拒絕網域擁有權驗證要求。 您的網域上不會啟用 HTTPS。 * | |
| 3 憑證布建 | 證書頒發機構單位目前正在發出在網域上啟用 HTTPS 所需的憑證。 |
| 憑證已發行,目前正在部署至CDN網路。 這最多可能需要 6 小時的時間。 | |
| 憑證已成功部署到CDN網路。 | |
| 4 完成 | 已成功在您的網域上啟用 HTTPS。 |
* 除非發生錯誤,否則不會出現此訊息。
如果在提交要求之前發生錯誤,則會顯示下列錯誤訊息:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
清除資源 - 停用 HTTPS
在本節中,您將瞭解如何停用自定義網域的 HTTPS。
停用 HTTPS 功能
在 Azure 入口網站 中,搜尋並選取 [CDN 配置檔]。
從 Microsoft 選擇您的 Azure CDN 標準、來自 Edgio 的 Azure CDN 標準,或從 Edgio 配置文件選擇 Azure CDN 進階版。
在端點清單中,挑選包含您自定義網域的端點。
選擇您要停用 HTTPS 的自訂網域。
選擇 [ 關閉 ] 以停用 HTTPS,然後選取 [ 套用]。
等待傳播
停用自定義網域 HTTPS 功能之後,最多可能需要 6-8 小時才會生效。 程式完成時,Azure 入口網站 中的自定義 HTTPS 狀態會變更為 [已停用]。 自訂網域對話框中的三個作業步驟會標示為完成。 您的自訂網域無法再使用 HTTPS。
作業進度
下表顯示停用 HTTPS 時所發生的作業進度。 停用 HTTPS 之後,自定義網域對話框中會出現三個作業步驟。 當步驟變成作用中時,詳細數據會出現在步驟底下。 在步驟成功完成之後,旁邊會出現綠色複選標記。
| 作業進度 | 作業詳細資料 |
|---|---|
| 1 提交要求 | 提交您的要求 |
| 2 憑證取消布建 | 刪除憑證 |
| 3 完成 | 已刪除憑證 |
使用來自 Edgio 的 Azure CDN 自動輪替憑證
來自 Azure 的受控憑證 金鑰保存庫 可以利用憑證自動調整功能,讓來自 Edgio 的 Azure CDN 自動擷取更新的憑證,並將其傳播至 Edgio CDN 平臺。 若要啟用此功能:
在 Microsoft Entra 識別碼內將 Azure CDN 註冊為應用程式。
授權 Azure CDN 服務存取您 金鑰保存庫 中的秘密。 流覽至您 金鑰保存庫 內的「存取原則」以新增原則,然後將取得秘密許可權授與 Microsoft.AzureFrontDoor-Cdn 服務主體。
在 [自定義網域] 功能表的 [憑證管理類型] 底下,將憑證版本設定為 [最新]。 如果選取特定版本的憑證,則需要手動更新。
注意
- 請注意,憑證自動輪替最多可能需要 24 小時的時間,才能完整完成新憑證的傳播。
- 如果使用憑證來涵蓋多個自定義網域,就必須在所有共用此憑證的自定義網域上啟用憑證自動輪替,以確保正確作業。 若未這麼做,可能會導致Edgio平臺針對未啟用此功能的自定義網域提供不正確的憑證版本。
常見問題集
神秘 是憑證提供者,以及使用何種類型的憑證?
Digicert 提供的專用憑證會用於您的自定義網域:
- 來自 Edgio 的 Azure 內容傳遞網路
- Microsoft 的 Azure 內容傳遞網路
您是否使用 IP 型或伺服器名稱指示 (SNI) TLS/SSL?
來自 Edgio 的 Azure CDN 和 Microsoft 的標準 Azure CDN 都使用 SNI TLS/SSL。
如果我未從 DigiCert 收到網域驗證電子郵件,該怎麼辦?
如果您未使用 cdnverify 子域,且您的 CNAME 專案適用於端點主機名,則不會收到網域驗證電子郵件。
驗證會自動發生。 否則,如果您沒有 CNAME 專案,且未在 24 小時內收到電子郵件,請連絡 Microsoft 支援服務。
使用 SAN 憑證比專用憑證不安全嗎?
SAN 憑證遵循與專用憑證相同的加密和安全性標準。 所有發行的 TLS/SSL 憑證都會使用 SHA-256 來增強伺服器安全性。
我需要具有 DNS 提供者的證書頒發機構單位授權記錄嗎?
目前不需要證書頒發機構單位授權記錄。 不過,如果您有一個,它必須包含 DigiCert 作為有效的 CA。
在 2018 年 6 月 20 日,來自 Edgio 的 Azure CDN 預設會使用具有 SNI TLS/SSL 的專用憑證。 使用主體別名 (SAN) 憑證和IP型 TLS/SSL 的現有自定義網域會發生什麼事?
如果 Microsoft 分析只對您的應用程式提出 SNI 用戶端要求,則您現有的網域會在未來幾個月逐漸移轉至單一憑證。
如果偵測到非 SNI 用戶端,您的網域會保留在具有 IP 型 TLS/SSL 的 SAN 憑證中。 對非 SNI 的服務或用戶端的要求不會受到影響。
憑證更新如何與攜帶您自己的憑證搭配運作?
若要確保較新的憑證已部署至 POP 基礎結構,請將新憑證上傳至 Azure 金鑰保存庫。 在 Azure 內容傳遞網路 上的 TLS 設定中,選擇最新的憑證版本,然後選取 [儲存]。 Azure 內容傳遞網路 接著會傳播新的更新憑證。
針對來自 Edgio 配置檔的 Azure CDN,如果您在數個自定義網域上使用相同的 Azure 金鑰保存庫 憑證(例如通配符憑證),請確定您將使用該相同憑證的所有自定義網域更新為較新的憑證版本。
下一步
在本教學課程中,您已了解如何:
- 在您的自定義網域上啟用 HTTPS 通訊協定。
- 使用CDN管理的憑證
- 使用您自己的憑證
- 驗證網域。
- 停用自定義網域上的 HTTPS 通訊協定。
前進到下一個教學課程,瞭解如何在CDN端點上設定快取。