Azure Front Door 中的網域
網域代表 Azure Front Door 用來接收應用程式流量的自訂網域名稱。 Azure Front Door 支援新增三種類型的網域名稱:
- 子網域是最常見的自訂網域名稱類型。 子網域範例為
myapplication.contoso.com。 - 頂點網域未包含子網域。 頂點網域的範例為
contoso.com。 如需使用頂點網域搭配 Azure Front Door 的詳細資訊,請參閱頂點網域。 - 萬用字元網域會允許接收任何子網域的流量。 範例萬用字元網域為
*.contoso.com。 如需使用萬用字元網域搭配 Azure Front Door 的詳細資訊,請參閱萬用字元網域。
網域會新增至您的 Azure Front Door 設定檔。 如果您在每個路由中使用不同路徑,則可以在端點內的多個路由中使用網域。
若要了解如何將自訂網域新增至 Azure Front Door 設定檔,請參閱使用 Azure 入口網站在 Azure Front Door 上設定自訂網域。
DNS 組態
當您將網域新增至 Azure Front Door 設定檔時,您會在 DNS 伺服器中設定兩個記錄:
- DNS TXT 記錄,這是驗證網域名稱擁有權所需。 如需 DNS TXT 記錄的詳細資訊,請參閱網域驗證。
- DNS CNAME 記錄,可控制流向 Azure Front Door 的網際網路流量。
提示
您可以在進行任何 DNS 變更之前,將網域名稱新增至 Azure Front Door 設定檔。 如果您需要一併設定 Azure Front Door 設定,或您有另一個小組會變更您的 DNS 記錄,此方法會很有幫助。
您也可以新增 DNS TXT 記錄來驗證網域擁有權,之後再新增 CNAME 記錄來控制流量。 如果您已經有在生產環境中的應用程式,此方法有助於避免發生移轉停機。
網域驗證
所有新增至 Azure Front Door 的網域都必須經過驗證。 驗證有助於保護您免於意外設定錯誤,也有助於保護其他人免於網域詐騙。 在某些情況下,網域可由另一個 Azure 服務預先驗證。 否則,您必須遵循 Azure Front Door 網域驗證程序來證明您擁有該網域名稱的擁有權。
Azure 預先驗證的網域是已由另一個支援的 Azure 服務驗證的網域。 如果您將網域上線並向另一個 Azure 服務驗證,然後稍後設定 Azure Front Door,您可以使用預先驗證的網域。 當您使用此類型的網域時,不需要透過 Azure Front Door 驗證網域。
注意
Azure Front Door 目前只接受已設定 Azure Static Web Apps 的預先驗證網域。
非 Azure 驗證網域為不會由任何 Azure 服務驗證的網域。 可以使用任何 DNS 服務 (包括 Azure DNS) 裝載此網域類型,且要求 Azure Front Door 驗證網域擁有權。
TXT 記錄驗證
若要驗證網域,您必須建立 DNS TXT 記錄。 TXT 記錄的名稱必須是格式 _dnsauth.{subdomain}。 當您開始將網域新增至 Azure Front Door,Azure Front Door 會為您的 TXT 記錄提供唯一的值。
例如,假設您想要使用自訂子網域 myapplication.contoso.com 搭配 Azure Front Door。 首先,您應該將網域新增至 Azure Front Door 設定檔,並記下您需要使用的 TXT 記錄值。 然後,您應該使用下列屬性來設定 DNS 記錄:
| 屬性 | 值 |
|---|---|
| 記錄名稱 | _dnsauth.myapplication |
| 記錄值 | 使用 Azure Front Door 提供的值 |
| 存留時間 (TTL) | 1 小時 |
成功驗證網域之後,您便可以從 DNS 伺服器安全地刪除 TXT 記錄。
如需新增自訂網域的 DNS TXT 記錄的詳細資訊,請參閱使用 Azure 入口網站在 Azure Front Door 上設定自訂網域。
網域驗證狀態
下表列出網域可能顯示的驗證狀態。
| 網域驗證狀態 | 描述和動作 |
|---|---|
| 正在提交 | 正在建立自訂網域。 等候網域資源就緒。 |
| 待定 | 已產生 DNS TXT 記錄值,且 Azure Front Door 已可供您新增 DNS TXT 記錄。 請將 DNS TXT 記錄新增至您的 DNS 提供者,並等候驗證完成。 在 TXT 記錄透過 DNS 提供者更新之後,如果狀態仍維持 [擱置] 狀態,請選取 [重新產生] 以重新整理 TXT 記錄,然後再次將 TXT 記錄新增至您的 DNS 提供者。 |
| 擱置中的重新驗證 | 受控憑證距離到期少於 45 天。 如果您有已指向 Azure Front Door 端點的 CNAME 記錄,則不需要針對憑證更新採取任何動作。 如果自訂網域指向另一個 CNAME 記錄,請選取 [擱置重新驗證] 狀態,然後在 [驗證自訂網域] 頁面上選取 [重新產生]。 最後,如果您使用 Azure DNS,請選取 [新增],或透過您自己的 DNS 提供者的 DNS 管理手動新增 TXT 記錄。 |
| 重新整理驗證權杖 | 選取 [重新產生] 按鈕之後,網域會進入「重新整理驗證權杖」階段。 發出新的 TXT 記錄值之後,狀態會變更為 [擱置中]。 您不需要執行任何動作。 |
| 核准 | 已成功驗證網域,且 Azure Front Door 可以接受使用此網域的流量。 您不需要執行任何動作。 |
| 已拒絕 | 憑證提供者/授權單位已拒絕受控憑證的核發。 例如,網域名稱可能無效。 請選取 [已拒絕] 連結,然後選取 [驗證自訂網域] 分頁上的 [重新產生],如此表格下方的螢幕擷取畫面所示。 然後選取 [新增],以在 DNS 提供者中新增 TXT 記錄。 |
| Timeout | TXT 記錄未在七天內新增至您的 DNS 提供者,或已新增無效的 DNS TXT 記錄。 請選取 [逾時] 連結,然後在 [驗證自訂網域] 頁面上選取 [重新產生]。 然後選取 [新增],將新的 TXT 記錄新增至 DNS 提供者。 確保您使用更新的值。 |
| 內部錯誤 | 發生未知的錯誤。 選取 [重新整理] 或 [重新產生] 按鈕,以重試驗證。 如果您仍然遇到問題,請提交支援要求給Azure 支援。 |
注意
- TXT 記錄的預設 TTL 為 1 小時。 當您需要重新產生 TXT 記錄以進行重新驗證時,請注意先前 TXT 記錄的 TTL。 如果未過期,驗證將會失敗,直到先前的 TXT 記錄到期為止。
- 如果 [重新產生] 按鈕無法運作,請刪除並重新建立網域。
- 如果網域狀態未如預期反映,請選取 [重新整理] 按鈕。
自訂網域的 HTTPS
若在自訂網域使用 HTTPS 通訊協定,在網際網路上傳送敏感性資料時,便可確保透過 TLS/SSL 加密來安全傳送敏感性資料。 當用戶端 (如網頁瀏覽器) 使用 HTTPS 連線到網站,用戶端會驗證網站的安全性憑證,並確保它是由合法的憑證授權單位核發。 此流程可提供安全性,並讓 Web 應用程式免於遭受攻擊。
Azure Front Door 支援使用 HTTPS 搭配您自己的網域,並從來源伺服器卸載傳輸層安全性 (TLS) 憑證管理。 使用自訂網域時,您可以使用 Azure 管理的 TLS 憑證 (建議),或者可以購買並使用自己的 TLS 憑證。
如需 Azure Front Door 如何搭配 TLS 運作的詳細資訊,請參閱使用 Azure Front Door 的端對端 TLS。
Azure Front Door 管理的 TLS 憑證
Azure Front Door 可以為子網域和頂點網域自動管理 TLS 憑證。 使用受控憑證時,您不需要建立金鑰或憑證簽署要求,也不需要上傳、儲存或安裝憑證。 此外,Azure Front Door 可以自動輪替 (更新) 受控憑證,而不需要人為介入。 此程序可避免因為無法及時更新 TLS 憑證而造成的停機。
產生、發行及安裝受控 TLS 憑證的程序可能需要幾分鐘到一小時才能完成,且有時可能需要更長的時間。
注意
如果網域 CNAME 記錄直接指向 Front Door 端點,或間接指向流量管理員端點,則會自動輪替 Azure Front Door (標準和進階) 受控憑證。 否則,您必須重新驗證網域擁有權,才能輪替憑證。
網域類型
下表摘要說明當您使用不同類型的網域時,受控 TLS 憑證可用的功能:
| 考量事項 | 子網域 | 頂點網域 | 萬用字元網域 |
|---|---|---|---|
| 受控 TLS 憑證可用 | Yes | .是 | No |
| 受控 TLS 憑證會自動輪替 | Yes | 請參閱下文 | No |
當您使用 Azure Front Door 管理的 TLS 憑證搭配頂點網域時,自動化憑證輪替可能需要您重新驗證網域擁有權。 如需詳細資訊,請參閱 Azure Front Door 中的頂點網域。
受控憑證核發
Azure Front Door 的憑證是由我們的合作夥伴憑證授權單位 DigiCert 所核發。 針對某些網域,您必須建立值為 0 issue digicert.com 的 CAA 網域記錄,以明確允許 DigiCert 作為憑證簽發者。
Azure 會代表您完全管理憑證,因此可以隨時變更受控憑證的任何層面,包括根憑證簽發者。 這些變更不在您的控制範圍內。 請務必避免與受控憑證的任何層面的強制相依性,例如檢查憑證指紋,或鎖定受控憑證或憑證階層的任何部分。 如果您需要鎖定憑證,您應該使用客戶管理的 TLS 憑證,如下一節所述。
客戶管理的 TLS 憑證
有時候,您可能需要提供自己的 TLS 憑證。 提供您自己的憑證的常見案例包括:
- 您的組織要求您使用特定憑證授權單位所核發的憑證。
- 您希望 Azure Key Vault 使用合作夥伴憑證授權單位來核發您的憑證。
- 您必須使用用戶端應用程式可辨識的 TLS 憑證。
- 您必須在多個系統上使用相同的 TLS 憑證。
- 您使用萬用字元網域。 Azure Front Door 不會為萬用字元網域提供受控憑證。
注意
- 自 2023 年 9 月起,Azure Front Door 支援自備憑證 (BYOC) 以進行網域擁有權驗證。 如果憑證的憑證名稱 (CN) 或主體別名 (SAN) 符合該自訂網域,Front Door 就會核准網域擁有權。 如果您選取 Azure 受控憑證,網域驗證會使用 DNS TXT 記錄。
- 針對在 BYOC 型驗證之前建立,且網域驗證狀態未核准的自訂網域,您必須選取 [驗證狀態],然後按一下入口網站中的 [重新驗證] 按鈕,以觸發網域擁有權驗證的自動核准。 如果您使用命令列工具,則可以將空白 PATCH 要求傳送至網域 API 來觸發網域驗證。
憑證需求
若要使用您的憑證搭配 Azure Front Door,它必須符合下列需求:
- 完整憑證鏈:建立 TLS/SSL 憑證時,您必須使用屬於 Microsoft 信任 CA 清單的允許憑證授權單位 (CA) 來建立完整的憑證鏈結。 如果您使用非允許的 CA,則會拒絕您的要求。 根 CA 必須屬於 Microsoft 信任 CA 清單。 若出現不含完整鏈結的憑證,則不保證與該憑證相關的要求能如預期運作。
- 一般名稱:憑證的一般名稱 (CN) 必須符合 Azure Front Door 中設定的網域。
- 演算法:Azure Front Door 不支援憑證使用橢圓曲線 (EC) 的密碼編譯演算法。
- 檔案 (內容) 類型:您的憑證必須從使用
application/x-pkcs12內容類型的 PFX 檔案上傳至金鑰保存庫。
將憑證匯入 Azure Key Vault
必須先將自訂 TLS 憑證匯入 Azure Key Vault,才能使用它搭配 Azure Front Door。 若要了解如何將憑證匯入金鑰保存庫,請參閱教學課程:在 Azure Key Vault 中匯入憑證。
金鑰保存庫必須位於與 Azure Front Door 設定檔相同的 Azure 訂用帳戶中。
警告
Azure Front Door 僅支援位於與 Front Door 設定檔相同訂用帳戶中的金鑰保存庫。 選擇與您 Azure Front Door 設定檔不同訂用帳戶下的金鑰保存庫將會失敗。
憑證必須上傳為憑證物件,而不是祕密。
授與 Azure Front Door 的存取
Azure Front Door 必須存取您的金鑰保存庫,才能讀取您的憑證。 您必須設定金鑰保存庫的網路防火牆和保存庫的存取控制。
若您的金鑰保存庫已啟用網路存取限制,則須設定金鑰保存庫允許信任的 Microsoft 服務略過防火牆。
有兩個方式可以在金鑰保存庫上設定存取控制:
- Azure Front Door 可以使用受控識別來存取您的金鑰保存庫。 當您的金鑰保存庫使用 Microsoft Entra 驗證,可以使用此方法。 如需詳細資訊,請參閱使用受控識別搭配 Azure Front Door 標準/進階。
- 或者,您可以為 Azure Front Door 的服務主體授與金鑰保存庫的存取。 當您使用保存庫存取原則時,可以使用此方法。
將您的自訂憑證新增至 Azure Front Door
將憑證匯入金鑰保存庫之後,建立 Azure Front Door 祕密資源,這是您新增至金鑰保存庫的憑證參考。
然後,將您的網域設定為使用 Azure Front Door 祕密作為 TLS 憑證。
如需這些步驟的引導式逐步解說,請參閱使用 Azure 入口網站在 Azure Front Door 自訂網域上設定 HTTPS。
在憑證類型之間切換
您可以在使用 Azure Front Door 受控憑證與使用者管理的憑證之間切換網域。
- 當您在憑證類型之間切換時,可能需要一小時才能部署新的憑證。
- 如果您的網域狀態為 [已核准],在使用者管理與受控憑證之間切換憑證類型將不會導致任何停機。
- 切換至受控憑證時,Azure Front Door 會繼續使用先前的憑證,直到重新驗證網域擁有權,且網域狀態會變成已核准為止。
- 如果您從 BYOC 切換為受控憑證,則需要網域重新驗證。 如果您從受控憑證切換為 BYOC,則不需要重新驗證網域。
憑證更新
更新 Azure Front Door 受控憑證
針對多數自訂網域,Azure Front Door 會在憑證即將到期時自動更新 (輪替) 受控憑證,而您不需要執行任何動作。
不過,在下列案例中,Azure Front Door 不會自動輪替憑證:
- 自訂網域的 CNAME 記錄指向 Azure Front Door 端點網域以外的 DNS 記錄。
- 自訂網域透過鏈結指向 Azure Front Door 端點。 例如,如果您的 DNS 記錄指向 Azure 流量管理員,接著解析為 Azure Front Door,則 CNAME 鏈結是
contoso.z01.azurefd.net中contoso.trafficmanager.netCNAME 中的contoso.comCNAME。 Azure Front Door 無法驗證整個鏈結。 - 自訂網域會使用 A 記錄。 建議您一律使用 CNAME 記錄來指向 Azure Front Door。
- 自訂網域是頂點網域,並使用 CNAME 扁平化。
如果上述其中一個案例適用於您的自訂網域,則在受控憑證到期前 45 天,網域驗證狀態會變成擱置中的重新驗證。 擱置中的重新驗證狀態表示您必須建立新的 DNS TXT 記錄,以重新驗證您的網域擁有權。
注意
DNS TXT 記錄會在七天後到期。 如果您先前已將網域驗證 TXT 記錄新增至 DNS 伺服器,則必須將它取代為新的 TXT 記錄。 確保您使用新的值,否則網域驗證程序將會失敗。
如果無法驗證您的網域,網域驗證狀態會變成已拒絕。 此狀態表示憑證授權單位已拒絕重新核發受控憑證的要求。
如需網域驗證狀態的詳細資訊,請參閱網域驗證狀態。
更新由其他 Azure 服務預先驗證的網域的 Azure 受控憑證
Azure 受控憑證會自動由驗證網域的 Azure 服務輪替。
更新客戶管理的 TLS 憑證
更新您的金鑰保存庫中的憑證時,Azure Front Door 可以自動偵測並使用更新的憑證。 若要讓此功能運作,在 Azure Front Door 中設定憑證時,請將祕密版本設定為「最新」。
如果您選取特定版本的憑證,則必須在更新憑證時手動重新選取新版本。
自動部署新版憑證/祕密最多需要 72 小時。
如果您想要將祕密版本從「最新」變更為指定的版本,反之亦然,請新增憑證。
安全性原則
您可以使用 Azure Front Door 的 Web 應用程式防火牆 (WAF) 來掃描應用程式要求是否有威脅,並強制執行其他安全性需求。
若要使用 WAF 搭配自訂網域,請使用 Azure Front Door 安全性原則資源。 安全性原則會將網域與 WAF 原則產生關聯。 您可以選擇性地建立多個安全性原則,以便使用不同的 WAF 原則搭配不同的網域。
下一步
- 若要了解如何將自訂網域新增至 Azure Front Door 設定檔,請參閱使用 Azure 入口網站在 Azure Front Door 上設定自訂網域。
- 深入了解使用 Azure Front Door 的端對端 TLS。