在 Front Door (傳統) 自訂網域上設定 HTTPS

  • 發行項

重要

Azure Front Door(傳統版)將於 2027 年 3 月 31 日淘汰。 為了避免任何服務中斷,請務必在 2027 年 3 月之前將 Azure Front Door (傳統) 配置檔移轉至 Azure Front Door Standard 或 進階版 層。 如需詳細資訊,請參閱 Azure Front Door(傳統版)淘汰

本文說明如何在前端主機區段下,為與您的 Front Door (傳統) 相關聯的自定義網域啟用 HTTPS 通訊協定。 藉由在自定義網域上使用 HTTPS 通訊協定(例如 https://www.contoso.com),您可確保在透過因特網傳送敏感數據時,會透過 TLS/SSL 加密安全地傳遞敏感數據。 當您的網頁瀏覽器使用 HTTPS 連線到網站時,它會驗證網站的安全性憑證,並驗證是否由合法的證書頒發機構單位簽發。 此程式提供安全性,並保護您的 Web 應用程式免於遭受惡意攻擊。

根據預設,Azure Front Door 支援 Front Door 預設主機名上的 HTTPS。 例如,如果您建立 Front Door (例如 https://contoso.azurefd.net),HTTPS 會自動啟用對 https://contoso.azurefd.net提出的要求。 不過,當您上線自定義網域 『www.contoso.com』 之後,您必須為此前端主機啟用 HTTPS。

自訂 HTTPS 功能的一些重要特色如下:

  • 無額外成本:取得或更新憑證不需要成本,HTTPS 流量也不會產生額外成本。

  • 簡單啟用:可從 Azure 入口網站 取得單鍵布建。 您也可以使用 REST API 或其他開發工具來啟用此功能。

  • 完整的憑證管理可供使用:會為您處理所有憑證採購和管理。 憑證會自動佈建並在到期之前更新,消除因為憑證到期而中斷服務的風險。

在本教學課程中,您會了解如何:

  • 在您的自定義網域上啟用 HTTPS 通訊協定。
  • 使用 AFD 管理的憑證
  • 使用您自己的憑證,也就是自定義 TLS/SSL 憑證
  • 驗證網域
  • 停用自定義網域上的 HTTPS 通訊協定

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

必要條件

在完成本教學課程中的步驟之前,您必須先建立 Front Door,並至少將一個自定義網域上線。 如需詳細資訊,請參閱教學課程:將自訂網域新增到您的 Front Door

TLS/SSL 憑證

若要啟用 HTTPS 通訊協定,以安全地在 Front Door (傳統) 自定義網域上傳遞內容,您必須使用 TLS/SSL 憑證。 您可以選擇使用由 Azure Front Door 管理的憑證,或使用您自己的憑證。

選項 1 (預設值):使用 Front Door 管理的憑證

當您使用由 Azure Front Door 管理的憑證時,可以使用一些設定變更來開啟 HTTPS 功能。 Azure Front Door 會完全處理憑證管理工作,例如採購和更新。 啟用此功能之後,程式會立即啟動。 如果自定義網域已經對應至 Front Door 的預設前端主機 ({hostname}.azurefd.net),則不需要採取進一步的動作。 Front Door 會處理步驟,並自動完成您的要求。 不過,如果您的自定義網域對應到別處,您必須使用電子郵件來驗證網域擁有權。

若要在自訂網域上啟用 HTTPS,請遵循下列步驟:

  1. Azure 入口網站 中,流覽至您的 Front Door 配置檔。

  2. 在前端主機清單中,選取您想要啟用 HTTPS 以包含自定義網域的自定義網域。

  3. 在 [自定義網域 HTTPS] 區段底下,選取 [已啟用],然後選取 [Front Door 受控為憑證來源]。

  4. 選取 [儲存]。

  5. 繼續驗證 網域

注意

  • 針對 Azure Front Door 管理的憑證,會強制執行 DigiCert 的 64 個字元限制。 如果超過該限制,驗證將會失敗。
  • 頂點/根域不支援透過 Front Door 受控憑證啟用 HTTPS(例如:contoso.com)。 您可以針對此案例使用自己的憑證。 請繼續進行選項 2 以取得進一步的詳細數據。

選項 2:使用您自己的憑證

您可以使用自己的憑證啟用 HTTPS 功能。 此程序會透過與 Azure Key Vault 的整合來進行,而讓您可以安全地儲存您的憑證。 Azure Front Door 使用此安全機制來取得您的憑證,為此您需要執行一些額外步驟。 當您建立 TLS/SSL 憑證時,必須使用屬於 Microsoft 受信任 CA 清單一部分 的允許證書頒發機構單位 (CA) 建立完整的憑證鏈結。 如果您使用非允許的 CA,則會拒絕您的要求。 若出現不含完整鏈結的憑證,則不保證與該憑證相關的要求能如預期運作。

準備金鑰保存庫和憑證

  • 您必須在與前門相同的 Azure 訂用帳戶中擁有密鑰保存庫帳戶。 建立 Azure Key Vault 帳戶 (若尚無帳戶)。

    警告

    Azure Front Door 目前僅支援與 Front Door 設定相同的訂用帳戶中 金鑰保存庫 帳戶。 在與 Front Door 不同的訂用帳戶下選擇 金鑰保存庫 會導致失敗。

  • 若您的金鑰保存庫已啟用網路存取限制,則須設定金鑰保存庫允許信任的 Microsoft 服務略過防火牆。

  • 您的金鑰保存庫必須設定為使用 金鑰保存庫 存取原則許可權模型。

  • 如果您已經有憑證,您可以將憑證直接上傳至金鑰保存庫。 否則請直接透過 Azure Key Vault,從 Azure Key Vault 所整合的其中一個合作夥伴憑證授權單位 (CA) 建立新憑證。 將您的憑證上傳為 憑證 物件,而不是 秘密

注意

Front Door 不支援具有橢圓曲線 (EC) 密碼編譯演算法的憑證。 憑證必須具有具有分葉和中繼憑證的完整憑證鏈結,且根 CA 必須是 Microsoft 信任 CA 清單一部分。

註冊 Azure Front Door

使用 Azure PowerShell 或 Azure CLI,將 Azure Front Door 的服務主體註冊為 Microsoft Entra ID 中的應用程式。

注意

  • 此動作至少需要 Microsoft Entra ID 中的應用程式 管理員 istrator 角色許可權。 每個 Microsoft Entra 租使用者只需要執行一次註冊。
  • 應用程式標識碼是由 Azure 特別指派給 Azure Front Door(傳統版)。
  • Azure Front Door (傳統) 的應用程式識別碼與 Azure Front Door Standard/進階版 層不同
  • 除非您定義不同的範圍,否則指派的角色僅適用於選取的訂用帳戶。
Azure PowerShell

  1. 如有需要, 請在本機計算機上安裝 Azure PowerShell

  2. 在 PowerShell 中執行下列命令:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI

  1. 如有需要, 請在本機計算機上安裝 Azure CLI

  2. 在 CLI 中,執行下列命令:

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

授與 Azure Front Door 存取您的金鑰保存庫

授與 Azure Front Door 權限,存取 Azure Key Vault 帳戶中的憑證。

  1. 在金鑰保存庫帳戶中,選取 [存取原則]

  2. 選取 [建立] 建立新的存取原則。

  3. 祕密權限中選取取得,以允許 Front Door 擷取憑證。

  4. 憑證權限中選取取得,以允許 Front Door 擷取憑證。

  5. [選取主體] 中搜尋 ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037,並選取 [Microsoft.Azure.Frontdoor]。 選取 [下一步]。

  6. [應用程式] 中,選取 [下一步]

  7. 檢閱 + 建立中,選取建立

注意

如果您的金鑰保存庫受到網路存取限制的保護,請務必允許受信任的 Microsoft 服務 存取金鑰保存庫。

Azure Front Door 現在可以存取此金鑰保存庫及其所包含的憑證。

選取要部署的 Azure Front Door 憑證

  1. 返回入口網站中的 Front Door。

  2. 在自訂網域清單中,選取您要啟用 HTTPS 的自訂網域。

    自訂網域頁面隨即出現。

  3. 在憑證管理類型底下,選取使用我自己的憑證

  4. Azure Front Door 需要 Key Vault 帳戶的訂用帳戶與 Front Door 的訂用帳戶相同。 選取金鑰保存庫、秘密和秘密版本。

    Azure Front Door 會列出下列資訊:

    • 您的訂用帳戶識別碼的金鑰保存庫帳戶。
    • 所選金鑰保存庫下的秘密。
    • 可用的秘密版本。

    注意

    為了在金鑰保存庫中有憑證新版本可用時,將憑證自動輪替為最新版本,請將祕密版本設為「最新」。 若已選取特定版本,則須手動重新選取新版本,以便憑證輪替。 部署新版憑證/秘密最多需要 72 -96 小時。

    在更新自定義網域頁面上選取秘密版本的螢幕快照。

    警告

    這是僅限 Azure 入口網站 警告。 您必須將服務主體設定為具有 金鑰保存庫 的 GET 許可權。 為了讓使用者在入口網站下拉式清單中看到憑證,用戶帳戶必須具有 金鑰保存庫的 LIST 和 GET 許可權。 如果使用者沒有這些許可權,他們會在入口網站中看到無法存取的錯誤訊息。 無法存取的錯誤訊息不會影響憑證自動輪替或任何 HTTPS 函式。 如果您不想要變更憑證或版本,則不需要執行此錯誤訊息的動作。 如果您想要變更此頁面上的資訊,請參閱提供許可權給 金鑰保存庫,以將您的帳戶新增至 金鑰保存庫 的 LIST 和 GET 許可權。

  5. 使用自己的憑證時,無須進行網域驗證。 請繼續進行等待傳播

驗證網域

如果您已經有使用中的自定義網域,且該網域會使用 CNAME 記錄對應至您的自定義端點,或者您正在使用自己的憑證,請繼續對應 至自定義網域至您的 Front Door。 否則,如果網域的 CNAME 記錄專案已不存在,或它包含 afdverify 子域,則繼續前往 自定義網域不會對應至 Front Door

自定義網域會透過 CNAME 記錄對應至您的 Front Door

當您將自定義網域新增至 Front Door 的前端主機時,您在網域註冊機構的 DNS 數據表中建立了 CNAME 記錄,以將它對應至 Front Door 的預設 .azurefd.net 主機名。 如果該 CNAME 記錄仍然存在,且不包含 afdverify 子域,DigiCert 證書頒發機構單位會使用它來自動驗證自定義網域的擁有權。

如果您使用自己的憑證,則不需要網域驗證。

您的 CNAME 記錄格式應為下列格式,其中 Name 是您自定義功能變數名稱,而 Value 是 Front Door 的預設 .azurefd.net 主機名:

名稱 類型
<www.contoso.com> CNAME contoso.azurefd.net

如需 CNAME 記錄的詳細資訊,請參閱 建立 CNAME DNS 記錄

如果您的 CNAME 記錄格式正確,DigiCert 會自動驗證您的自訂功能變數名稱,併為您的功能變數名稱建立專用憑證。 DigitCert 不會傳送驗證電子郵件給您,而且不需要核准您的要求。 憑證有效期為一年,並在到期之前自動重新更新。 請繼續進行等待傳播

自動驗證通常只需要幾分鐘。 如果您在一小時內未看到您的網域已驗證,請開啟支援票證。

注意

如果您有 DNS 提供者的證書頒發機構單位授權 (CAA) 記錄,則必須將 DigiCert 納入為有效的 CA。 CAA 記錄可讓網域擁有者使用其 DNS 提供者指定哪些 CA 已獲授權發行其網域的憑證。 如果 CA 收到具有 CAA 記錄且該 CA 未列為授權簽發者之網域的憑證訂單,則禁止將憑證發行至該網域或子域。 如需管理 CAA 記錄的相關信息,請參閱 管理 CAA 記錄。 如需 CAA 記錄工具,請參閱 CAA 記錄協助程式

自定義網域未對應至您的 Front Door

如果端點的 CNAME 記錄專案已不存在,或包含 afdverify 子域,請遵循此步驟中的其餘指示。

在自定義網域上啟用 HTTPS 之後,DigiCert CA 會根據網域的 WHOIS 登錄者資訊,連絡其登錄者來驗證網域的擁有權。 聯繫人是透過電子郵件地址(預設)或 WHOIS 註冊中列出的電話號碼進行。 在自訂網域上使用 HTTPS 之前,您必須先完成網域驗證。 您有六個工作天可以核准網域。 在六個工作天內未核准的要求會自動取消。 DigiCert 網域驗證可在子域層級運作。 您必須個別證明每個子域的擁有權。

WHOIS 記錄

DigiCert 也會將驗證電子郵件傳送至其他電子郵件位址。 如果 WHOIS 登錄者資訊是私人的,請確認您可以直接從下列其中一個位址核准:

<admin@your-domain-name.com>< administrator@your-domain-name.com<> webmaster@your-domain-name.com> hostmaster@<your-domain-name.com> postmaster@<your-domain-name.com>

您應該會在幾分鐘內收到電子郵件,類似於下列範例,要求您核准要求。 如果您使用垃圾郵件篩選器,請將 新增 no-reply@digitalcertvalidation.com 至其允許清單。 在某些情況下,DigiCert 可能無法從 WHOIS 登錄者資訊擷取網域聯繫人,以傳送電子郵件給您。 如果您在 24 小時內未收到電子郵件,請連絡 Microsoft 支援服務。

當您選取核准連結時,系統會將您導向至在線核准表單。 遵循表單上的指示;您有兩個驗證選項:

  • 您可以針對相同的根域,核准透過相同帳戶排列的所有未來訂單;例如,contoso.com。 如果您打算為相同的根域新增更多自定義網域,建議您使用此方法。

  • 您可以只核准此要求中使用的特定主機名。 後續要求需要額外的核准。

核准之後,DigiCert 會完成自定義功能變數名稱的憑證建立。 憑證有效期為一年,並在到期前自動重新更新。

等待傳播

驗證域名之後,最多可能需要 6-8 小時才能啟用自定義網域 HTTPS 功能。 當程式完成時,Azure 入口網站 中的自定義 HTTPS 狀態會設定為 [已啟用],且自定義網域對話方塊中的四個作業步驟會標示為完成。 您的自訂網域現在已準備好使用 HTTPS。

作業進度

下表顯示啟用 HTTPS 時所發生的作業進度。 啟用 HTTPS 之後,自定義網域對話框中會出現四個作業步驟。 當每個步驟變成作用中時,在步驟進行時,會出現更多子步驟詳細數據。 並非所有子步驟都會發生。 在步驟成功完成之後,旁邊會出現綠色複選標記。

作業步驟 作業子步驟詳細數據
1.提交要求 提交要求
您的 HTTPS 要求正在提交中。
您的 HTTPS 要求已成功提交。
2. 網域驗證 如果網域對應至 Front Door 的預設 .azurefd.net 前端主機,則會自動驗證網域。 否則,驗證要求會傳送至您網域註冊記錄中所列的電子郵件(WHOIS 註冊者)。 儘快確認網域。
您的網域擁有權已成功驗證。
網域擁有權驗證要求已過期(客戶可能未在 6 天內回應)。 您的網域上不會啟用 HTTPS。 *
客戶拒絕網域擁有權驗證要求。 您的網域上不會啟用 HTTPS。 *
3.憑證布建 證書頒發機構單位目前正在發出在網域上啟用 HTTPS 所需的憑證。
憑證已發行,且目前正在為您的 Front Door 部署。 此程式可能需要幾分鐘到一小時才能完成。
已成功為您的 Front Door 部署憑證。
4. 完成 已成功在您的網域上啟用 HTTPS。

* 除非發生錯誤,否則不會出現此訊息。

如果在提交要求之前發生錯誤,則會顯示下列錯誤訊息:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

常見問題集

  1. 神秘 是憑證提供者,以及使用何種類型的憑證?

    Digicert 提供的專用/單一憑證會用於您的自定義網域。

  2. 您是否使用以IP為基礎的或 SNI TLS/SSL?

    Azure Front Door 使用 SNI TLS/SSL。

  3. 如果我未從 DigiCert 收到網域驗證電子郵件,該怎麼辦?

    如果您的自定義網域有直接指向端點主機名的 CNAME 專案(且您未使用 afdverify 子域名稱),則不會收到網域驗證電子郵件。 驗證會自動發生。 否則,如果您沒有 CNAME 專案,且未在 24 小時內收到電子郵件,請連絡 Microsoft 支援服務。

  4. 使用 SAN 憑證比專用憑證不安全嗎?

    SAN 憑證遵循與專用憑證相同的加密和安全性標準。 所有發行的 TLS/SSL 憑證都會使用 SHA-256 來增強伺服器安全性。

  5. 我需要具有 DNS 提供者的證書頒發機構單位授權記錄嗎?

    否,目前不需要證書頒發機構單位授權記錄。 不過,如果您有一個,它必須包含 DigiCert 作為有效的 CA。

清除資源

在上述步驟中,您已在自定義網域上啟用 HTTPS 通訊協定。 如果您不想再搭配 HTTPS 使用自訂網域,您可以執行下列步驟來停用 HTTPS:

停用 HTTPS 功能

  1. Azure 入口網站 中,流覽至您的 Azure Front Door 設定。

  2. 在前端主機清單中,選取您要停用 HTTPS 的自定義網域。

  3. 選取 [停用] 以停用 HTTPS,然後選取 [ 儲存]。

等待傳播

停用自定義網域 HTTPS 功能之後,最多可能需要 6-8 小時才會生效。 當程式完成時,Azure 入口網站 中的自定義 HTTPS 狀態會設定為 [已停用],且自定義網域對話方塊中的三個作業步驟會標示為完成。 您的自訂網域無法再使用 HTTPS。

作業進度

下表顯示停用 HTTPS 時所發生的作業進度。 停用 HTTPS 之後,[自訂網域] 對話框中會出現三個作業步驟。 當每個步驟變成作用中時,步驟下會出現更多詳細數據。 在步驟成功完成之後,旁邊會出現綠色複選標記。

作業進度 作業詳細資料
1.提交要求 提交您的要求
2.取消布建憑證 刪除憑證
3. 完成 已刪除憑證

下一步

若要瞭解如何 為您的 Front Door 設定地理篩選原則 ,請繼續進行下一個教學課程。