適用於: ✔️ Front Door (傳統)
Important
- 從2025年8月15日起,Azure Front Door(傳統版)將不再支援新的網域上線。 遷移至 AFD 標準和進階 ,以建立新的網域或配置檔,並避免服務中斷。 瞭解更多資訊
- 從 2025 年 8 月 15 日起,Azure Front Door (傳統) 將不再支援受控憑證。 若要避免服務中斷,請 切換至 「攜帶您自己的憑證」, 或在 2025 年 8 月 15 日前移轉至 AFD 標準和進階 。 現有的受控憑證將在 2025 年 8 月 15 日之前自動更新,並持續有效到 2026 年 4 月 14 日為止。 瞭解更多資訊
- Azure Front Door (傳統) 將於 2027 年 3 月 31 日淘汰。 若要避免服務中斷,請移轉至 AFD Standard 或 Premium。 深入瞭解。
本文說明如何為與 Front Door (傳統) 相關聯的自訂網域啟用 HTTPS。 在自訂網域上使用 HTTPS (例如,https://www.contoso.com) 可確保資料能透過 TLS/SSL 加密安全地進行傳輸。 當網頁瀏覽器連線到使用 HTTPS 的網站時,其會驗證網站的安全性憑證並驗證其合法性,以提供安全性並保護 Web 應用程式免於遭受惡意攻擊。
Azure Front Door 預設會在其預設主機名稱上支援 HTTPS (例如,https://contoso.azurefd.net)。 不過,您必須另外為自訂網域 (例如 www.contoso.com) 啟用 HTTPS。
自訂 HTTPS 功能的主要屬性包括:
- 沒有額外成本:憑證取得、更新或 HTTPS 流量不需任何成本。
- 簡單啟用:可透過 Azure 入口網站、REST API 或其他開發人員工具進行一鍵佈建。
- 完整的憑證管理:自動採購和更新憑證,消除因憑證過期而導致服務中斷的風險。
您會在本教學課程中學到:
- 在自訂網域上啟用 HTTPS。
- 使用 AFD 受控憑證。
- 使用您自己的 TLS/SSL 憑證。
- 驗證網域。
- 在自訂網域上停用 HTTPS。
Prerequisites
具有有效訂閱的 Azure 帳戶。 免費建立帳戶。
已上線至少一個自訂網域的 Azure Front Door。 如需詳細資訊,請參閱教學課程:將自訂網域新增至 Front Door。
使用您自己的憑證時,用來在 Microsoft Entra ID 中註冊 Front Door 服務主體的 Azure Cloud Shell 或 Azure PowerShell。
本文中的步驟會在 Azure Cloud Shell 中以互動方式執行 Azure PowerShell Cmdlet。 若要在 Cloud Shell 中執行 Cmdlet,請選取程式碼區塊右上角的 [開啟 Cloud Shell]。 選取 [複製] 以複製程式碼,然後將其貼入 Cloud Shell 以執行。 您也可以從 Azure 入口網站內執行 Cloud Shell。
您也可以在本機安裝 Azure PowerShell 來執行 Cmdlet。 如果您在本機執行 PowerShell,請使用 Connect-AzAccount Cmdlet 登入 Azure。
TLS/SSL 憑證
若要在 Front Door (傳統) 自訂網域上啟用 HTTPS,您需要 TLS/SSL 憑證。 您可以使用 Azure Front Door 受控憑證,或使用您自己的憑證。
選項 1 (預設值):使用 Front Door 所管理的憑證
使用 Azure Front Door 傳統受控憑證可讓您只要變更一些設定就能啟用 HTTPS。 Azure Front Door 傳統會處理所有的憑證管理工作,例如採購和續約。 對於具有通往 Azure Front Door 傳統端點直接 CNAME 的自訂網域,支援此功能。
Important
- 自 2025 年 5 月 8 日起,DigiCert 不再支援 WHOIS 型網域驗證方法。 如果您的網域使用 CNAME 與 Azure Front Door 傳統端點間接對應,則您必須使用自備憑證 (BYOC) 功能。
- 由於 WHOIS 型網域驗證的變更,使用 WHOIS 型網域驗證所簽發的受控憑證無法自動續訂,要等到您有指向 Azure Front Door 傳統的直接 CNAME 才可以。
- 受控憑證不適用根網域或 apex 網域 (例如
contoso.com)。 如果您的 Azure Front Door 傳統自訂網域是根網域或 apex 網域,則必須使用自備憑證 (BYOC) 功能。 - 受控憑證自動重新續約需要使用 CNAME 記錄將您的自訂網域直接對應至 Azure Front Door 傳統端點。
若要在自訂網域上啟用 HTTPS:
在 Azure 入口網站中,移至您的 [Front Door] 設定檔。
從前端主機清單中選取您想要啟用 HTTPS 的自訂網域。
在 [自訂網域 HTTPS] 下選取 [已啟用],然後選擇 [Front Door 受控] 作為憑證來源。
選取 [儲存]。
繼續驗證網域。
Note
- 系統會針對 Azure Front Door 受控憑證強制執行 DigiCert 的 64 個字元限制。 如果超過此限制,驗證會失敗。
- 頂點/根域不支援透過 Front Door 受控憑證啟用 HTTPS(例如,contoso.com)。 針對此案例,請使用您自己的憑證 (請參閱「選項 2」)。
選項 2:使用您自己的憑證
您可以透過與 Azure Key Vault 整合來使用您自己的憑證。 請確定您的憑證來自 Microsoft 受信任 CA 清單 (英文),並具有完整的憑證鏈結。
準備金鑰保存庫和憑證
- 在與 Front Door 相同的 Azure 訂用帳戶中建立金鑰保存庫帳戶。
- 將金鑰保存庫設定為允許受信任的 Microsoft 服務在已啟用網路存取限制時略過防火牆。
- 使用「Key Vault 存取原則」權限模型。
- 將憑證上傳為憑證物件,而不是祕密。
Note
Front Door 不支援憑證使用橢圓曲線 (EC) 的密碼編譯演算法。 憑證須為具有分葉和中繼憑證的完整憑證鏈結,且根 CA 須為 Microsoft 受信任 CA 清單的一部分。
註冊 Azure Front Door
使用 Azure PowerShell 或 Azure CLI,在 Microsoft Entra ID 中註冊 Azure Front Door 服務主體。
使用 New-AzADServicePrincipal (部分機器翻譯) Cmdlet 在 Microsoft Entra ID 中註冊 Front Door 服務主體。
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
授與 Azure Front Door 存取您的金鑰保存庫
在金鑰保存庫帳戶中,選取 [存取原則]。
選取 [建立] 建立新的存取原則。
在 [祕密權限] 中,選取 [取得]。
在 [憑證權限] 中,選取 [取得]。
在 [選取主體] 中搜尋 ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037,然後選取 [Microsoft.Azure.Frontdoor]。 選取 下一步。
在 [應用程式] 中選取 [下一步]。
在 [檢閱 + 建立] 中選取 [建立]。
Note
若您的金鑰保存庫有網路存取限制,請允許受信任的 Microsoft 服務存取您的金鑰保存庫。
選取讓 Azure Front Door 進行部署的憑證
返回入口網站中的 Front Door。
選取您要為其啟用 HTTPS 的自訂網域。
在 [憑證管理類型] 底下,選取 [使用我自己的憑證]。
選取金鑰保存庫、秘密和秘密版本。
Note
若要啟用自動憑證輪替,請將秘密版本設定為 [最新]。 如果選取了特定版本,就必須手動更新才能輪替憑證。
Warning
請確定您的服務主體具有 Key Vault 上的 GET 權限。 若要在入口網站下拉式清單中查看憑證,使用者帳戶必須具有 Key Vault 上的 LIST 和 GET 權限。
使用您自己的憑證時,則不必驗證網域。 請繼續進行等待傳播。
驗證網域
如果您的 CNAME 記錄仍然存在且不包含 afdverify 子域,DigiCert 會自動驗證自定義網域的擁有權。
您的 CNAME 記錄應該採用以下格式:
| Name | 類型 | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
如需有關 CNAME 記錄的詳細資訊,請參閱建立 CNAME DNS 記錄。
如果您的 CNAME 記錄格式正確,DigiCert 就會自動驗證您的自訂網域名稱,並且為您的網域建立憑證。 憑證有效期限為一年,並且會在到期之前自動更新。 自動驗證通常需要幾小時。 如果您沒有看到您的網域在 24 小時內進行驗證,請開啟支援票證。
請繼續進行等待傳播。
Note
如果您具有 DNS 提供者的憑證授權單位授權 (CAA) 記錄,它必須包括 DigiCert 作為有效的 CA。 如需詳細資訊,請參閱管理 CAA 記錄 (英文)。
等待傳播
驗證完網域後,最多可能需要 6 到 8 小時,系統才會啟用自訂網域的 HTTPS 功能。 完成時,Azure 入口網站中的自訂 HTTPS 狀態會設定為 [已啟用]。
作業進度
下表顯示啟用 HTTPS 時的作業進度:
| 作業步驟 | 作業子步驟詳細資料 |
|---|---|
| 1. 提交要求 | 提交請求 |
| 正在提交您的 HTTPS 要求。 | |
| 已成功提交您的 HTTPS 要求。 | |
| 2. 網域驗證 | 若 CNAME 已對應至預設的 .azurefd.net 前端主機,系統便會自動驗證網域。 |
| 已成功驗證您的網域擁有權。 | |
| 網域擁有權驗證要求已過期 (客戶可能未在 6 天內回應)。 您的網域未啟用 HTTPS。 * | |
| 客戶拒絕網域所有權驗證要求。 您的網域未啟用 HTTPS。 * | |
| 3. 憑證佈建 | 憑證授權單位正在發行在網域上啟用 HTTPS 所需的憑證。 |
| 系統已發出憑證,且正在為您的 Front Door 部署。 此流程可能需要幾分鐘到幾小時的時間。 | |
| 系統已成功為您的 Front Door 部署憑證。 | |
| 4. 完成 | 您的網域已成功啟用 HTTPS。 |
* 只有在發生錯誤時,才會顯示此訊息。
如果錯誤發生於提交要求之前,則會顯示下列錯誤訊息:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
常見問題集
憑證提供者是誰?使用的是哪一種憑證?
由 DigiCert 提供的專用/單一憑證會用於您的自訂網域。
您使用 IP 型或 SNI TLS/SSL?
Azure Front Door 使用 SNI TLS/SSL。
如果沒有收到 DigiCert 的驗證電子郵件該怎麼辦?
若自訂網域的 CNAME 項目直接指向端點主機名稱,且您未使用 afdverify 子網域名稱,則您不會收到網域驗證電子郵件。 驗證會自動進行。 否則,如果您沒有 CNAME 項目且未在 24 小時內收到電子郵件,請連絡 Microsoft 支援服務。
SAN 憑證的安全性是否比專用憑證來得低?
SAN 憑證遵循和專用憑證相同的加密與安全性標準。 所有發行的 TLS/SSL 憑證都使用 SHA-256 來加強伺服器安全性。
是否需要我的 DNS 提供者的憑證授權單位授權記錄?
否,目前不需要憑證授權單位授權記錄。 不過,如果您的確有一個授權記錄,它必須包含 DigiCert 作為有效的 CA。
清除資源
若要在自訂網域上停用 HTTPS:
停用 HTTPS 功能
在 Azure 入口網站中,移至您的 [Azure Front Door] 設定。
選取您要為其停用 HTTPS 的自訂網域。
選取 [已停用],然後選取 [儲存]。
等待傳播
停用自訂網域的 HTTPS 功能之後,最多可能需要 6 到 8 小時才會生效。 完成時,Azure 入口網站中的自訂 HTTPS 狀態會設定為 [已停用]。
作業進度
下表顯示停用 HTTPS 時的作業進度:
| 作業進度 | 作業詳細數據 |
|---|---|
| 1. 提交要求 | 正在提交您的要求 |
| 2. 憑證取消佈建 | 刪除憑證 |
| 3. 完成 | 已刪除憑證 |