使用 Azure 入口網站，在 Azure Front Door 自定義網域上設定 HTTPS

發行項
04/07/2024

當您使用自己的自定義網域時，Azure Front Door 預設會啟用安全傳輸層安全性（TLS）傳遞至您的應用程式。若要深入瞭解自定義網域，包括自定義網域如何使用 HTTPS，請參閱 Azure Front Door 中的網域。

Azure Front Door 支援 Azure 受控憑證和客戶管理的憑證。在本文中，您將瞭解如何為 Azure Front Door 自定義網域設定這兩種類型的憑證。

必要條件

您必須先建立 Azure Front Door 配置檔，才能設定自定義網域的 HTTPS。如需詳細資訊，請參閱建立 Azure Front Door 配置檔。
如果您還沒有自訂網域，必須先向網域提供者購買。如需範例，請參閱購買自訂網域名稱。
如果您使用 Azure 來裝載 DNS 網域，則必須將網域提供者的網域名稱系統 (DNS) 委派給 Azure DNS。如需詳細資訊，請參閱將網域委派給 Azure DNS。否則，如果您使用網域提供者來處理 DNS 網域，您必須輸入提示的 DNS TXT 記錄，以手動驗證網域。

非 Azure 預先驗證網域的 Azure Front Door 受控憑證

如果您有自己的網域，且該網域尚未與另一個針對 Azure Front Door 網域進行網域的 Azure 服務相關聯，請遵循下列步驟：

在 [設定] 下，選取 [Azure Front Door 配置檔的網域]。然後選取 [+ 新增 ] 以新增網域。

在 [ 新增網域 ] 窗格中，輸入或選取下列資訊。然後選取 [ 新增 ] 以將自定義網域上線。

顯示已選取 Azure 受控 DNS 的 [新增網域] 窗格的螢幕快照。

設定	值
網域類型	選取 [非 Azure 預先驗證的網域]。
DNS 管理	選取 [Azure 受控 DNS][建議]。
DNS 區域	選取裝載自定義網域的 Azure DNS 區域。
自訂網域	選取現有的網域或新增網域。
HTTPS	選取 [ AFD 受控] [建議] 。

遵循啟用自定義網域的步驟，驗證自定義網域並將其與端點產生關聯。
在自定義網域成功與端點建立關聯之後，Azure Front Door 會產生憑證並加以部署。此程式可能需要幾分鐘到一小時才能完成。

適用於 Azure 預先驗證網域的 Azure 受控憑證

如果您有自己的網域，且該網域與另一個針對 Azure Front Door 預先部署網域的 Azure 服務相關聯，請遵循下列步驟：

在 [設定] 下，選取 Azure Front Door 配置檔的 [網域]。 然後選取 [+ 新增 ] 以新增網域。

在 [ 新增網域 ] 窗格中，輸入或選取下列資訊。然後選取 [ 新增 ] 以將自定義網域上線。

顯示 [新增網域] 窗格與先前驗證網域的螢幕快照。

設定	值
網域類型	選取 [Azure 預先驗證的網域]。
預先驗證的自定義網域	從 Azure 服務的下拉式清單中選取自訂功能變數名稱。
HTTPS	選取 [ Azure 受控]。

遵循啟用自定義網域的步驟，驗證自定義網域並將其與端點產生關聯。
成功將自定義網域與端點建立關聯之後，Azure Front Door 受控憑證就會部署到 Azure Front Door。此程式可能需要幾分鐘到一小時才能完成。

使用您自己的憑證

您也可以選擇使用自己的 TLS 憑證。您的 TLS 憑證必須符合特定需求。如需詳細資訊，請參閱憑證要求。

準備金鑰保存庫和憑證

建議您建立個別的 Azure 金鑰保存庫實例，以在其中儲存 Azure Front Door TLS 憑證。如需詳細資訊，請參閱建立金鑰保存庫實例。如果您已經有憑證，您可以將它上傳至新的金鑰保存庫實例。否則，您可以透過其中一個證書頒發機構單位（CA）合作夥伴金鑰保存庫建立新的憑證。

警告

Azure Front Door 目前只支援相同訂用帳戶中的金鑰保存庫。在不同的訂用帳戶下選取金鑰保存庫會導致失敗。

關於憑證的其他注意事項：

Azure Front Door 不支援具有橢圓曲線密碼編譯演算法的憑證。此外，您的憑證必須具有具有分葉和中繼憑證的完整憑證鏈結。根 CA 也必須是 Microsoft 信任 CA 清單的一部分。
建議您使用受控識別來允許存取您的金鑰保存庫憑證，因為應用程式註冊將會在未來淘汰。

註冊 Azure Front Door

使用 Azure PowerShell 或 Azure CLI，將 Azure Front Door 的服務主體註冊為 Microsoft Entra ID 中的應用程式。

注意

此動作需要您在 Microsoft Entra ID 中擁有全域管理員 istrator 許可權。每個 Microsoft Entra 租使用者只需要執行一次註冊。
205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 和 d4631ece-daab-479b-be77-ccb713491fc0 的應用程式標識碼是由 Azure For Azure Front Door Standard 預先定義，且跨所有 Azure 租使用者和訂用帳戶進階版。 Azure Front Door（傳統版）有不同的應用程式標識碼。

Azure PowerShell
Azure CLI

如有需要，請在本機計算機上安裝 Azure PowerShell 。

使用 PowerShell 執行下列命令：

Azure 公用雲端：

New-AzADServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'

Azure Government 雲端：

 New-AzADServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'

如有需要，請在本機計算機上安裝 Azure CLI 。

使用 Azure CLI 來執行下列命令：

Azure 公用雲端：

az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8

Azure Government 雲端：

 az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0

授與 Azure Front Door 存取您的金鑰保存庫

授與 Azure Front Door 許可權，以存取您金鑰保存庫帳戶中的憑證。您只需要授 GET 與憑證和秘密的許可權，Azure Front Door 才能擷取憑證。

在您的金鑰保存庫帳戶中，選取 [存取原則]。
選取 [新建] 或 [建立] 來建立新的存取原則。
在 [ 秘密許可權] 中，選取 [取得 ] 以允許 Azure Front Door 擷取憑證。
在 [憑證許可權] 中，選取 [取得 ] 以允許 Azure Front Door 擷取憑證。
在 [選取主體] 中，搜尋 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 ，然後選取 [Microsoft.AzureFrontDoor-Cdn]。選取 [下一步]。
在 [應用程式] 中，選取 [下一步]。
在檢閱 + 建立中，選取建立。

注意

如果您的金鑰保存庫受到網路存取限制的保護，請務必允許受信任的 Microsoft 服務存取金鑰保存庫。

Azure Front Door 現在可以存取此金鑰保存庫及其所包含的憑證。

選取要部署的 Azure Front Door 憑證

返回入口網站中的 Azure Front Door 標準/進階。
在 [設定] 底下，移至 [秘密]，然後選取 [+ 新增憑證]。
在 [新增憑證] 窗格中，選取您要新增至 Azure Front Door Standard/進階版之憑證的複選框。
當您選取憑證時，則必須選取憑證版本。如果您選取 [ 最新]，Azure Front Door 會在憑證輪替時自動更新（更新）。如果您想要自行管理憑證輪替，您也可以選取特定的憑證版本。

將版本選取專案保留為 [最新 ]，然後選取 [ 新增]。
成功布建憑證之後，您可以在新增自定義網域時使用它。
在 [設定] 下，移至 [網域]，然後選取 [+ 新增] 以新增自定義網域。在 [新增網域] 窗格的 [HTTPS] 上，選取 [攜帶您自己的憑證] （BYOC）。 針對 [ 秘密]，從下拉式清單中選取您想要使用的憑證。

注意

所選取憑證的一般名稱必須符合要新增的自定義網域。
請遵循螢幕上的步驟來驗證憑證。然後，將新建立的自定義網域與設定自定義網域中所述的端點產生關聯。

在憑證類型之間切換

您可以使用 Azure Front Door 受控憑證或客戶管理的憑證來變更網域。如需詳細資訊，請參閱 Azure Front Door 中的網域。

選取憑證狀態以開啟 [ 憑證詳細數據 ] 窗格。
在 [憑證詳細數據] 窗格中，您可以在 Azure Front Door 受控和自備憑證（BYOC）之間變更。

如果您選取 [ 攜帶您自己的憑證]，請遵循上述步驟來選取憑證。
選取 [更新] 以變更與網域相關聯的憑證。

下一步

瞭解如何使用 Azure Front Door Standard/進階版進行快取。
了解 Azure Front Door 上的自訂網域。
瞭解使用 Azure Front Door 的端對端 TLS。