Поделиться через

Руководство. Использование личного домена и управляемого сертификата для защиты приложения

Это важно

Начиная с 28 июля 2025 г. изменения в управляемых сертификатах службы приложений (ASMC) повлияют на выдачу и продление сертификатов в определенных сценариях. Хотя большинству клиентов не нужно принимать меры, рекомендуется ознакомиться с подробным блогом ASMC для получения дополнительных сведений.

Доменное имя по умолчанию, которое поставляется с приложением, может не представлять свой бренд так, как вы хотите. В этом руководстве описана настройка службы приложений с доменом www , которым вы владеете, например www.contoso.com, и защита личного домена с помощью управляемого сертификата службы приложений.

Имя по умолчанию уже защищено сертификатом с подстановочным знаком для всех приложений службы приложений Azure, но ваш пользовательский домен должен быть защищён с помощью отдельного TLS-сертификата. Самый простой способ — использовать управляемый сертификат из службы приложений. Это бесплатно и легко использовать, и он предоставляет основные функции для защиты личного домена в службе приложений. Дополнительные сведения см. в разделе "Добавление TLS/SSL-сертификатов" и управление ими в службе приложений Azure.

Предпосылки

  • Создайте приложение с помощью Службы приложений Azure.
  • Убедитесь, что вы можете изменять записи DNS для личного домена. Чтобы редактировать записи DNS, вам потребуется доступ к реестру DNS используемого поставщика доменов, например GoDaddy. Например, чтобы добавить записи DNS для www.contoso.com, необходимо настроить параметры DNS для корневого contoso.com домена. Личные домены должны находиться в общедоступной зоне DNS; частная зона DNS поддерживается только в среде службы приложений внутренней подсистемы балансировки нагрузки (ASE).
  • Если у вас еще нет личного домена, вы можете приобрести домен службы приложений.

Масштабируйте приложение

Вам нужно масштабировать приложение до уровня "Базовый ". Базовый уровень соответствует минимальному требованию ценовой категории для пользовательских доменов (общие) и сертификатов (Базовый).

Шаг 1. На портале Azure:

  1. Введите имя приложения в строке поиска в верхней части.
  2. Выберите именованный ресурс с типом Службы приложений.

Снимок экрана: использование поля поиска в верхней панели инструментов для открытия страницы управления приложением Службы приложений.

Шаг 2. На странице управления приложения:

  1. В разделе «Параметры» в боковом меню выберите «Нарастить масштаб (план службы приложений)».
  2. Установите флажок для Базовый B1.
  3. Нажмите кнопку "Выбрать". После завершения обновления приложения появится уведомление.

Снимок экрана: масштабирование приложения службы приложений до уровня

Дополнительные сведения о масштабировании приложений см. в статье "Масштабирование приложения" в Службе приложений Azure.

Настройка личного домена

Шаг 1. На странице управления приложения:

  1. В разделе "Параметры " в боковом меню выберите "Личные домены".
  2. Щелкните + Добавить личный домен.

Снимок экрана: добавление личного домена.

Шаг 2. В диалоговом окне "Добавление личного домена ":

  1. Для поставщика домена выберите "Все остальные доменные службы".
  2. Для TLS/SSL-сертификата выберите управляемый сертификат службы приложений.
  3. Для домена укажите полное доменное имя, которое вы хотите использовать в зависимости от того домена, который вы владеете. Например, если вы владеете contoso.com, вы можете использовать www.contoso.com.
  4. Пока не нажимайте кнопку "Проверить ".

Снимок экрана: настройка нового личного домена вместе с управляемым сертификатом.

Для каждого личного домена в службе приложений необходимо зарегистрировать две записи DNS в поставщике домена. В разделе проверки домена показаны эти две записи DNS. Нажмите соответствующую кнопку "Копировать ", чтобы помочь вам в следующем шаге.

Создание записей DNS

Войдите на веб-сайт своего поставщика домена.

  1. Найдите страницу для управления записями DNS, доменным именем, DNS или управлением сервера имен (точной страницей отличается поставщик домена).
  2. Выберите "Добавить " или соответствующее мини-приложение, чтобы создать запись DNS.
  3. Выберите тип записи DNS на основе раздела проверки домена на портале Azure (CNAME, A или TXT).
  4. Настройте запись DNS на основе столбцов узла и значения из раздела проверки домена на портале Azure.
  5. Обязательно добавьте две разные записи для личного домена.
  6. Для определенных поставщиков изменения записей DNS не становятся эффективными, пока не выберите отдельную ссылку "Сохранить изменения ". Снимок экрана показывает, как должны выглядеть записи DNS для www поддомена после завершения работы.

Снимок экрана, показывающий пример того, как должен выглядеть веб-сайт поставщика домена после добавления записи CNAME и записи TXT для поддомена www.

Проверка и завершение

Шаг 1. Вернитесь в диалоговое окно "Добавление личного домена " на портале Azure, выберите "Проверить".

Снимок экрана: проверка параметров записи DNS в диалоговом окне

Шаг 2. Если в разделе проверки домена отображаются зеленые флажки для обеих записей домена, вы правильно настроили их. Нажмите кнопку "Добавить". Если отображается красный X, исправьте ошибки в параметрах записи DNS на веб-сайте поставщика домена.

Снимок экрана: кнопка

Шаг 3. Вы увидите личный домен, добавленный в список. Кроме того, может появиться красная привязка X без привязки. Подождите несколько минут, пока служба приложений создаст управляемый сертификат для личного домена. После завершения процесса красный X становится зеленой галочкой с Защищено.

Снимок экрана: страница пользовательских доменов с новым защищенным личным доменом.

Тестирование в браузере

Перейдите к DNS-именам, настроенным ранее (например www.contoso.com). Теперь в адресной строке должен отображаться значок блокировки безопасности для URL-адреса приложения, указывающий, что он защищен TLS.

Снимок экрана, на котором показана навигация в приложение службы приложений с личным доменом и безопасностью TLS.

Если при переходе по URL-адресу личного домена возникает ошибка HTTP 404 (не найдена), клиент браузера может кэшировать старый IP-адрес личного домена. Очистите кэш и повторите переход к URL-адресу. На компьютере с Windows можно очистить кэш с помощью ipconfig /flushdns терминала или в диалоговом окне "Запуск".

Часто задаваемые вопросы

Что делать, если у меня еще нет личного домена?

Имя <app-name>.azurewebsites.net всегда назначается приложению, пока вы не удаляете его. Если вы хотите, вы можете приобрести домен службы приложений. Домен службы приложений управляется Azure и интегрирован со службой приложений, что упрощает управление приложениями.

Истекает ли срок действия этого управляемого сертификата?

Управляемый сертификат службы приложений не истекает до тех пор, пока он настроен для личного домена в приложении службы приложений.

Что еще можно сделать с управляемым сертификатом службы приложений для приложения?

Управляемый сертификат предоставляется бесплатно для защиты настраиваемого личного домена приложения. Он поставляется с множеством ограничений. Чтобы сделать больше, например скачать сертификат или использовать его в коде приложения, вы можете отправить собственный сертификат, приобрести сертификат службы приложений или импортировать сертификат Key Vault. Дополнительные сведения см. в статье "Добавление частного сертификата в приложение".

Как я могу использовать имеющийся у меня сертификат для защиты моего собственного домена?

См. статью "Добавление частного сертификата в приложение и защита пользовательского DNS-имени с помощью привязки TLS/SSL" в службе приложений Azure.

Связанный контент