Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. For more information, see Azure Front Door (classic) retirement.
В этой статье объясняется, как включить HTTPS для пользовательского домена, связанного с Front Door (классическое). Использование HTTPS в пользовательском домене (например, https://www.contoso.com) обеспечивает безопасную передачу данных через шифрование TLS/SSL. Когда веб-браузер подключается к веб-сайту с помощью HTTPS, он проверяет сертификат безопасности веб-сайта и проверяет его легитимность, обеспечивая безопасность и защиту веб-приложений от вредоносных атак.
Azure Front Door поддерживает HTTPS по умолчанию в имени узла по умолчанию (например, https://contoso.azurefd.net). Однако необходимо включить HTTPS отдельно для пользовательских доменов, таких как www.contoso.com.
К ключевым атрибутам настраиваемой функции HTTPS относятся:
- Нет дополнительных затрат: нет затрат на приобретение сертификата, продление или трафик HTTPS.
- Простое включение: однократное предоставление через портал Azure, REST API или другие инструменты разработчика.
- Полное управление сертификатами: автоматическое приобретение сертификатов и продление, что устраняет риск прерывания работы службы из-за истечения срока действия сертификатов.
Из этого руководства вы узнаете, как:
- Включите HTTPS в пользовательском домене.
- Используйте управляемый AFD сертификат.
- Используйте собственный TLS/SSL-сертификат.
- проверка домена;
- Отключите HTTPS в вашем пользовательском домене.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Чтобы узнать, как перейти на модуль Az PowerShell, см. Перенос Azure PowerShell с AzureRM на Az.
Предварительные условия
Прежде чем начать, убедитесь, что у вас есть Front Door с по крайней мере одним подключённым пользовательским доменом. Для получения дополнительной информации см. в Учебнике: Добавление пользовательского домена в службу Front Door.
TLS/SSL-сертификаты
Чтобы включить ПРОТОКОЛ HTTPS в пользовательском домене Front Door (классическая модель), требуется TLS/SSL-сертификат. Вы можете использовать сертификат, управляемый Azure Front Door или собственным сертификатом.
Вариант 1 (по умолчанию). Использование сертификата под управлением Front Door
Использование сертификата, управляемого Azure Front Door, позволяет включить ПРОТОКОЛ HTTPS с несколькими изменениями параметров. Azure Front Door обрабатывает все задачи управления сертификатами, включая закупки и продление. Если ваш пользовательский домен уже сопоставлен с сервером Front Door по умолчанию ({hostname}.azurefd.net), дальнейшие действия не требуются. В противном случае необходимо проверить владение доменом по электронной почте.
Чтобы включить HTTPS в пользовательском домене, выполните приведенные действия.
В портале Azure перейдите к вашему профилю Front Door.
Выберите личный домен, для которого нужно включить HTTPS из списка интерфейсных узлов.
Under Custom domain HTTPS, select Enabled and choose Front Door managed as the certificate source.
Выберите Сохранить.
Перейдите к проверке домена.
Примечание.
- Ограничение на 64 символов DigiCert применяется для управляемых Azure Front Door сертификатов. Validation will fail if this limit is exceeded.
- Включение HTTPS через управляемый сертификат Front Door не поддерживается для доменов apex/root (например, contoso.com). Используйте собственный сертификат для этого сценария (см. вариант 2).
Вариант 2. Использование собственного сертификата
Вы можете использовать собственный сертификат с помощью интеграции с Azure Key Vault. Убедитесь, что сертификат получен из списка доверенных ЦС Майкрософт и имеет полную цепочку сертификатов.
Подготовка хранилища ключей и сертификата
- Создайте учетную запись хранилища ключей в той же подписке Azure, что и Front Door.
- Настройте хранилище ключей, чтобы разрешить доверенным службы Майкрософт обойти брандмауэр, если включены ограничения доступа к сети.
- Используйте модель разрешений политики доступа Key Vault.
- Отправьте сертификат как объект сертификата , а не секрет.
Примечание.
Front Door не поддерживает сертификаты с алгоритмами шифрования эллиптических кривых (ЭК). Сертификат должен включать всю цепочку сертификатов, включая конечные и промежуточные, а корневой ЦС должен входить в список доверенных ЦС Майкрософт.
Регистрация Azure Front Door
Зарегистрируйте представителя службы Azure Front Door в Microsoft Entra ID с помощью Azure PowerShell или Azure CLI.
Azure PowerShell
Установите Azure PowerShell при необходимости.
Выполните следующую команду:
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI
Установите Azure CLI при необходимости.
Выполните следующую команду:
az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
Предоставление Azure Front Door доступа к хранилищу ключей
В учетной записи хранилища ключей выберите Политики доступа.
Нажмите кнопку Создать, чтобы создать новую политику доступа.
В разделе "Разрешения секрета" нажмите кнопку "Получить".
В разрешениях на сертификат нажмите кнопку "Получить".
В разделе Select principal найдите ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 и выберите Microsoft.Azure.Frontdoor. Выберите Далее.
Нажмите кнопку "Далее " в приложении.
Select Create in Review + create.
Примечание.
Если хранилище ключей имеет ограничения доступа к сети, разрешите доверенным службы Майкрософт доступ к хранилищу ключей.
Выбор сертификата для развертывания Azure Front Door
Return to your Front Door in the portal.
Выберите личный домен, для которого требуется включить ПРОТОКОЛ HTTPS.
В разделе " Тип управления сертификатами" выберите "Использовать собственный сертификат".
Select a key vault, Secret, and Secret version.
Примечание.
Чтобы включить автоматическую смену сертификатов, задайте для секретной версии значение "Последняя". Если выбрана определенная версия, необходимо вручную обновить ее для смены сертификатов.
Предупреждение
Ensure your service principal has GET permission on the Key Vault. Чтобы просмотреть сертификат в раскрывающемся списке портала, учетная запись пользователя должна иметь разрешения LIST и GET в Key Vault.
При использовании собственного сертификата проверка домена не требуется. Переходите к разделу Ожидание распространения.
проверка домена;
If your custom domain is mapped to your custom endpoint with a CNAME record or you're using your own certificate, continue to Custom domain is mapped to your Front Door. Otherwise, follow the instructions in Custom domain isn't mapped to your Front Door.
Custom domain is mapped to your Front Door by a CNAME record
Если запись CNAME по-прежнему существует и не содержит поддомен afdverify, DigiCert автоматически проверяет владение личным доменом.
Запись CNAME должна иметь следующий формат:
| Имя. | Тип | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Дополнительные сведения о записи CNAME см. в разделе о создании записи CNAME в DNS.
Если запись CNAME правильна, DigiCert автоматически проверяет личный домен и создает выделенный сертификат. Сертификат действителен в течение одного года и автоматически продлевается до истечения срока его действия. Перейдите к разделу Ожидание распространения.
Примечание.
If you have a Certificate Authority Authorization (CAA) record with your DNS provider, it must include DigiCert as a valid CA. Для получения дополнительной информации см. Управление записями CAA.
Custom domain isn't mapped to your Front Door
Если запись записи CNAME для конечной точки больше не существует или содержит поддомен afdverify, следуйте этим инструкциям.
После включения HTTPS в пользовательском домене DigiCert проверяет владение, связавшись с реестрантом домена по электронной почте или телефону, перечисленным в регистрации WHOIS. Необходимо выполнить проверку домена в течение шести рабочих дней. Проверка домена DigiCert работает на уровне поддомена.
DigiCert также отправляет сообщение электронной почты проверки на следующие адреса, если сведения о реестре WHOIS являются частными:
- admin@<имя_вашего_домена.com>
- administrator@<имя_вашего_домена.com>
- webmaster@<имя_вашего_домена.com>
- hostmaster@<имя_вашего_домена.com>
- postmaster@<имя_вашего_домена.com>
Вы должны получить сообщение электронной почты с просьбой утвердить запрос. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.
После утверждения DigiCert завершит создание сертификата. Сертификат действителен в течение одного года и автоматически продлевается, если запись CNAME сопоставлена с именем узла Azure Front Door по умолчанию.
Примечание.
Managed certificate autorenewal requires that your custom domain be directly mapped to your Front Door's default .azurefd.net hostname by a CNAME record.
Ожидание распространения
После проверки домена может потребоваться до 6–8 часов для активации функции HTTPS личного домена. По завершении настраиваемое состояние HTTPS в портале Azure становится "Включено".
Ход выполнения операции
В следующей таблице показан ход выполнения операции при включении HTTPS:
| Шаг операции | Operation substep details |
|---|---|
| 1. Отправка запроса | Отправка запроса |
| Отправляется HTTP-запрос. | |
| Запрос HTTPS успешно отправлен. | |
| 2. Проверка домена | Домен автоматически подтверждается, если CNAME сопоставлен с фронтенд-хостом по умолчанию .azurefd.net. В противном случае запрос на проверку отправляется в адрес электронной почты, указанной в записи регистрации домена (реестрант WHOIS). Как можно скорее проверьте домен. |
| Ваше владение доменом успешно проверено. | |
| Срок действия запроса проверки владения доменом истек (клиент, скорее всего, не ответил в течение шести дней). HTTPS не включен в вашем домене. * | |
| Запрос на проверку владения доменом, отклоненный клиентом. HTTPS не включен в вашем домене. * | |
| 3. Подготовка сертификатов | Центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене. |
| The certificate was issued and is being deployed for your Front Door. Этот процесс может занять несколько минут до часа. | |
| The certificate was successfully deployed for your Front Door. | |
| 4. Завершено | ПРОТОКОЛ HTTPS был успешно включен в вашем домене. |
* Это сообщение отображается только в том случае, если возникает ошибка.
Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Часто задаваемые вопросы
Кто является поставщиком сертификата и какой тип сертификата используется?
Выделенный или отдельный сертификат, предоставляемый DigiCert, используется для личного домена.
Вы используете подключение TLS/SSL на основе IP-адреса или SNI?
Azure Front Door использует протокол TLS/SSL на основе SNI.
Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?
Если у вас есть запись CNAME для личного домена, которая указывает непосредственно на имя узла конечной точки, и вы не используете поддомен afdverify, вы не получите электронное письмо проверки домена. Проверка в этом случае проходит автоматически. В противном случае, если у вас нет записи CNAME и не было получено сообщение электронной почты в течение 24 часов, обратитесь в службу поддержки Майкрософт.
Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?
Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных TLS/SSL-сертификатов используется алгоритм SHA-256.
Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?
No, a Certificate Authority Authorization record isn't currently required. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.
Очистка ресурсов
Чтобы отключить HTTPS в вашем пользовательском домене, выполните приведенные действия.
Отключение компонента HTTPS
В портале Azure перейдите к конфигурации Azure Front Door.
Выберите личный домен, для которого требуется отключить HTTPS.
Выберите "Отключено " и нажмите кнопку "Сохранить".
Ожидание распространения
После отключения функции HTTPS для персонального домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении настраиваемое состояние HTTPS в портале Azure установлено на "Отключено".
Ход выполнения операции
В следующей таблице показан ход выполнения операции при отключении HTTPS:
| Ход выполнения операции | Сведения об операции |
|---|---|
| 1. Отправка запроса | Отправка запроса |
| 2. Certificate deprovisioning | Удаление сертификата |
| 3. Выполнено | Сертификат удален |
Следующие шаги
Чтобы узнать, как настроить политику геофильтрации для вашей Front Door, перейдите к следующему уроку.