Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Front Door (классическая модель)
Important
- Начиная с 15 августа 2025 г. Azure Front Door (классическая версия) больше не будет поддерживать подключение нового домена. Перейдите в AFD Standard и Premium , чтобы создать новые домены или профили и избежать нарушений работы служб. Подробнее
- Начиная с 15 августа 2025 г. Azure Front Door (классическая версия) больше не будет поддерживать управляемые сертификаты. Чтобы избежать нарушения работы службы, перейдите на использование вашего собственного сертификата (BYOC) или перейдите на AFD Standard и Premium к 15 августа 2025 г. Существующие управляемые сертификаты будут автоматически обновляться до 15 августа 2025 г. и остаются действительными до 14 апреля 2026 г. Подробнее
- Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушения работы службы, перейдите в AFD Standard или Premium. Дополнительные сведения.
В этой статье объясняется, как включить HTTPS для пользовательского домена, связанного с Front Door (классическое). Использование HTTPS в пользовательском домене (например, https://www.contoso.com) обеспечивает безопасную передачу данных через шифрование TLS/SSL. Когда веб-браузер подключается к веб-сайту с помощью HTTPS, он проверяет сертификат безопасности веб-сайта и проверяет его легитимность, обеспечивая безопасность и защиту веб-приложений от вредоносных атак.
Azure Front Door поддерживает HTTPS по умолчанию в имени узла по умолчанию (например, https://contoso.azurefd.net). Однако необходимо включить HTTPS отдельно для пользовательских доменов, таких как www.contoso.com.
К ключевым атрибутам настраиваемой функции HTTPS относятся:
- Нет дополнительных затрат: нет затрат на приобретение сертификата, продление или трафик HTTPS.
- Простое включение: однократное предоставление через портал Azure, REST API или другие инструменты разработчика.
- Полное управление сертификатами: автоматическое приобретение сертификатов и продление, что устраняет риск прерывания работы службы из-за истечения срока действия сертификатов.
Из этого руководства вы узнаете, как:
- Включите HTTPS в пользовательском домене.
- Используйте управляемый AFD сертификат.
- Используйте собственный TLS/SSL-сертификат.
- проверка домена;
- Отключите HTTPS в вашем пользовательском домене.
Prerequisites
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Azure Front Door с подключением хотя бы одного личного домена. Для получения дополнительной информации см. в Учебнике: Добавление пользовательского домена в службу Front Door.
Azure Cloud Shell или Azure PowerShell для регистрации субъекта-службы Front Door в идентификаторе Microsoft Entra при использовании собственного сертификата.
Шаги, описанные в этой статье, позволяют выполнять командлеты Azure PowerShell в интерактивном режиме в Azure Cloud Shell. Чтобы запустить командлеты в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портала Azure.
Вы также можете установить Azure PowerShell локально для выполнения командлетов. При локальном запуске PowerShell войдите в Azure с помощью командлета Connect-AzAccount .
TLS/SSL-сертификаты
Чтобы включить ПРОТОКОЛ HTTPS в пользовательском домене Front Door (классическая модель), требуется TLS/SSL-сертификат. Вы можете использовать сертификат, управляемый Azure Front Door или собственным сертификатом.
Вариант 1 (по умолчанию). Использование сертификата под управлением Front Door
Использование сертификата, управляемого Azure Front Door Classic, позволяет включить ПРОТОКОЛ HTTPS с несколькими изменениями параметров. Azure Front Door Classic обрабатывает все задачи управления сертификатами, включая закупки и продление. Это поддерживается для пользовательских доменов с прямым CNAME в классическую конечную точку Azure Front Door.
Important
- По состоянию на 8 мая 2025 г. DigiCert больше не поддерживает метод проверки домена на основе WHOIS. Если в вашем домене используется косвенное сопоставление CNAME с классической конечной точкой Azure Front Door, необходимо использовать функцию "Принести собственный сертификат" (BYOC).
- Из-за изменений в проверке домена на основе WHOIS управляемые сертификаты, выданные с помощью проверки домена на основе WHOIS, не могут быть автоматически возвращены до тех пор, пока у вас нет прямого CNAME, указывающего на Классическую версию Azure Front Door.
- Управляемые сертификаты недоступны для корневых или вершинных доменов (например,
contoso.com). Если классический домен Azure Front Door является корневым или вершинным доменом, необходимо использовать функцию "Принести собственный сертификат" (BYOC). - Для автоматического автоматического обновления управляемого сертификата требуется, чтобы личный домен напрямую сопоставляется с классической конечной точкой Azure Front Door с помощью записи CNAME.
Чтобы включить HTTPS в пользовательском домене, выполните приведенные действия.
В портале Azure перейдите к вашему профилю Front Door.
Выберите личный домен, для которого нужно включить HTTPS из списка интерфейсных узлов.
В разделе HTTPS для пользовательского домена выберите Включено и выберите управляемый Front Door в качестве источника сертификата.
Нажмите кнопку "Сохранить".
Перейдите к проверке домена.
Note
- Ограничение на 64 символов DigiCert применяется для управляемых Azure Front Door сертификатов. Проверка завершается ошибкой, если это ограничение превышено.
- Включение HTTPS через сертификат, управляемый системой Front Door, не предусматривается для основных или корневых доменов (например, contoso.com). Используйте собственный сертификат для этого сценария (см. вариант 2).
Вариант 2. Использование собственного сертификата
Вы можете использовать собственный сертификат с помощью интеграции с Azure Key Vault. Убедитесь, что сертификат получен из списка доверенных ЦС Майкрософт и имеет полную цепочку сертификатов.
Подготовка хранилища ключей и сертификата
- Создайте учетную запись хранилища ключей в той же подписке Azure, что и Front Door.
- Настройте хранилище ключей, чтобы разрешить доверенным службы Майкрософт обойти брандмауэр, если включены ограничения доступа к сети.
- Используйте модель разрешений политики доступа Key Vault.
- Отправьте сертификат как объект сертификата , а не секрет.
Note
Front Door не поддерживает сертификаты с алгоритмами шифрования эллиптических кривых (ЭК). Сертификат должен включать всю цепочку сертификатов, включая конечные и промежуточные, а корневой ЦС должен входить в список доверенных ЦС Майкрософт.
Регистрация Azure Front Door
Зарегистрируйте представителя службы Azure Front Door в Microsoft Entra ID с помощью Azure PowerShell или Azure CLI.
Используйте командлет New-AzADServicePrincipal, чтобы зарегистрировать сервисный главный объект Front Door в Microsoft Entra ID.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Предоставление Azure Front Door доступа к хранилищу ключей
В учетной записи хранилища ключей выберите Политики доступа.
Нажмите кнопку Создать, чтобы создать новую политику доступа.
В разделе "Разрешения секрета" нажмите кнопку "Получить".
В разрешениях на сертификат нажмите кнопку "Получить".
В разделе Select principal найдите ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 и выберите Microsoft.Azure.Frontdoor. Нажмите кнопку Далее.
Нажмите кнопку "Далее " в приложении.
Нажмите Создать в Обзор и создание.
Note
Если хранилище ключей имеет ограничения доступа к сети, разрешите доверенным службы Майкрософт доступ к хранилищу ключей.
Выбор сертификата для развертывания Azure Front Door
Вернитесь в раздел Front Door на портале.
Выберите личный домен, для которого требуется включить ПРОТОКОЛ HTTPS.
В разделе " Тип управления сертификатами" выберите "Использовать собственный сертификат".
Выберите хранилище ключей, секрет и версию секрета.
Note
Чтобы включить автоматическую смену сертификатов, задайте для секретной версии значение "Последняя". Если выбрана определенная версия, необходимо вручную обновить ее для смены сертификатов.
Warning
Убедитесь, что субъект-служба имеет разрешение GET в Key Vault. Чтобы просмотреть сертификат в раскрывающемся списке портала, учетная запись пользователя должна иметь разрешения LIST и GET в Key Vault.
При использовании собственного сертификата проверка домена не требуется. Переходите к разделу Ожидание распространения.
проверка домена;
Если запись CNAME по-прежнему существует и не содержит afdverify поддомен, DigiCert автоматически проверяет владение личным доменом.
Запись CNAME должна иметь следующий формат:
| Name | Type | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Дополнительные сведения о записи CNAME см. в разделе о создании записи CNAME в DNS.
Если запись CNAME имеет правильный формат, DigiCert автоматически подтвердит имя личного домена и создаст сертификат для вашего домена. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться. Автоматическая проверка обычно занимает несколько часов. Если домен не проверен в 24 часах, откройте запрос в службу поддержки.
Перейдите к разделу Ожидание распространения.
Note
Если у вашего поставщика DNS имеется запись авторизации центра сертификации (CAA), она должна включать DigiCert как действительный ЦС. Для получения дополнительной информации см. Управление записями CAA.
Ожидание распространения
После проверки домена может потребоваться до 6–8 часов для активации функции HTTPS личного домена. По завершении настраиваемое состояние HTTPS в портале Azure становится "Включено".
Ход выполнения операции
В следующей таблице показан ход выполнения операции при включении HTTPS:
| Шаг операции | Сведения о подшаге операции |
|---|---|
| 1. Отправка запроса | Отправка запроса |
| Отправляется HTTP-запрос. | |
| Запрос HTTPS успешно отправлен. | |
| 2. Проверка домена | Домен автоматически подтверждается, если CNAME сопоставлен с фронтенд-хостом по умолчанию .azurefd.net. |
| Ваше владение доменом успешно проверено. | |
| Срок действия запроса проверки владения доменом истек (клиент, скорее всего, не ответил в течение шести дней). HTTPS не включен в вашем домене. * | |
| Запрос на проверку владения доменом, отклоненный клиентом. HTTPS не включен в вашем домене. * | |
| 3. Подготовка сертификатов | Центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене. |
| Сертификат был выдан и развернут для Front Door. Этот процесс может занять несколько минут до часа. | |
| Сертификат успешно развернут для Front Door. | |
| 4. Завершено | ПРОТОКОЛ HTTPS был успешно включен в вашем домене. |
* Это сообщение отображается только в том случае, если возникает ошибка.
Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Часто задаваемые вопросы
Кто является поставщиком сертификата и какой тип сертификата используется?
Выделенный или отдельный сертификат, предоставляемый DigiCert, используется для личного домена.
Вы используете подключение TLS/SSL на основе IP-адреса или SNI?
Azure Front Door использует протокол TLS/SSL на основе SNI.
Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?
Если у вас есть запись CNAME для личного домена, которая указывает непосредственно на имя узла конечной точки, и вы не используете поддомен afdverify, вы не получите электронное письмо проверки домена. Проверка в этом случае проходит автоматически. В противном случае, если у вас нет записи CNAME и не было получено сообщение электронной почты в течение 24 часов, обратитесь в службу поддержки Майкрософт.
Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?
Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных TLS/SSL-сертификатов используется алгоритм SHA-256.
Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?
Нет, запись авторизации центра сертификации в настоящее время не требуется. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.
Очистка ресурсов
Чтобы отключить HTTPS в вашем пользовательском домене, выполните приведенные действия.
Отключение компонента HTTPS
В портале Azure перейдите к конфигурации Azure Front Door.
Выберите личный домен, для которого требуется отключить HTTPS.
Выберите "Отключено " и нажмите кнопку "Сохранить".
Ожидание распространения
После отключения функции HTTPS для персонального домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении настраиваемое состояние HTTPS в портале Azure установлено на "Отключено".
Ход выполнения операции
В следующей таблице показан ход выполнения операции при отключении HTTPS:
| Ход выполнения операции | Сведения об операции |
|---|---|
| 1. Отправка запроса | Отправка запроса |
| 2. Депровизирование сертификата | Удаление сертификата |
| 3. Выполнено | Сертификат удален |