Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Front Door обеспечивает безопасную доставку протокола TLS в приложения по умолчанию при использовании собственных пользовательских доменов. Дополнительные сведения о пользовательских доменах, включая работу пользовательских доменов с HTTPS, см. в статье "Домены" в Azure Front Door.
Azure Front Door поддерживает управляемые Azure сертификаты и сертификаты, управляемые клиентом. В этой статье вы узнаете, как настроить оба типа сертификатов для пользовательских доменов Azure Front Door.
Предварительные условия
- Профиль Azure Front Door. Дополнительные сведения см. в кратком руководстве по созданию Azure Front Door уровня "Стандартный" или "Премиум".
- Личный домен. Если у вас нет личного домена, необходимо сначала приобрести его у поставщика домена. Дополнительные сведения см. в статье Приобретение имени личного домена.
- Если для размещения доменов DNS используется Azure, нужно делегировать систему доменных имен (DNS) поставщика домена в Azure DNS. Дополнительные сведения см. в статье Делегирование домена в Azure DNS. Если же для работы с доменом DNS используется поставщик домена, требуется вручную проверить домен, введя запрошенные записи DNS TXT.
Управляемые сертификаты Azure Front Door для предварительно проверенных доменов, не относящихся к Azure
Если у вас есть собственный домен и домен еще не связан с другой службой Azure, которая предварительно проверяет домены для Azure Front Door, выполните следующие действия.
В разделе "Параметры" выберите "Домены" для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый домен.
В области "Добавление домена" введите или выберите следующие сведения. Затем нажмите кнопку "Добавить ", чтобы подключить личный домен.
Настройка Значение Тип домена Выберите предварительно проверенный домен, отличный от Azure. Управление DNS Выберите управляемый DNS Azure (рекомендуется). Зона DNS Выберите зону Azure DNS, в которую размещается личный домен. Личный домен Выберите существующий домен или добавьте новый. HTTPS Выберите AFD managed (Рекомендуется). Проверьте и свяжите личный домен с конечной точкой, выполнив действия, чтобы включить личный домен.
После успешного подключения личного домена к конечной точке Azure Front Door создает сертификат и развертывает его. Этот процесс может занять от нескольких минут до часа.
Сертификаты, управляемые Azure, для предварительно проверенных доменов Azure
Если у вас есть собственный домен, а домен связан с другой службой Azure, которая предварительно оценивает домены для Azure Front Door, выполните следующие действия:
В разделе "Параметры" выберите "Домены" для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый домен.
В области "Добавление домена" введите или выберите следующие сведения. Затем нажмите кнопку "Добавить ", чтобы подключить личный домен.
Настройка Значение Тип домена Выберите предварительно проверенный домен Azure. Предварительно проверенные пользовательские домены Выберите имя личного домена из раскрывающегося списка служб Azure. HTTPS Выберите управляемый Azure. Проверьте и свяжите личный домен с конечной точкой, выполнив действия, чтобы включить личный домен.
После успешного подключения личного домена к конечной точке сертификат, управляемый Azure Front Door, развертывается в Azure Front Door. Этот процесс может занять от нескольких минут до часа.
использование собственного сертификата;
Также можно использовать собственный сертификат TLS. Сертификат TLS должен соответствовать определенным требованиям. Дополнительные сведения см. в разделе Требования к сертификатам.
Подготовка хранилища ключей и сертификата
Создайте отдельный экземпляр Azure Key Vault, в котором хранятся сертификаты TLS Azure Front Door. Дополнительные сведения см. в разделе "Создание экземпляра Key Vault". Если у вас уже есть сертификат, вы можете загрузить его в новый экземпляр Key Vault. В противном случае можно создать новый сертификат с помощью "Key Vault" от одного из партнеров удостоверяющего центра.
В настоящее время существует два способа проверки подлинности Azure Front Door для доступа к Key Vault:
- Управляемое удостоверение: Azure Front Door использует управляемое удостоверение для проверки подлинности в Key Vault. Этот метод рекомендуется, так как он более безопасный и не требует управления учетными данными. Дополнительные сведения см. в статье Об использовании управляемых удостоверений в Azure Front Door. Если вы используете этот метод, перейдите к разделу "Выбор сертификата для Azure Front Door ".
- Регистрация приложений: Azure Front Door использует регистрацию приложения для проверки подлинности в Key Vault. Этот метод устарел и будет прекращен в будущем. Дополнительные сведения см. в статье "Использование регистрации приложений в Azure Front Door".
Предупреждение
- Azure Front Door в настоящее время поддерживает только Key Vault в той же подписке. Выбор Key Vault в другой подписке приводит к сбою.
- Azure Front Door не поддерживает сертификаты с криптографическими алгоритмами на основе эллиптической кривой. Кроме того, сертификат должен иметь полную цепочку сертификатов с конечными и промежуточными сертификатами. Корневой удостоверяющий центр (ЦС) также должен быть частью Списка доверенных ЦС Microsoft.
Регистрация Azure Front Door
Зарегистрируйте субъект-службу для Azure Front Door в качестве приложения в идентификаторе Microsoft Entra с помощью Microsoft Graph PowerShell или Azure CLI.
Примечание.
- Это действие требует наличия разрешений администратора доступа пользователей в идентификаторе Microsoft Entra. Регистрация должна выполняться только один раз для каждого клиента Microsoft Entra.
- Идентификаторы приложений 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и d4631ece-daab-479b-be77-ccb713491fc0 предварительно определены Azure для Azure Front Door Standard и Premium во всех тенантах и подписках Azure. Azure Front Door (классическая версия) имеет другой идентификатор приложения.
При необходимости установите Microsoft Graph PowerShell в PowerShell на локальном компьютере.
Используйте PowerShell для выполнения следующей команды:
Общедоступное облако Azure:
New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Облако Azure для государственных организаций:
New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
Предоставление Azure Front Door доступа к хранилищу ключей
Предоставьте Azure Front Door разрешение на доступ к сертификатам в новой учетной записи Key Vault, созданной специально для Azure Front Door. Чтобы Azure Front Door мог получить сертификат, необходимо предоставить GET разрешение на сертификат и секрет.
В учетной записи Key Vault выберите политики доступа.
Нажмите кнопку Добавить или Создать, чтобы создать новую политику доступа.
В разделе "Разрешения секрета" выберите "Получить ", чтобы разрешить Azure Front Door получить сертификат.
В разрешениях на сертификат выберите "Получить ", чтобы разрешить Azure Front Door получить сертификат.
В разделе Select principal выполните поиск 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и выберите Microsoft.AzureFrontDoor-Cdn. Выберите Далее.
В разделе Приложение нажмите кнопку Далее.
В разделе Просмотр и создание щелкните Создать.
Примечание.
Если хранилище ключей защищено с помощью ограничений доступа к сети, обязательно разрешите доверенным службам Майкрософт доступ к хранилищу ключей.
Теперь у Azure Front Door есть доступ к этому хранилищу и сертификатам, которые хранятся в нем.
Выбор сертификата для развертывания Azure Front Door
Вернитесь к Azure Front Door уровня "Стандартный" или "Премиум" на портале.
В разделе "Параметры" перейдите в раздел "Секреты" и нажмите кнопку "Добавить сертификат".
В области "Добавление сертификата" установите флажок для сертификата, который вы хотите добавить в Azure Front Door Standard или Premium.
При выборе сертификата необходимо выбрать версию сертификата. Если выбрать последнюю версию, Azure Front Door автоматически обновляется при смене сертификата (продлении). Вы также можете выбрать определенную версию сертификата, если вы предпочитаете самостоятельно управлять сменой сертификатов.
Оставьте выбранный вариант версии как "Последняя " и нажмите кнопку "Добавить".
После успешной подготовки сертификата его можно использовать при добавлении нового личного домена.
В разделе "Параметры" перейдите в домены и выберите +Добавить, чтобы добавить новый личный домен. На панели "Добавление домена" для HTTPS выберите "Принести собственный сертификат" (BYOC). Для секрета выберите сертификат, который вы хотите использовать в раскрывающемся списке.
Примечание.
Имя сертификата (CN) или альтернативное имя субъекта (SAN) сертификата должно соответствовать добавленному пользовательскому домену.
Выполните действия на экране, чтобы проверить сертификат. Затем свяжите только что созданный личный домен с конечной точкой, как описано в разделе "Настройка личного домена".
Переключение между типами сертификатов
Вы можете переключать домен между сертификатом, управляемым Azure Front Door, и сертификатом, управляемым клиентом. Дополнительные сведения см. в разделе "Домены" в Azure Front Door.
Выберите состояние сертификата, чтобы открыть область сведений о сертификате.
В области сведений о сертификате вы можете переключаться между режимом управления сертификатами, предоставляемыми Azure Front Door, и параметром Bring Your Own Certificate (BYOC).
Если выбрать предоставленный сертификат (BYOC), выполните указанные выше действия, чтобы выбрать сертификат.
Выберите Обновить, чтобы изменить сертификат, привязанный к домену.