Настройка HTTPS в пользовательском домене Azure Front Door с помощью портал Azure
Azure Front Door обеспечивает безопасную доставку протокола TLS в приложения по умолчанию при использовании собственных пользовательских доменов. Дополнительные сведения о пользовательских доменах, включая работу пользовательских доменов с HTTPS, см. в статье "Домены" в Azure Front Door.
Azure Front Door поддерживает управляемые Azure сертификаты и сертификаты, управляемые клиентом. В этой статье вы узнаете, как настроить оба типа сертификатов для пользовательских доменов Azure Front Door.
Необходимые компоненты
- Чтобы настроить протокол HTTPS для личного домена, сначала необходимо создать профиль Azure Front Door. Дополнительные сведения см. в статье Создание профиля Azure Front Door.
- Если у вас еще нет личного домена, требуется его приобрести у поставщика доменов. Например, ознакомьтесь с руководством Приобретение имени личного домена для веб-приложений Azure.
- Если для размещения доменов DNS используется Azure, нужно делегировать систему доменных имен (DNS) поставщика домена в Azure DNS. Дополнительные сведения см. в статье Делегирование домена в Azure DNS. Если же для работы с доменом DNS используется поставщик домена, требуется вручную проверить домен, введя запрошенные записи DNS TXT.
Управляемые Azure Front Door сертификаты для доменов, отличных от Azure
Если у вас есть собственный домен, и домен еще не связан с другой службой Azure, которая превалирует домены для Azure Front Door, выполните следующие действия.
В разделе "Параметры" выберите "Домены" для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый домен.
В области "Добавление домена" введите или выберите следующие сведения. Затем нажмите кнопку "Добавить ", чтобы подключить личный домен.
Параметр Значение Тип домена Выберите предварительно проверенный домен, отличный от Azure. Управление DNS Выберите управляемый DNS Azure (рекомендуется). Зона DNS Выберите зону Azure DNS, в которую размещается личный домен. Личный домен Выберите существующий домен или добавьте новый. HTTPS Выберите AFD managed (Рекомендуется). Проверьте и свяжите личный домен с конечной точкой, выполнив действия, чтобы включить личный домен.
После успешного подключения личного домена к конечной точке Azure Front Door создает сертификат и развертывает его. Этот процесс может занять от нескольких минут до часа.
Управляемые Azure сертификаты для предварительно заданных доменов Azure
Если у вас есть собственный домен, а домен связан с другой службой Azure, которая предварительно оценивает домены для Azure Front Door, выполните следующие действия:
В разделе "Параметры" выберите "Домены" для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый домен.
В области "Добавление домена" введите или выберите следующие сведения. Затем нажмите кнопку "Добавить ", чтобы подключить личный домен.
Параметр Значение Тип домена Выберите предварительно проверенный домен Azure. Предварительно проверенные пользовательские домены Выберите имя личного домена из раскрывающегося списка служб Azure. HTTPS Выберите управляемый Azure. Проверьте и свяжите личный домен с конечной точкой, выполнив действия, чтобы включить личный домен.
После успешного подключения личного домена к конечной точке сертификат, управляемый Azure Front Door, развертывается в Azure Front Door. Этот процесс может занять от нескольких минут до часа.
использование собственного сертификата;
Также можно использовать собственный сертификат TLS. Сертификат TLS должен соответствовать определенным требованиям. Дополнительные сведения см. в разделе Требования к сертификатам.
Подготовка хранилища ключей и сертификата
Создайте отдельный экземпляр Azure Key Vault, в котором хранятся сертификаты TLS Azure Front Door. Дополнительные сведения см. в разделе "Создание экземпляра Key Vault". Если у вас уже есть сертификат, его можно отправить в новый экземпляр Key Vault. В противном случае можно создать сертификат с помощью Key Vault из одного из партнеров центра сертификации (ЦС).
В настоящее время существует два способа проверки подлинности Azure Front Door для доступа к Key Vault:
- Управляемое удостоверение: Azure Front Door использует управляемое удостоверение для проверки подлинности в Key Vault. Этот метод рекомендуется, так как он более безопасный и не требует управления учетными данными. Дополнительные сведения см. в статье Об использовании управляемых удостоверений в Azure Front Door. Если вы используете этот метод, перейдите к разделу "Выбор сертификата для Azure Front Door ".
- Регистрация приложений: Azure Front Door использует регистрацию приложения для проверки подлинности в Key Vault. Этот метод устарел и будет прекращен в будущем. Дополнительные сведения см. в статье "Использование регистрации приложений в Azure Front Door".
Предупреждение
*Azure Front Door в настоящее время поддерживает только Key Vault в той же подписке. Выбор Key Vault в другой подписке приводит к сбою.
- Azure Front Door не поддерживает сертификаты с алгоритмами шифрования с многоточием кривой. Кроме того, сертификат должен иметь полную цепочку сертификатов с конечными и промежуточными сертификатами. Корневой ЦС также должен быть частью списка доверенных ЦС Майкрософт.
Регистрация Azure Front Door
Зарегистрируйте субъект-службу для Azure Front Door в качестве приложения в идентификаторе Microsoft Entra с помощью Microsoft Graph PowerShell или Azure CLI.
Примечание.
- Это действие требует наличия разрешений администратора доступа пользователей в идентификаторе Microsoft Entra. Регистрация должна выполняться только один раз для каждого клиента Microsoft Entra.
- Идентификаторы приложений 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и d4631ece-daab-479b-be77-ccb713491fc0 предварительно определены Azure для Azure для Azure Front Door Standard и Premium во всех клиентах и подписках Azure. Azure Front Door (классическая версия) имеет другой идентификатор приложения.
При необходимости установите Microsoft Graph PowerShell в PowerShell на локальном компьютере.
Используйте PowerShell для выполнения следующей команды:
Общедоступное облако Azure:
New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
Облако Azure для государственных организаций:
New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
Предоставление Azure Front Door доступа к хранилищу ключей
Предоставьте Azure Front Door разрешение на доступ к сертификатам в новой учетной записи Key Vault, созданной специально для Azure Front Door. Для получения сертификата и секрета необходимо предоставить GET
разрешение только azure Front Door.
В учетной записи Key Vault выберите политики доступа.
Нажмите кнопку Добавить или Создать, чтобы создать новую политику доступа.
В разделе "Разрешения секрета" выберите "Получить ", чтобы разрешить Azure Front Door получить сертификат.
В разрешениях на сертификат выберите "Получить ", чтобы разрешить Azure Front Door получить сертификат.
В разделе Select principal выполните поиск 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и выберите Microsoft.AzureFrontDoor-Cdn. Выберите Далее.
В разделе Приложение нажмите кнопку Далее.
В разделе Просмотр и создание щелкните Создать.
Примечание.
Если хранилище ключей защищено с помощью ограничений доступа к сети, обязательно разрешите доверенным службам Майкрософт доступ к хранилищу ключей.
Теперь у Azure Front Door есть доступ к этому хранилищу и сертификатам, которые хранятся в нем.
Выбор сертификата для развертывания Azure Front Door
Вернитесь к Azure Front Door уровня "Стандартный" или "Премиум" на портале.
В разделе "Параметры" перейдите в раздел "Секреты" и нажмите кнопку "Добавить сертификат".
В области "Добавление сертификата" установите флажок для сертификата, который вы хотите добавить в Azure Front Door Standard или Premium.
При выборе сертификата необходимо выбрать версию сертификата. Если выбрать последнюю версию, Azure Front Door автоматически обновляется при смене сертификата (продлении). Вы также можете выбрать определенную версию сертификата, если вы предпочитаете самостоятельно управлять сменой сертификатов.
Оставьте выбранный вариант версии как "Последняя " и нажмите кнопку "Добавить".
После успешной подготовки сертификата его можно использовать при добавлении нового личного домена.
В разделе "Параметры" перейдите в домены и выберите +Добавить, чтобы добавить новый личный домен. На панели "Добавление домена" для HTTPS выберите "Принести собственный сертификат" (BYOC). Для секрета выберите сертификат, который вы хотите использовать в раскрывающемся списке.
Примечание.
Общее имя выбранного сертификата должно совпадать с добавленным личным доменом.
Выполните действия на экране, чтобы проверить сертификат. Затем свяжите только что созданный личный домен с конечной точкой, как описано в разделе "Настройка личного домена".
Переключение между типами сертификатов
Вы можете переключать домен между сертификатом, управляемым Azure Front Door, и сертификатом, управляемым клиентом. Дополнительные сведения см. в разделе "Домены" в Azure Front Door.
Выберите состояние сертификата, чтобы открыть область сведений о сертификате.
В области сведений о сертификате можно изменить управление Azure Front Door и принести собственный сертификат (BYOC).
Если выбрать собственный сертификат (BYOC), выполните указанные выше действия, чтобы выбрать сертификат.
Выберите Обновить, чтобы изменить сертификат, привязанный к домену.
Следующие шаги
- Изучите кэширование с использованием Azure Front Door категории "Стандартный" или "Премиум".
- Общие сведения о пользовательских доменах в Azure Front Door.
- Сведения о сквозном TLS с помощью Azure Front Door.