Sdílet prostřednictvím


Kurz: Konfigurace HTTPS pro vlastní doménu Azure CDN

Důležité

30. září 2027 bude vyřazena služba Azure CDN Standard od Microsoftu (Classic). Abyste se vyhnuli přerušení služeb, je důležité do 30. září 2027 migrovat profily Azure CDN Standard z Microsoftu (classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v tématu Azure CDN Standard od Microsoftu (klasického) vyřazení.

Azure CDN z Edgio bude vyřazeno z Januray 15, 2025. Před tímto datem musíte migrovat úlohu do služby Azure Front Door, abyste se vyhnuli přerušení služeb. Další informace najdete v tématu Azure CDN z nejčastějších dotazů k vyřazení Edgio.

V tomto kurzu se dozvíte, jak povolit protokol HTTPS pro vlastní doménu přidruženou ke koncovému bodu Azure CDN.

Protokol HTTPS ve vaší vlastní doméně (například https://www.contoso.com) zajišťuje bezpečné doručení citlivých dat přes protokol TLS/SSL. Když je webový prohlížeč připojený přes PROTOKOL HTTPS, prohlížeč ověří certifikát webu. Prohlížeč ověří, že je vydaný legitimní certifikační autoritou. Tento proces zajišťuje zabezpečení a chrání vaše webové aplikace před útoky.

Azure CDN ve výchozím nastavení podporuje HTTPS pro název hostitele koncového bodu CDN. Pokud například vytvoříte koncový bod CDN (například https://contoso.azureedge.net), protokol HTTPS se automaticky povolí.

Mezi klíčové atributy vlastní funkce HTTPS patří mimo jiné:

  • Žádné další náklady: Za získání nebo obnovení certifikátu nejsou žádné další poplatky. Platíte pouze za GB odchozího provozu mimo síť CDN.

  • Jednoduché povolení: Na webu Azure Portal je k dispozici zřízení jedním kliknutím. K povolení této funkce můžete použít také rozhraní REST API nebo jiné vývojářské nástroje.

  • K dispozici je kompletní správa certifikátů:

    • Veškeré nákupy a správa certifikátů se za vás zpracují.
    • Certifikáty se automaticky zřizují a obnovují před vypršením platnosti.

V tomto kurzu se naučíte:

  • Povolit protokol HTTPS pro vlastní doménu
  • Použít certifikát spravovaný CDN
  • Použít vlastní certifikát
  • Ověření domény
  • Zakázat protokol HTTPS pro vlastní doménu

Požadavky

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Než budete moct dokončit kroky v tomto kurzu, vytvořte profil CDN a alespoň jeden koncový bod CDN. Další informace najdete v tématu Rychlý start: Vytvoření profilu a koncového bodu Azure CDN.

Přidružte vlastní doménu Azure CDN ke koncovému bodu CDN. Další informace najdete v tématu Kurz: Přidání vlastní domény do koncového bodu Azure CDN.

Důležité

Certifikáty spravované CDN nejsou k dispozici pro kořenové nebo vrcholové domény. Pokud je vlastní doména Azure CDN kořenovou nebo vrcholnou doménou, musíte použít funkci Přineste si vlastní certifikát.


Certifikáty TLS/SSL

Pokud chcete povolit HTTPS ve vlastní doméně Azure CDN, použijte certifikát TLS/SSL. Rozhodnete se použít certifikát spravovaný službou Azure CDN nebo použít váš certifikát.

Azure CDN zpracovává úlohy správy certifikátů, jako jsou nákupy a obnovení. Jakmile funkci povolíte, proces se okamžitě zahájí.

Pokud už je vlastní doména namapovaná na koncový bod CDN, není potřeba žádná další akce. Azure CDN zpracuje kroky a dokončí vaši žádost automaticky.

Pokud je vaše vlastní doména mapovaná jinde, použijte e-mail k ověření vlastnictví domény.

Pokud chcete povolit HTTPS pro vlastní doménu, postupujte následovně:

  1. Přejděte na web Azure Portal a vyhledejte certifikát spravovaný vaším azure CDN. Vyhledejte a vyberte profily CDN.

  2. Zvolte svůj profil:

    • Azure CDN Standard od Microsoftu
    • Azure CDN Standard z Edgio
    • Azure CDN Premium z Edgio
  3. V seznamu koncových bodů CDN vyberte koncový bod obsahující vaši vlastní doménu.

    Snímek obrazovky se seznamem koncových bodů Zobrazí se stránka Koncový bod .

  4. V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

    Snímek obrazovky se stránkou vlastní domény s možností použít vlastní certifikát

    Zobrazí se stránka Vlastní doména.

  5. V části Typ správy certifikátu vyberte Spravováno sítí CDN.

  6. Výběrem možnosti Zapnuto povolte HTTPS.

    Snímek obrazovky se stavem HTTPS vlastní domény

  7. Pokračujte a ověřte doménu.

Ověření domény

Pokud máte vlastní doménu, která se používá k namapování na vlastní koncový bod pomocí záznamu CNAME nebo používáte vlastní certifikát, pokračujte k vlastní doméně namapované na koncový bod služby Content Delivery Network.

Jinak pokud položka záznamu CNAME pro váš koncový bod již neexistuje nebo obsahuje subdoménu cdnverify, pokračujte k vlastní doméně, která není namapovaná na koncový bod CDN.

Vlastní doména se mapuje na koncový bod CDN pomocí záznamu CNAME

Po přidání vlastní domény do koncového bodu jste v doménovém registrátorovi DNS namapovali na název hostitele koncového bodu CDN záznam CNAME.

Pokud záznam CNAME stále existuje a neobsahuje subdoménu cdnverify, certifikační autorita DigiCert ho použije k automatickému ověření vlastnictví vaší vlastní domény.

Pokud používáte vlastní certifikát, ověření domény se nevyžaduje.

Váš záznam CNAME by měl být v následujícím formátu:

  • Název je váš vlastní název domény.
  • Hodnota je název hostitele koncového bodu sítě pro doručování obsahu.
Name Typ Hodnota
<www.contoso.com> CNAME contoso.azureedge.net

Další informace o záznamech CNAME najdete v tématu popisujícím vytvoření záznamu DNS CNAME.

Pokud je váš záznam CNAME ve správném formátu, DigiCert automaticky ověří váš vlastní název domény a vytvoří certifikát pro vaši doménu. DigitCert vám neposílá ověřovací e-mail a nemusíte schvalovat vaši žádost. Certifikát je platný po dobu jednoho roku a před vypršením platnosti se automaticky obnoví. Pokračujte k části Čekání na rozšíření.

Automatické ověřování obvykle trvá několik hodin. Pokud se vaše doména za 24 hodin neověřila, otevřete lístek podpory.

Poznámka:

Pokud máte záznam CAA (Certificate Authority Authorization) u svého poskytovatele DNS, musí obsahovat příslušné certifikační autority pro autorizaci. DigiCert je certifikační autorita pro profily Microsoftu a Edgio. Informace o správě záznamů CAA najdete v tématu Správa záznamů CAA. Nástroj pro práci se záznamy CAA najdete tady: CAA Record Helper.

Vlastní doména není namapovaná na koncový bod CDN.

Pokud položka záznamu CNAME obsahuje subdoménu cdnverify, postupujte podle zbývajících pokynů v tomto kroku.

DigiCert odešle ověřovací e-mail na následující e-mailové adresy. Ověřte, že můžete schválit přímo z jedné z následujících adres:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Za několik minut byste měli dostat e-mail, abyste žádost schválili. Pokud používáte filtr spamu, přidejte verification@digicert.com ho do seznamu povolených. Pokud e-mail neobdržíte do 24 hodin, kontaktujte podporu Microsoftu.

Snímek obrazovky s e-mailem pro ověření domény

Když vyberete odkaz pro schválení, budete přesměrováni na následující online formulář schválení:

Snímek obrazovky s formulářem ověření domény

Postupujte podle pokynů ve formuláři. Máte na výběr dvě možnosti ověření:

  • Můžete schválit všechny budoucí objednávky zadané přes stejný účet a pro stejnou kořenovou doménu, například contoso.com. Tento přístup se doporučuje, pokud plánujete přidat další vlastní domény pro stejnou kořenovou doménu.

  • Můžete schválit pouze konkrétní název hostitele použitý v této žádosti. Pro pozdější žádosti se vyžaduje další schválení.

Po schválení DigiCert dokončí vytvoření certifikátu pro váš název vlastní domény. Tento certifikát je platný po dobu jednoho roku. Pokud se po ověření přidá nebo aktualizuje záznam CNAME pro vaši vlastní doménu, aby se namapoval na název hostitele koncového bodu, před vypršením jeho platnosti se automaticky obnoví.

Poznámka:

Autorenewal spravovaného certifikátu vyžaduje, aby vaše vlastní doména byla přímo namapována na koncový bod CDN záznamem CNAME.

Čekání na rozšíření

Po ověření názvu domény může aktivace funkce HTTPS pro vlastní doménu trvat 6 až 8 hodin. Po dokončení procesu se vlastní stav HTTPS na webu Azure Portal změní na Povoleno. Čtyři kroky operace v dialogovém okně vlastní domény jsou označené jako dokončené. Vaše vlastní doména je teď připravená k použití HTTPS.

Snímek obrazovky s dialogovým oknem povolit HTTPS

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při povolení HTTPS. Po povolení HTTPS se v dialogovém okně vlastní domény zobrazí čtyři kroky operace. Jakmile se jednotlivé kroky stanou aktivními, v průběhu kroku se zobrazí další podrobnosti dílčích kroků. Ne všechny tyto dílčí kroky se vyskytují. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Krok operace Podrobnosti o dílčím kroku operace
1. Odesílání žádosti Odesílání žádosti
Vaše žádost o HTTPS se právě odesílá.
Vaše žádost o HTTPS se úspěšně odeslala.
2. Ověření domény Doména se automaticky ověří, pokud je namapovaná na koncový bod CDN. Jinak se na e-mail uvedený v registračním záznamu vaší domény (registrant WHOIS) odešle žádost o ověření.
Vaše vlastnictví domény se úspěšně ověřilo.
Platnost požadavku na ověření vlastnictví domény vypršela (zákazník pravděpodobně neodpověděl ve lhůtě 6 dní). HTTPS nebude ve vaší doméně povolené. *
Požadavek na ověření vlastnictví domény byl zamítnut zákazníkem. HTTPS nebude ve vaší doméně povolené. *
3. Zřizování certifikátu Certifikační autorita momentálně vystavuje certifikát nutný pro povolení HTTPS pro vaši doménu.
Certifikát byl vystaven a momentálně se nasazuje do sítě CDN. Může to trvat až 6 hodin.
Certifikát se úspěšně nasadil do sítě CDN.
4. Hotovo Protokol HTTPS se ve vaší doméně úspěšně povolil.

* Tato zpráva se nezobrazí, pokud nedošlo k chybě.

Pokud před odesláním žádosti dojde k chybě, zobrazí se následující chybová zpráva:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Vyčištění prostředků – zákaz HTTPS

V této části se dozvíte, jak zakázat HTTPS pro vlastní doménu.

Zákaz funkce HTTPS

  1. Na webu Azure Portal vyhledejte a vyberte profily CDN.

  2. Z profilu Edgio vyberte Azure CDN Standard od Microsoftu, Azure CDN Standard z Edgio nebo Azure CDN Premium.

  3. V seznamu koncových bodů vyberte koncový bod obsahující vaši vlastní doménu.

  4. Zvolte vlastní doménu, pro kterou chcete protokol HTTPS zakázat.

    Snímek obrazovky se seznamem vlastních domén

  5. Zvolte Vypnuto, pokud chcete protokol HTTPS zakázat, a pak vyberte Použít.

    Snímek obrazovky s vlastním dialogovým oknem HTTPS

Čekání na rozšíření

Po zákazu funkce HTTPS vlastní domény může trvat 6 až 8 hodin, než se změna projeví. Po dokončení procesu se vlastní stav HTTPS na webu Azure Portal změní na Zakázáno. Vaše vlastní doména už nemůže používat HTTPS.

Nejčastější dotazy

  1. Kdo je poskytovatel certifikátu a jaký typ certifikátu se používá?

    Vyhrazený certifikát od digicertu se používá pro vaši vlastní doménu pro:

    • Azure Content Delivery Network z Edgio
    • Azure Content Delivery Network od Microsoftu
  2. Používáte protokol TLS/SSL (SNI) na základě IP adresy nebo označení názvu serveru?

    Azure CDN z Edgio i Azure CDN Standard od Microsoftu používají protokol TLS/SSL SNI.

  3. Co když neobdržím e-mail pro ověření domény od DigiCert?

    Pokud subdoménu cdnverify nepoužíváte a položka CNAME je určená pro název hostitele koncového bodu, nedostanete e-mail pro ověření domény.

    Ověření proběhne automaticky. Jinak, pokud záznam CNAME nemáte a neobdrželi jste e-mail během 24 hodin, kontaktujte podporu Microsoftu.

  4. Je používání certifikátu SAN méně bezpečné než vyhrazený certifikát?

    Certifikát SAN využívá stejné standardy šifrování a zabezpečení jako vyhrazený certifikát. Všechny vydané certifikáty TLS/SSL používají sha-256 k lepšímu zabezpečení serveru.

  5. Potřebuji záznam CAA (Certificate Authority Authorization) pro svého poskytovatele DNS?

    Záznam autorizace certifikační autority se v současné době nevyžaduje. Pokud ho však máte, musí jako platnou certifikační autoritu zahrnovat DigiCert.

  6. 20. června 2018 začal Azure CDN z Edgio ve výchozím nastavení používat vyhrazený certifikát s protokolem TLS/SSL SNI. Co se stane s mými existujícími vlastními doménami, které používají certifikát SAN (Subject Alternative Names, alternativní názvy subjektů) a protokol TLS/SSL založený na IP adrese?

    Vaše stávající domény se v nadcházejících měsících postupně migrují na jeden certifikát, pokud Microsoft analyzuje, že se do vaší aplikace provádějí jenom požadavky klientů SNI.

    Pokud se zjistí klienti jiného typu než SNI, zůstanou vaše domény v certifikátu SAN s protokolem TLS/SSL založeným na PROTOKOLU IP. Požadavky na vaši službu nebo klienty, kteří nejsou SNI, nejsou ovlivněné.

  7. Jak obnovení certifikátů funguje s přineste si vlastní certifikát?

    Pokud chcete zajistit nasazení novějšího certifikátu do infrastruktury POP, nahrajte nový certifikát do služby Azure Key Vault. V nastavení protokolu TLS ve službě Azure Content Delivery Network zvolte nejnovější verzi certifikátu a vyberte uložit. Azure Content Delivery Network pak rozšíří váš nový aktualizovaný certifikát.

    Důležité

    • Od 20. června 2024 azure CDN Standard a Premium z Edgio nepodporuje funkci Použít vlastní certifikáty . Tato funkce bude znovu vyvolána na začátku roku 2025.
    • Jaké jsou požadované akce pro vlastní domény používající tuto funkci? Certifikáty BYOC již nasazené na platformě Edgio zůstanou platné až do data vypršení platnosti. Pro certifikáty, jejichž platnost vyprší v roce 2025, není nutná žádná akce. Doporučujeme, abyste přešli na CDN Managed pro certifikáty vyžadující aktualizaci nebo vyprší tento rok. Pokud potřebujete další pomoc, odešlete žádost o podporu pro spolupráci s pracovníkem podpory.

Další kroky

V tomto kurzu jste se naučili, jak:

  • Povolit protokol HTTPS pro vlastní doménu
  • Použít certifikát spravovaný CDN
  • Použít vlastní certifikát
  • Ověřit doménu
  • Zakázat protokol HTTPS pro vlastní doménu

V dalším kurzu se dozvíte, jak na koncovém bodu CDN nakonfigurovat ukládání do mezipaměti.