Hinzufügen einer benutzerdefinierten Domäne
Zusätzlich zur Standarddomäne, die in einer Instanz von Azure Web PubSub enthalten ist, können Sie eine benutzerdefinierte Domäne hinzufügen. Eine benutzerdefinierte Domäne ist ein Domänenname, den Sie besitzen und verwalten. Sie können eine benutzerdefinierte Domäne verwenden, um auf Ihre Web PubSub-Ressource zuzugreifen. Sie können z. B. contoso.example.com anstelle von contoso.webpubsub.azure.com verwenden, um auf Ihre Ressourcen zuzugreifen.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Falls Sie kein Azure-Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine Azure Web PubSub-Ressource mindestens mit Premium-Tarif.
- Eine Azure Key Vault-Ressource
- Ein benutzerdefiniertes Zertifikat, das einer benutzerdefinierten Domäne entspricht, die in Azure Key Vault gespeichert ist
Hinzufügen eines benutzerdefinierten Zertifikats
Bevor Sie eine benutzerdefinierte Domäne hinzufügen können, fügen Sie ein entsprechendes benutzerdefiniertes Zertifikat hinzu. Ein benutzerdefiniertes Zertifikat ist eine Ressource Ihrer Web PubSub-Instanz. Es verweist auf ein Zertifikat in Ihrem Schlüsseltresor. Aus Sicherheits- und Compliancegründen speichert Web PubSub Ihr Zertifikat nicht dauerhaft. Stattdessen wird es aus Ihrem Schlüsseltresor abgerufen und im Arbeitsspeicher gespeichert.
Zugreifen auf den Schlüsseltresor mithilfe einer verwalteten Identität
Azure Web PubSub verwendet die verwaltete Identität für den Zugriff auf Ihren Schlüsseltresor. Um den Zugriff zu autorisieren, müssen ihm Berechtigungen erteilt werden.
Erstellen einer verwalteten Identität
Navigieren Sie im Azure-Portal zu Ihrer Web PubSub-Ressource.
Wählen Sie im linken Menü Identität aus.
Wählen Sie den zu verwendeten Identitätstyp aus: Systemseitig zugewiesen oder Benutzerseitig zugewiesen. Wenn Sie eine benutzerseitig zugewiesene Identität verwenden möchten, erstellen Sie zuerst eine.
Verwenden einer systemseitig zugewiesenen Identität:
Wählen Sie Ein aus.
Klicken Sie auf Ja, um zu bestätigen.
Wählen Sie Speichern.
Hinzufügen einer benutzerseitig zugewiesene Identität:
Wählen Sie Benutzerseitig zugewiesene verwaltete Identität hinzufügen aus.
Wählen Sie eine vorhandene Identität aus.
Wählen Sie Hinzufügen.
Wählen Sie Speichern.
Gewähren des Zugriffs auf den Schlüsseltresor für die verwaltete Identität
Je nachdem, wie Sie Ihr Azure Key Vault-Berechtigungsmodell konfigurieren, müssen Sie möglicherweise an verschiedenen Stellen im Azure-Portal Berechtigungen erteilen.
Wenn Sie die in einen Schlüsseltresor integrierte Zugriffsrichtlinie als Berechtigungsmodell für den Schlüsseltresor verwenden:
Navigieren Sie im Azure-Portal zu Ihrem Key Vault.
Wählen Sie im linken Menü die Option Zugriffskonfiguration aus.
Wählen Sie Tresorzugriffsrichtlinie aus.
Wählen Sie Zu Zugriffsrichtlinien wechseln aus.
Klicken Sie auf Erstellen.
Wählen Sie im Bereich Zugriffsrichtlinie erstellen die Registerkarte Berechtigungen aus.
Wählen Sie unter Geheimnisberechtigungen die Option Abrufen aus.
Wählen Sie für Zertifikatberechtigungen die Option Abrufen aus.
Wählen Sie Weiter aus.
Suchen Sie nach dem Web PubSub-Ressourcennamen.
Wählen Sie Weiter aus.
Wählen Sie die Registerkarte Replikation und dann Weiter aus.
Klicken Sie auf Erstellen.
Erstellen eines benutzerdefinierten Zertifikats
Navigieren Sie im Azure-Portal zu Ihrer Web PubSub-Ressource.
Wählen Sie im linken Menü Benutzerdefinierte Domäne aus.
Wählen Sie im Bereich Benutzerdefiniertes Zertifikat die Option Hinzufügen aus.
Geben Sie einen Namen für das benutzerdefinierte Zertifikat ein.
Wählen Sie Aus Ihrem Schlüsseltresor auswählen aus, um ein Schlüsseltresorzertifikat auszuwählen. Nachdem Sie einen Schlüsseltresor ausgewählt haben, werden Werte für Key Vault-Basis-URI und Name des Key Vault-Geheimnisses automatisch hinzugefügt. Sie können diese Felder auch manuell bearbeiten.
(Optional) Um das Zertifikat an eine bestimmte Version anzuheften, geben Sie einen Wert für Version des Key Vault-Geheimnisses ein.
Wählen Sie Hinzufügen.
Web PubSub ruft das Zertifikat ab und überprüft seinen Inhalt. Wenn die Zertifikatüberprüfung erfolgreich ist, lautet der Bereitstellungsstatus für das Zertifikat erfolgreich.
Erstellen eines benutzerdefinierten Domänennamens CNAME
Um die Besitzrechte an Ihrer benutzerdefinierten Domäne zu bestätigen, erstellen Sie einen CNAME-Eintrag für die benutzerdefinierte Domäne, und verweisen Sie mit diesem auf die Standarddomäne Ihrer Web PubSub-Ressource.
Wenn Ihre Standarddomäne beispielsweise contoso.webpubsub.azure.com und Ihre benutzerdefinierte Domäne contoso.example.com ist, erstellen Sie einen CNAME-Eintrag auf example.com wie in diesem Beispiel:
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com
Wenn Sie eine Azure DNS-Zone verwenden, finden Sie unter Verwalten von DNS-Einträgen Informationen zum Hinzufügen eines CNAME-Eintrags.
Wenn Sie andere DNS-Anbieter verwenden, befolgen Sie die Anleitungen in der Dokumentation des Anbieters, um einen CNAME-Eintrag zu erstellen.
Hinzufügen einer benutzerdefinierten Domäne zu Web PubSub
Eine benutzerdefinierte Domäne ist eine weitere Unterressource Ihrer Web PubSub-Instanz. Sie enthält alle Konfigurationen, die für eine benutzerdefinierte Domäne erforderlich sind.
Navigieren Sie im Azure-Portal zu Ihrer Web PubSub-Ressource.
Wählen Sie im linken Menü Benutzerdefinierte Domäne aus.
Wählen Sie im Bereich Benutzerdefinierte Domänen die Option Hinzufügen aus.
Geben Sie einen Namen für die benutzerdefinierte Domäne ein. Verwenden Sie den Namen der untergeordneten Ressource.
Geben Sie den Domänennamen ein. Verwenden Sie den vollständigen Domänenname Ihrer benutzerdefinierten Domäne, zum Beispiel
contoso.com.Wählen Sie ein benutzerdefiniertes Zertifikat aus, das für diese benutzerdefinierte Domäne gilt.
Wählen Sie Hinzufügen.
Überprüfen Ihrer benutzerdefinierten Domäne
Sie können jetzt über die benutzerdefinierte Domäne auf Ihren Web PubSub-Endpunkt zugreifen.
Um die Domäne zu überprüfen, können Sie auf die Integritäts-API zugreifen. In den folgenden Beispielen wird cURL verwendet.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
Die Integritäts-API sollte einen 200-Statuscode ohne Zertifikatfehler zurückgeben.
Konfigurieren eines privaten Netzwerkschlüsseltresors
Wenn Sie einen privaten Endpunkt für Ihr Schlüsseltresor konfigurieren, kann Web PubSub nicht über ein öffentliches Netzwerk auf den Schlüsseltresor zugreifen. Sie müssen einen freigegebenen privaten Endpunkt einrichten, damit Web PubSub über ein privates Netzwerk auf Ihren Schlüsseltresor zugreifen kann.
Nachdem Sie einen freigegebenen privaten Endpunkt erstellt haben, können Sie wie gewohnt ein benutzerdefiniertes Zertifikat erstellen. Sie müssen die Domäne im Schlüsseltresor-URI nicht ändern. Wenn der Basis-URI Ihres Schlüsseltresors beispielsweise https://contoso.vault.azure.net ist, verwenden Sie diesen URI weiterhin, um ein benutzerdefiniertes Zertifikat zu konfigurieren.
Sie müssen IP-Adressen von Web PubSub in den Firewalleinstellungen Ihres Schlüsseltresors nicht explizit zulassen. Weitere Informationen finden Sie im Artikel zur Diagnose für private Verbindungen im Schlüsseltresor.
Rotieren des Zertifikats
Wenn Sie beim Erstellen eines benutzerdefinierten Zertifikats keine geheime Version angeben, sucht Web PubSub regelmäßig nach der neuesten Version im Schlüsseltresor. Wenn eine neue Version erkannt wird, wird sie automatisch angewendet. Die Verzögerung beträgt in der Regel weniger als eine Stunde.
Alternativ können Sie ein benutzerdefiniertes Zertifikat an eine bestimmte Geheimnisversion im Schlüsseltresor anheften. Wenn Sie ein neues Zertifikat anwenden müssen, können Sie die Geheimnisversion bearbeiten und dann das benutzerdefinierte Zertifikat proaktiv aktualisieren.