Adición de un dominio personalizado
Además del dominio predeterminado que se incluye en una instancia de Azure Web PubSub, puede agregar un dominio personalizado. Un dominio personalizado es un nombre de dominio que posee y administra. Puede usar un dominio personalizado para acceder a los recursos de Web PubSub. Por ejemplo, puede usar contoso.example.com en lugar de contoso.webpubsub.azure.com para acceder a los recursos.
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Si no tiene una cuenta de Azure, puede crear una cuenta gratis.
- Un recurso de Azure Web PubSub en un nivel Premium como mínimo.
- Un recurso de Azure Key Vault.
- Un certificado personalizado que coincida con un dominio personalizado que se almacena en Azure Key Vault.
Incorporación de un certificado personalizado
Para poder agregar un dominio personalizado, agregue el certificado personalizado correspondiente. Un certificado personalizado es un recurso de la instancia de Web PubSub. Hace referencia a un certificado en el almacén de claves. Por motivos de seguridad y el cumplimiento, Web PubSub no almacena permanentemente el certificado. En su lugar, obtiene el certificado del almacén de claves y lo mantiene en memoria.
Acceso al almacén de claves mediante una identidad administrada
Azure Web PubSub usa una identidad administrada para acceder al almacén de claves. Para autorizar el acceso, se deben conceder permisos.
Creación de una entidad administrada
En Azure Portal, vaya al recurso de Web PubSub.
En el menú de la izquierda, seleccione Identidad.
Seleccione el tipo de identidad que se va a usar: Asignada por el sistema o Asignada por el usuario. Para usar una identidad asignada por el usuario, primero debe crear una.
Para usar una identidad asignada por el sistema:
Seleccione Activado.
Selecciona Sí para confirmar la acción.
Seleccione Guardar.
Para agregar una identidad asignada por el usuario:
Seleccione Agregar una identidad administrada asignada por el usuario.
Seleccione una identidad existente.
Seleccione Agregar.
Seleccione Guardar.
Concesión del acceso al almacén de claves a la identidad administrada
En función de cómo configure el modelo de permisos de Azure Key Vault, es posible que tenga que conceder permisos en diferentes ubicaciones de Azure Portal.
Si usa una directiva de acceso integrada en el almacén de claves como modelo de permisos del almacén de claves:
En Azure Portal, vaya al almacén de claves.
En el menú de la izquierda, seleccione Configuración de acceso.
Seleccione Directiva de acceso de Key Vault.
Seleccione Ir a las directivas de acceso.
Seleccione Crear.
En el panel Crear una directiva de acceso, seleccione la pestaña Permisos.
En Permisos de secretos, seleccione Obtener.
En Permisos de certificado, seleccione Obtener.
Seleccione Siguiente.
Busque el nombre del recurso de Web PubSub.
Seleccione Siguiente.
Seleccione la pestaña Aplicación y, a continuación, seleccione Siguiente.
Seleccione Crear.
Creación de un certificado personalizado
En Azure Portal, vaya al recurso de Web PubSub.
En el menú de la izquierda, seleccione Dominio personalizado.
En el panel Certificado personalizado, seleccione Agregar.
Escriba un nombre para el certificado personalizado.
Elija Seleccionar en Key Vault para elegir un certificado de almacén de claves. Tras seleccionar un almacén de claves, se agregarán automáticamente los valores de URI base de Key Vault y Nombre de secreto de Key Vault. También tiene la opción de editar estos campos manualmente.
(Opcional) Para anclar el certificado a una versión específica, escriba un valor para Versión secreta de Key Vault.
Seleccione Agregar.
Web PubSub captura el certificado y valida su contenido. Cuando la validación de certificados se realiza correctamente, el estado de aprovisionamiento del certificado es Correcto.
Creación de un registro CNAME de dominio personalizado
Para validar la propiedad del dominio personalizado, cree un registro CNAME para el dominio personalizado y apunte al dominio predeterminado del recurso de Web PubSub.
Por ejemplo, si el dominio predeterminado es contoso.webpubsub.azure.com y el dominio personalizado es contoso.example.com, cree un registro CNAME en example.com como en este ejemplo:
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com
Si usa la zona DNS de Azure, para obtener información sobre cómo agregar un registro CNAME, consulte Administración de registros DNS.
Si usa otros proveedores DNS, siga las instrucciones de la documentación del proveedor para crear un registro CNAME.
Adición de un dominio personalizado a Web PubSub
Un dominio personalizado es otro subrecurso de la instancia de Web PubSub. Contiene todas las configuraciones necesarias para un dominio personalizado.
En Azure Portal, vaya al recurso de Web PubSub.
En el menú de la izquierda, seleccione Dominio personalizado.
En el panel Dominio personalizado, seleccione Agregar.
Escriba un nombre para el dominio personalizado. Use el nombre del subrecurso.
Escriba el nombre del dominio. Use el nombre de dominio completo del dominio personalizado; por ejemplo,
contoso.com.Seleccione un certificado personalizado que se aplique al dominio personalizado.
Seleccione Agregar.
Comprobación del dominio personalizado
Ahora puede acceder al punto de conexión de Web PubSub mediante el dominio personalizado.
Para comprobar el dominio, puede acceder a la API de mantenimiento. En los siguientes ejemplos se usa cURL.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
La API de mantenimiento debe devolver un código de estado 200 sin errores de certificado.
Configuración de un almacén de claves de red privada
Si configura un punto de conexión privado en el almacén de claves, Web PubSub no puede acceder al almacén de claves mediante una red pública. Debe configurar un punto de conexión privado compartido para conceder a Web PubSub acceso al almacén de claves a través de una red privada.
Después de crear un punto de conexión privado compartido, puede crear un certificado personalizado como de costumbre. No es necesario cambiar el dominio en el URI del almacén de claves. Por ejemplo, si el URI base del almacén de claves es https://contoso.vault.azure.net, siga usando este URI para configurar un certificado personalizado.
No es necesario permitir explícitamente direcciones IP de Web PubSub en la configuración del firewall del almacén de claves. Para obtener más información, consulte Diagnósticos de vínculo privado del almacén de claves.
Rotación del certificado
Si no especifica una versión secreta al crear un certificado personalizado, Web PubSub comprueba periódicamente la versión más reciente en el almacén de claves. Cuando se detecta una nueva versión, se aplica automáticamente. El retraso suele ser inferior a una hora.
Como alternativa, puede anclar un certificado personalizado a una versión secreta específica en el almacén de claves. Cuando necesite aplicar un nuevo certificado, puede editar la versión secreta y, a continuación, actualizar el certificado personalizado de forma proactiva.