Partager via

Configurer HTTPS sur un domaine personnalisé Azure Front Door (classique)

  • Article

Important

Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important de migrer vos profils Azure Front Door (classique) vers le niveau Azure Front Door Standard ou Premium au plus en mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).

Cet article explique comment activer HTTPS pour un domaine personnalisé associé à votre instance Front Door (classique). L’utilisation de HTTPS sur votre domaine personnalisé (par exemple https://www.contoso.com) garantit une transmission sécurisée des données via le chiffrement TLS/SSL. Quand un navigateur web se connecte à un site web en utilisant HTTPS, il valide le certificat de sécurité du site web et vérifie sa légitimité, ce qui assure la sécurité et protège vos applications web contre les attaques malveillantes.

Azure Front Door prend en charge HTTPS par défaut sur son nom d’hôte par défaut (par exemple, https://contoso.azurefd.net). Cependant, vous devez activer HTTPS séparément pour les domaines personnalisés, comme www.contoso.com.

Voici des attributs clés de la fonctionnalité HTTPS personnalisée :

  • Pas de coût supplémentaire : aucun coût pour l’acquisition de certificat, le renouvellement ou le trafic HTTPS.
  • Activation simple : approvisionnement en une seule sélection via le portail Azure, l’API REST ou d’autres outils de développement.
  • Gestion complète des certificats : approvisionnement et renouvellement automatiques des certificats, éliminant ainsi le risque d’interruption du service en raison de certificats expirés.

Ce didacticiel vous apprend à effectuer les opérations suivantes :

  • Activer HTTPS sur votre domaine personnalisé.
  • Utiliser un certificat géré par AFD.
  • Utiliser votre propre certificat TLS/SSL.
  • valider le domaine ;
  • Désactiver HTTPS sur votre domaine personnalisé.

Remarque

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Prérequis

Avant de commencer, vérifiez que vous avez une instance Front Door avec au moins un domaine personnalisé intégré. Pour plus d’informations, consultez Didacticiel : Ajouter un domaine personnalisé à votre Front Door.

Certificats TLS/SSL

Pour activer HTTPS sur un domaine personnalisé Front Door (classique), vous avez besoin d’un certificat TLS/SSL. Vous pouvez utiliser un certificat géré par Azure Front Door ou votre propre certificat.

Option 1 (valeur par défaut) : utiliser un certificat géré par Front Door

L’utilisation d’un certificat géré par Azure Front Door vous permet d’activer HTTPS avec quelques modifications des paramètres. Azure Front Door prend en charge toutes les tâches de gestion des certificats, y compris l’approvisionnement et le renouvellement. Si votre domaine personnalisé est déjà mappé à l’hôte frontend par défaut de Front Door ({hostname}.azurefd.net), aucune action supplémentaire n’est requise. Sinon, vous devez valider la propriété de votre domaine par e-mail.

Pour activer HTTPS sur un domaine personnalisé :

  1. Dans le portail Azure, accédez à votre profil Front Door.

  2. Sélectionnez le domaine personnalisé pour lequel vous voulez activer HTTPS dans la liste des hôtes front-ends.

  3. Sous HTTPS sur un domaine personnalisé, sélectionnez Activé, puis choisissez Porte d’entrée managée comme source du certificat.

  4. Cliquez sur Enregistrer.

  5. Faites Valider le domaine.

Remarque

  • La limite de 64 caractères de DigiCert est appliquée pour les certificats gérés par Azure Front Door. La validation échoue si cette limite est dépassée.
  • L’activation de HTTPS via un certificat géré par Front Door n’est pas prise en charge pour les domaines apex/racines (par exemple contoso.com). Utilisez votre propre certificat pour ce scénario (voir Option 2).

Option n°2 : utiliser votre propre certificat ;

Vous pouvez utiliser votre propre certificat via une intégration à Azure Key Vault. Vérifiez que votre certificat provient d’une liste d’autorités de certification approuvées par Microsoft et qu’il a une chaîne de certificats complète.

Préparer votre coffre de clés et certificat

  • Créez un compte Key Vault dans le même abonnement Azure que votre instance Front Door.
  • Configurez votre coffre de clés pour autoriser les services Microsoft approuvés à contourner le pare-feu si des restrictions d’accès réseau sont activées.
  • Utilisez le modèle d’autorisation de la stratégie d’accès Key Vault.
  • Chargez votre certificat en tant qu’objet de certificat, et non pas en tant que secret.

Remarque

Front Door ne prend pas en charge les certificats avec des algorithmes de chiffrement de courbe elliptique (EC). Le certificat doit avoir une chaîne de certificats complète avec des certificats feuille et intermédiaires, et l’autorité de certification racine doit faire partie de la liste des autorités de certification de confiance Microsoft.

Inscrire Azure Front Door

Inscrivez le principal du service Azure Front Door dans votre instance Microsoft Entra ID en utilisant Azure PowerShell ou Azure CLI.

Azure PowerShell

  1. Si nécessaire, installez Azure PowerShell.

  2. Exécutez la commande suivante :

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI

  1. Si nécessaire, installez Azure CLI.

  2. Exécutez la commande suivante :

    az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Accorder à Azure Front Door l’accès à votre coffre de clés

  1. Dans votre compte Key Vault, sélectionnez Stratégies d’accès.

  2. Sélectionnez Créer pour créer une stratégie d’accès.

  3. Dans Autorisations du secret, sélectionnez Obtenir.

  4. Dans Autorisations de certificat, sélectionnez Obtenir.

  5. Dans Sélectionner le principal, recherchez ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037, puis sélectionnez Microsoft.Azure.Frontdoor. Cliquez sur Suivant.

  6. Sélectionnez Suivant dans Application.

  7. Sélectionnez Créer dans Vérifier et créer.

Remarque

Si votre coffre de clés a des restrictions d’accès réseau, autorisez les services Microsoft approuvés à accéder à votre coffre de clés.

Sélectionner le certificat à déployer pour Azure Front Door

  1. Revenez à votre porte d’entrée sur le portail.

  2. Sélectionnez le domaine personnalisé pour lequel vous voulez activer HTTPS.

  3. Sous Type de gestion de certificats, sélectionnez Utiliser mon propre certificat.

  4. Sélectionnez un coffre de clés, un secret et une version de secret.

    Remarque

    Pour activer la rotation automatique des certificats, définissez la version du secret sur « Plus récent(e) ». Si une version spécifique est sélectionnée, vous devez la mettre à jour manuellement pour la rotation des certificats.

    Avertissement

    Vérifiez que votre principal de service dispose de l’autorisation GET sur le coffre de clés. Pour voir le certificat dans la liste déroulante du portail, votre compte d’utilisateur doit disposer des autorisations LIST et GET sur le coffre de clés.

  5. Si vous utilisez votre propre certificat, la validation du domaine n’est pas nécessaire. Passez à En attente de la propagation.

Valider le domaine

Si votre domaine personnalisé est mappé à votre point de terminaison personnalisé avec un enregistrement CNAME ou si vous utilisez votre propre certificat, passez à Le domaine personnalisé est mappé à votre instance Front Door. Dans le cas contraire, suivez les instructions de Le domaine personnalisé n’est pas mappé à votre instance Front Door.

Le domaine personnalisé est mappé à votre porte d’entrée par un enregistrement CNAME

Si votre enregistrement CNAME existe néanmoins et qu’il ne contient pas le sous-domaine afdverify, DigiCert valide automatiquement la propriété de votre domaine personnalisé.

Votre enregistrement CNAME doit respecter le format suivant :

Nom Type Value
<www.contoso.com> CNAME contoso.azurefd.net

Pour plus d’informations sur les enregistrements CNAME, consultez Create the CNAME DNS record (Créer l’enregistrement DNS CNAME).

Si votre enregistrement CNAME est correct, DigiCert vérifie automatiquement votre domaine personnalisé et crée un certificat dédié. Le certificat est valide pendant un an et est automatiquement renouvelé avant son expiration. Passez à En attente de la propagation.

Remarque

Si vous avez un enregistrement CAA (Certificate Authority Authorization) auprès de votre fournisseur DNS, il doit inclure DigiCert en tant qu’autorité de certification valide. Pour plus d’informations, consultez Gérer les enregistrements CAA.

Le domaine personnalisé n’est pas mappé à votre Front Door

Si l’entrée d’enregistrement CNAME pour votre point de terminaison n’existe plus ou contient le sous-domaine afdverify, suivez ces instructions.

Après avoir activé HTTPS sur votre domaine personnalisé, DigiCert valide la propriété en contactant le registrant du domaine via un e-mail ou un numéro de téléphone figurant dans l’inscription WHOIS. Vous devez effectuer la validation du domaine dans les six jours ouvrables. La validation du domaine DigiCert fonctionne au niveau du sous-domaine.

Capture d’écran d’un enregistrement WHOIS.

DigiCert envoie également un e-mail de vérification aux adresses suivantes si les informations du registrant WHOIS sont privées :

  • admin@<votre-nom-de-domaine.com>
  • administrateur@<votre-nom-de-domaine.com>
  • webmaster@<votre-nom-de-domaine.com>
  • hostmaster@<votre-nom-de-domaine.com>
  • postmaster@<votre-nom-de-domaine.com>

Vous devez recevoir un e-mail vous demandant d’approuver la demande. Si vous ne recevez pas d’e-mail dans les 24 heures, contactez le support Microsoft.

Après l’approbation, DigiCert termine la création du certificat. Le certificat est valide pendant un an et se renouvelle automatiquement si l’enregistrement CNAME est mappé au nom d’hôte par défaut d’Azure Front Door.

Remarque

Le renouvellement automatique de certificat managé nécessite le mappage direct de votre domaine personnalisé au nom d’hôte .azurefd.net par défaut de votre instance Front Door par un enregistrement CNAME.

En attente de la propagation

Une fois le domaine validé, l’activation de la fonctionnalité HTTPS sur un domaine personnalisé peut prendre jusqu’à 6 à 8 heures. Une fois le processus terminé, l’état de HTTPS personnalisé dans le portail Azure est défini sur Activé.

Progression de l’opération

Le tableau suivant montre le déroulement de l’opération lors de l’activation de HTTPS :

Étape de l’opération Détails de la sous-étape de l’opération
1. Soumission de la requête Envoi de la requête
Votre requête HTTPS est en cours de soumission.
Votre requête HTTPS a été envoyée avec succès.
2. Validation du domaine Le domaine est validé automatiquement si l’enregistrement CNAME a été mappé à l’hôte front-end .azurefd.net par défaut. Autrement, une demande de vérification est envoyée à l’adresse e-mail répertoriée dans l’enregistrement d’inscription de votre domaine (inscrit WHOIS). Vérifiez le domaine dès que possible.
La propriété du domaine a été validée avec succès.
La demande de validation de la propriété du domaine a expiré (le client n’a probablement pas répondu dans les 6 jours). HTTPS n’est pas activé sur votre domaine. *
Requête de validation de la propriété du domaine rejetée par le client. HTTPS n’est pas activé sur votre domaine. *
3. Approvisionnement du certificat L’autorité de certification émet le certificat nécessaire pour activer HTTPS sur votre domaine.
Le certificat a été émis et son déploiement est en cours pour instance Front Door. Ce processus peut prendre de quelques minutes à une heure.
Le certificat a été déployé avec succès pour votre instance Front Door.
4. Fin HTTPS a été activé avec succès sur votre domaine.

* Ce message s’affiche seulement si une erreur se produit.

Si une erreur survient avant la soumission de la requête, le message d’erreur suivant s’affiche :

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Forum aux questions

  1. Qui est le fournisseur de certificats et quel est le type de certificat utilisé ?

    Un certificat dédié/unique, fourni par DigiCert, est utilisé pour votre domaine personnalisé.

  2. Utilisez-vous TLS/SSL SNI ou un protocole IP ?

    Azure Front Door utilise TLS/SSL SNI.

  3. Que se passe-t-il si je ne reçois pas l’e-mail de vérification de domaine de DigiCert ?

    Si vous avez une entrée CNAME pour votre domaine personnalisé qui pointe directement vers le nom d’hôte de votre point de terminaison et si vous n’utilisez pas le nom de sous-domaine afdverify, vous ne recevez pas d’e-mail de vérification du domaine. La validation se fait automatiquement. Autrement, si vous n’avez pas d’entrée CNAME et si vous n’avez pas reçu d’e-mail dans les 24 heures, contactez le support Microsoft.

  4. Un certificat SAN est-il moins sécurisé qu’un certificat dédié ?

    Un certificat SAN suit les mêmes normes de sécurité et de chiffrement qu’un certificat dédié. Tous les certificats TLS/SSL émis utilisent la norme SHA-256 pour une sécurité améliorée du serveur.

  5. Ai-je besoin d’un enregistrement CAA (Certificate Authority Authorization) auprès de mon fournisseur DNS ?

    Non, un enregistrement CAA n’est pas obligatoire pour l’instant. Toutefois, si vous en avez un, il doit inclure DigiCert en tant qu’autorité de certification valide.

Nettoyer les ressources

Pour désactiver HTTPS sur votre domaine personnalisé :

Désactiver la fonctionnalité HTTPS

  1. Dans le portail Azure, accédez à votre configuration Azure Front Door.

  2. Sélectionnez le domaine personnalisé pour lequel vous voulez désactiver HTTPS.

  3. Sélectionnez Désactivé, puis Enregistrer.

En attente de la propagation

Après la désactivation de la fonctionnalité HTTPS sur un domaine personnalisé, il peut s’écouler jusqu’à 6 à 8 heures avant que cette modification soit effective. Une fois le processus terminé, l’état de HTTPS personnalisé dans le portail Azure est défini sur Désactivé.

Progression de l’opération

Le tableau suivant montre le déroulement de l’opération lors de la désactivation de HTTPS :

Progression de l’opération Détails de l’opération
1. Soumission de la requête Envoi de la requête
2. Annulation de l’approvisionnement du certificat Suppression du certificat
3. Fin Le certificat est supprimé

Étapes suivantes

Pour savoir comment configurer une stratégie de géofiltrage destinée à votre instance Front Door, passez au tutoriel suivant.