Samouczek: konfigurowanie protokołu HTTPS w domenie niestandardowej usługi Azure CDN
Ważne
Usługa Azure CDN Standard firmy Microsoft (klasyczna) zostanie wycofana 30 września 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure CDN Standard z usługi Microsoft (klasycznej) do warstwy Azure Front Door Standard lub Premium do 30 września 2027 r. Aby uzyskać więcej informacji, zobacz Azure CDN Standard from Microsoft (classic) retirement (Wycofanie usługi Azure CDN w warstwie Standardowa z firmy Microsoft (wersja klasyczna).
Usługa Azure CDN z Edgio zostanie wycofana 15 stycznia 2025 r. Przed tą datą należy przeprowadzić migrację obciążenia do usługi Azure Front Door, aby uniknąć przerw w działaniu usługi. Aby uzyskać więcej informacji, zobacz Azure CDN from Edgio retirement FAQ (Usługa Azure CDN from Edgio retirement FAQ).
W tym samouczku pokazano, jak włączyć protokół HTTPS dla domeny niestandardowej skojarzonej z punktem końcowym usługi Azure CDN.
Protokół HTTPS w domenie niestandardowej (na przykład https://www.contoso.com
) zapewnia bezpieczne dostarczanie poufnych danych za pośrednictwem protokołu TLS/SSL. Gdy przeglądarka internetowa jest połączona za pośrednictwem protokołu HTTPS, przeglądarka weryfikuje certyfikat witryny internetowej. Przeglądarka sprawdza, czy jest wystawiona przez legalny urząd certyfikacji. Ten proces zapewnia bezpieczeństwo i chroni aplikacje internetowe przed atakami.
Domyślnie usługa Azure CDN obsługuje protokół HTTPS w obrębie nazwy hosta punktu końcowego usługi CDN. Jeśli na przykład utworzysz punkt końcowy usługi CDN (na przykład https://contoso.azureedge.net
), protokół HTTPS zostanie automatycznie włączony.
Niektóre z kluczowych atrybutów niestandardowej funkcji HTTPS to:
Brak dodatkowych kosztów: nie ma kosztów pozyskiwania lub odnawiania certyfikatów i nie ma dodatkowych kosztów dla ruchu HTTPS. Płacisz tylko za ruch wychodzący z sieci CDN (GB).
Proste włączanie: w witrynie Azure Portal jest dostępna aprowizacja przy użyciu jednego kliknięcia. Aby włączyć tę funkcję, można użyć interfejsu API REST lub innych narzędzi dla deweloperów.
Dostępne jest kompletne zarządzanie certyfikatami:
- wszystkie operacje nabywania certyfikatów i zarządzania nimi są obsługiwane za użytkownika.
- Certyfikaty są automatycznie aprowidowane i odnawiane przed wygaśnięciem.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Włączanie protokołu HTTPS w domenie niestandardowej
- Używanie certyfikatu zarządzanego przez usługę CDN
- Używanie własnego certyfikatu
- Weryfikowanie domeny
- Wyłączanie protokołu HTTPS w domenie niestandardowej
Wymagania wstępne
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Przed wykonaniem kroków opisanych w tym samouczku utwórz profil usługi CDN i co najmniej jeden punkt końcowy usługi CDN. Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie profilu i punktu końcowego usługi Azure CDN.
Skojarz domenę niestandardową usługi Azure CDN z punktem końcowym usługi CDN. Aby uzyskać więcej informacji, zobacz Samouczek: dodawanie domeny niestandardowej do punktu końcowego usługi Azure CDN.
Ważne
Certyfikaty zarządzane przez usługę CDN nie są dostępne dla domen głównych lub wierzchołka. Jeśli domena niestandardowa usługi Azure CDN jest domeną główną lub wierzchołkową, musisz użyć funkcji Bring your own certificate(Przynieś własny certyfikat).
Certyfikat TLS/SSL
Aby włączyć protokół HTTPS w domenie niestandardowej usługi Azure CDN, należy użyć certyfikatu TLS/SSL. Możesz użyć certyfikatu zarządzanego przez usługę Azure CDN lub użyć certyfikatu.
- Opcja 1 (domyślna): włączanie funkcji HTTPS przy użyciu certyfikatu zarządzanego przez usługę Azure CDN
- Opcja 2: włączanie funkcji HTTPS przy użyciu własnego certyfikatu
Usługa Azure CDN obsługuje zadania zarządzania certyfikatami, takie jak zaopatrzenie i odnawianie. Po włączeniu funkcji proces rozpocznie się automatycznie.
Jeśli domena niestandardowa jest już mapowana na punkt końcowy usługi CDN, nie jest wymagana żadna dalsza akcja. Usługa Azure CDN przetwarza kroki i automatycznie wykonuje żądanie.
Jeśli domena niestandardowa jest mapowana w innym miejscu, użyj poczty e-mail, aby zweryfikować własność domeny.
Aby włączyć protokół HTTPS w domenie niestandardowej, wykonaj następujące kroki:
Przejdź do witryny Azure Portal , aby znaleźć certyfikat zarządzany przez usługę Azure CDN. Wyszukaj i wybierz pozycję Profile CDN.
Wybierz swój profil:
- Azure CDN Standard from Microsoft
- Azure CDN Standard from Edgio
- Azure CDN Premium from Edgio
Na liście punktów końcowych usługi CDN wybierz punkt końcowy zawierający domenę niestandardową.
Zostanie wyświetlona strona Punkt końcowy .
Na liście domen niestandardowych wybierz domenę niestandardową, dla której chcesz włączyć protokół HTTPS.
Zostanie wyświetlona strona Domena niestandardowa.
W obszarze typu zarządzania certyfikatem wybierz pozycję Zarządzany przez usługę CDN.
Wybierz pozycję Wł., aby włączyć protokół HTTPS.
Przejdź do sekcji Weryfikowanie domeny.
Weryfikowanie domeny
Jeśli masz domenę niestandardową używaną do niestandardowego punktu końcowego z rekordem CNAME lub używasz własnego certyfikatu, przejdź do domeny niestandardowej zamapowanej na punkt końcowy usługi Content Delivery Network.
W przeciwnym razie, jeśli wpis rekordu CNAME dla punktu końcowego nie istnieje lub zawiera domenę podrzędną cdnverify, przejdź do domeny niestandardowej, która nie jest mapowana na punkt końcowy usługi CDN.
Domena niestandardowa została zamapowana na punkt końcowy usługi CDN według rekordu CNAME
Po dodaniu domeny niestandardowej do punktu końcowego utworzono rekord CNAME u rejestratora domen DNS zamapowanego na nazwę hosta punktu końcowego usługi CDN.
Jeśli ten rekord CNAME nadal istnieje i nie zawiera poddomeny cdnverify, urząd certyfikacji DigiCert używa go do automatycznego weryfikowania własności domeny niestandardowej.
Jeśli używasz własnego certyfikatu, weryfikacja domeny nie jest wymagana.
Rekord CNAME powinien mieć następujący format:
- Nazwa to nazwa domeny niestandardowej.
- Wartość to nazwa hosta punktu końcowego sieci dostarczania zawartości.
Nazwisko | Typ | Wartość |
---|---|---|
<www.contoso.com> | CNAME | contoso.azureedge.net |
Aby uzyskać więcej informacji na temat rekordów CNAME, zobacz Tworzenie rekordu DNS CNAME.
Jeśli rekord CNAME jest w poprawnym formacie, firma DigiCert automatycznie weryfikuje niestandardową nazwę domeny i tworzy certyfikat dla domeny. Aplikacja DigitCert nie wysyła weryfikacyjnej wiadomości e-mail i nie musisz zatwierdzać żądania. Certyfikat jest ważny przez jeden rok i zostanie automatycznie odnowiony przed jego wygaśnięciem. Przejdź do sekcji Oczekiwanie na propagację.
Automatyczna walidacja zwykle trwa kilka godzin. Jeśli domena nie jest zweryfikowana w ciągu 24 godzin, otwórz bilet pomocy technicznej.
Uwaga
Jeśli masz rekord autoryzacji urzędu certyfikacji (CAA) u dostawcy DNS, musi on zawierać odpowiednie urzędy certyfikacji do autoryzacji. DigiCert to urząd certyfikacji dla profilów firmy Microsoft i Edgio. Informacje o zarządzaniu rekordami CAA można znaleźć w temacie Manage CAA records (Zarządzanie rekordami CAA). Informacje o narzędziu obsługi rekordów CAA można znaleźć w temacie CAA Record Helper (Pomocnik rekordów CAA).
Domena niestandardowa nie jest mapowana na punkt końcowy usługi CDN
Jeśli wpis rekordu CNAME zawiera poddomenę cdnverify, wykonaj pozostałe instrukcje w tym kroku.
Firma DigiCert wysyła weryfikacyjną wiadomość e-mail na następujące adresy e-mail. Sprawdź, czy możesz zatwierdzić bezpośrednio z jednego z następujących adresów:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
Wiadomość e-mail powinna zostać odebrana w ciągu kilku minut, aby zatwierdzić żądanie. Jeśli używasz filtru spamu, dodaj verification@digicert.com go do listy dozwolonych. Jeśli w ciągu 24 godzin nie otrzymasz wiadomości e-mail, skontaktuj się z działem pomocy technicznej firmy Microsoft.
Po wybraniu linku zatwierdzenia następuje przekierowanie do następującego formularza zatwierdzania online:
Postępuj zgodnie z instrukcjami w formularzu. Dostępne są dwie opcje weryfikacji:
Możesz zatwierdzać wszystkie przyszłe zamówienia składane za pośrednictwem tego samego konta dla tej samej domeny głównej; na przykład contoso.com. To podejście jest zalecane, jeśli planujesz dodać inne domeny niestandardowe dla tej samej domeny głównej.
Możesz zatwierdzać tylko nazwę określonego hosta używaną w tym żądaniu. Kolejne zatwierdzenie jest wymagane w przypadku późniejszych żądań.
Po zatwierdzeniu firma DigiCert kończy tworzenie certyfikatu dla niestandardowej nazwy domeny. Certyfikat jest ważny przez rok. Jeśli rekord CNAME domeny niestandardowej zostanie dodany lub zaktualizowany do mapowania na nazwę hosta punktu końcowego po weryfikacji, zostanie on automatycznie odnowiony przed wygaśnięciem.
Uwaga
Autorenewal certyfikatu zarządzanego wymaga, aby domena niestandardowa została bezpośrednio zamapowana na punkt końcowy usługi CDN przez rekord CNAME.
Oczekiwanie na propagację
Po zweryfikowaniu nazwy domeny aktywowanie funkcji protokołu HTTPS domeny niestandardowej może potrwać 6–8 godzin. Po zakończeniu procesu stan niestandardowego protokołu HTTPS w witrynie Azure Portal zostanie zmieniony na Włączone. Cztery kroki operacji w oknie dialogowym domeny niestandardowej są oznaczone jako ukończone. Domena niestandardowa jest teraz gotowa do korzystania z protokołu HTTPS.
Postęp operacji
W poniższej tabeli przedstawiono postęp operacji w przypadku włączania protokołu HTTPS. Po włączeniu protokołu HTTPS w oknie dialogowym domeny niestandardowej są wyświetlane cztery kroki operacji. Gdy każdy krok stanie się aktywny, inne szczegóły podrzędne są wyświetlane w kroku w miarę postępu. Nie wszystkie te kroki podrzędne występują. Po pomyślnym ukończeniu kroku obok niego zostanie wyświetlony zielony znacznik wyboru.
Krok operacji | Szczegóły kroku podrzędnego operacji |
---|---|
1 Przesyłanie żądania | Przesyłanie żądania |
Trwa przesyłanie żądania HTTPS. | |
Żądanie HTTPS zostało pomyślnie przesłane. | |
2 Walidacja domeny | Domena jest automatycznie weryfikowana, czy jest mapowana na punkt końcowy usługi CDN. W przeciwnym razie żądanie weryfikacji jest wysyłane do poczty e-mail wymienionej w rekordzie rejestracji domeny (registrant WHOIS). |
Własność domeny została pomyślnie zweryfikowana. | |
Żądanie weryfikacji własności domeny wygasło (prawdopodobnie klient nie odpowiedział w ciągu 6 dni). Protokół HTTPS nie zostanie włączony w domenie. * | |
Żądanie weryfikacji własności klienta zostało odrzucone przez klienta. Protokół HTTPS nie zostanie włączony w domenie. * | |
3 Aprowizowanie certyfikatu | Trwa wystawianie przez urząd certyfikacji certyfikatu wymaganego do włączenia obsługi protokołu HTTPS w domenie. |
Certyfikat został wystawiony i trwa jego wdrażanie w sieci CDN. Może to potrwać do 6 godzin. | |
Certyfikat został pomyślnie wdrożony w sieci CDN. | |
4 Ukończenie | Obsługa protokołu HTTPS została pomyślnie włączona w domenie. |
* Ten komunikat nie jest wyświetlany, chyba że wystąpił błąd.
Jeśli przed przesłaniem żądania wystąpi błąd, zostanie wyświetlony następujący komunikat o błędzie:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Oczyszczanie zasobów — wyłączanie protokołu HTTPS
W tej sekcji dowiesz się, jak wyłączyć protokół HTTPS dla domeny niestandardowej.
Wyłączanie funkcji protokołu HTTPS
W witrynie Azure Portal wyszukaj i wybierz pozycję Profile CDN.
Wybierz standardową usługę Azure CDN firmy Microsoft, usługę Azure CDN w warstwie Edgio lub azure CDN Premium z profilu Edgio .
Na liście punktów końcowych wybierz punkt końcowy zawierający domenę niestandardową.
Wybierz domenę niestandardową, dla której chcesz wyłączyć protokół HTTPS.
Wybierz pozycję Wyłączone , aby wyłączyć protokół HTTPS, a następnie wybierz pozycję Zastosuj.
Oczekiwanie na propagację
Po wyłączeniu funkcji protokołu HTTPS w domenie niestandardowej wprowadzenie tej zmiany może potrwać 6–8 godzin. Po zakończeniu procesu stan niestandardowego protokołu HTTPS w witrynie Azure Portal zostanie zmieniony na Wyłączone. Domena niestandardowa nie może już używać protokołu HTTPS.
Często zadawane pytania
Kto jest dostawcą certyfikatów i jaki typ certyfikatu jest używany?
Dedykowany certyfikat dostarczony przez firmę Digicert jest używany dla domeny niestandardowej dla:
- Usługa Azure Content Delivery Network z pakietu Edgio
- Usługa Azure Content Delivery Network firmy Microsoft
Czy używasz protokołu TLS/SSL (SNI) opartego na adresie IP lub wskazania nazwy serwera?
Zarówno usługa Azure CDN z usług Edgio, jak i Azure CDN Standard firmy Microsoft używają protokołu SNI TLS/SSL.
Co zrobić, jeśli nie otrzymam wiadomości e-mail weryfikującej domenę od firmy DigiCert?
Jeśli nie używasz poddomeny cdnverify , a wpis CNAME dotyczy nazwy hosta punktu końcowego, nie otrzymasz wiadomości e-mail weryfikacyjnej domeny.
Walidacja będzie wykonywana automatycznie. W przeciwnym razie, jeśli nie masz wpisu CNAME i nie otrzymasz wiadomości e-mail w ciągu 24 godzin, skontaktuj się z działem pomocy technicznej firmy Microsoft.
Czy używanie certyfikatu SAN jest mniejsze bezpieczne niż certyfikatu dedykowanego?
Certyfikat SAN działa zgodnie z tymi samymi standardami szyfrowania i zabezpieczeń, co certyfikat dedykowany. Wszystkie wystawione certyfikaty TLS/SSL używają algorytmu SHA-256 w celu zapewnienia zwiększonych zabezpieczeń serwera.
Czy muszę mieć rekord autoryzacji urzędu certyfikacji z moim dostawcą DNS?
Rekord autoryzacji urzędu certyfikacji nie jest obecnie wymagany. Jeśli jednak istnieje, musi zawierać firmę DigiCert jako prawidłowy urząd certyfikacji.
20 czerwca 2018 r. usługa Azure CDN z usługi Edgio zaczęła domyślnie używać dedykowanego certyfikatu z protokołem TLS/SSL SNI. Co się stanie z moimi istniejącymi domenami niestandardowymi używającymi certyfikatu SAN (Subject Alternative Names) lub protokołu TLS/SSL opartego na protokole IP?
Istniejące domeny są stopniowo migrowane do pojedynczego certyfikatu w nadchodzących miesiącach, jeśli firma Microsoft analizuje tylko żądania klientów SNI wysyłane do aplikacji.
Jeśli wykryto klientów innych niż SNI, domeny pozostaną w certyfikacie SAN przy użyciu protokołu TLS/SSL opartego na adresie IP. Żądania do usługi lub klientów, które nie są SNI, nie mają wpływu.
Jak odnawianie certyfikatu działa z użyciem funkcji Bring Your Own Certificate?
Aby zapewnić wdrożenie nowszego certyfikatu w infrastrukturze POP, przekaż nowy certyfikat do usługi Azure Key Vault. W ustawieniach protokołu TLS w usłudze Azure Content Delivery Network wybierz najnowszą wersję certyfikatu i wybierz pozycję Zapisz. Usługa Azure Content Delivery Network będzie następnie propagować nowy zaktualizowany certyfikat.
Ważne
- Od 20 czerwca 2024 r. usługa Azure CDN Standard i Premium z usługi Edgio nie będzie obsługiwać funkcji Użyj własnych certyfikatów . Ta funkcja zostanie ponownie wprowadzona na początku 2025 roku.
- Jakie są wymagane akcje dla domen niestandardowych korzystających z tej funkcji? Certyfikaty BYOC wdrożone już na platformie Edgio pozostaną ważne do daty wygaśnięcia. W przypadku certyfikatów wygasających w 2025 r. nie jest wymagana żadna akcja. Zachęcamy do przejścia na usługę CDN Managed dla certyfikatów wymagających aktualizacji lub wygaśnięciu w tym roku. Jeśli potrzebujesz dodatkowej pomocy, prześlij wniosek o pomoc techniczną, aby współpracować z inżynierem pomocy technicznej.
Następne kroki
W tym samouczku zawarto informacje na temat wykonywania następujących czynności:
- Włączanie protokołu HTTPS w domenie niestandardowej
- Używanie certyfikatu zarządzanego przez usługę CDN
- Używanie własnego certyfikatu
- Weryfikowanie domeny
- Wyłączanie protokołu HTTPS w domenie niestandardowej
Przejdź do następnego samouczka, aby dowiedzieć się, jak skonfigurować buforowanie w punkcie końcowym usługi CDN.