Поделиться через

Добавление личного домена

  • Статья

Помимо домена по умолчанию, включенного в экземпляр Azure Web PubSub, можно добавить личный домен. Личный домен — это доменное имя, которое вы владеете и управляете ими. Вы можете использовать личный домен для доступа к ресурсам Web PubSub. Например, вместо доступа к ресурсам можно использовать contoso.example.com contoso.webpubsub.azure.com .

Необходимые компоненты

  • Учетная запись Azure с активной подпиской. Если у вас нет учетной записи Azure, вы можете создать учетную запись бесплатно.
  • Ресурс Azure Web PubSub с минимальным уровнем "Премиум".
  • Ресурс Azure Key Vault.
  • Пользовательский сертификат, соответствующий пользовательскому домену, хранящейся в Azure Key Vault.

Добавление настраиваемого сертификата

Прежде чем добавить личный домен, добавьте соответствующий пользовательский сертификат. Настраиваемый сертификат — это ресурс экземпляра Web PubSub. Он ссылается на сертификат в хранилище ключей. Для обеспечения безопасности и соответствия web PubSub не сохраняет сертификат навсегда. Вместо этого он извлекает сертификат из хранилища ключей и сохраняет его в памяти.

Доступ к хранилищу ключей с помощью управляемого удостоверения

Azure Web PubSub использует управляемое удостоверение для доступа к хранилищу ключей. Чтобы авторизовать доступ, необходимо предоставить разрешения.

Создание управляемого удостоверения

  1. В портал Azure перейдите к ресурсу Web PubSub.

  2. В меню слева выберите "Удостоверение".

  3. Выберите тип удостоверения для использования: назначенная системой или назначенная пользователем. Чтобы использовать удостоверение, назначаемое пользователем, сначала создайте его.

    Чтобы использовать назначаемое системой удостоверение:

    1. Выберите Вкл.

    2. Выберите Да для подтверждения.

    3. Выберите Сохранить.

    Снимок экрана: добавление управляемого удостоверения, назначаемого системой.

    Чтобы добавить удостоверение, назначаемое пользователем, выполните действия.

    1. Выберите Добавить управляемое удостоверение, назначаемое пользователем.

    2. Выберите существующее удостоверение.

    3. Выберите Добавить.

    Снимок экрана: добавление управляемого удостоверения, назначаемого пользователем.

  4. Выберите Сохранить.

Предоставление хранилищу ключей доступа к управляемому удостоверению

В зависимости от настройки модели разрешений Azure Key Vault может потребоваться предоставить разрешения в разных расположениях в портал Azure.

Если вы используете встроенную политику доступа к хранилищу ключей в качестве модели разрешений хранилища ключей:

Снимок экрана: встроенная политика доступа, выбранная в качестве модели разрешений хранилища ключей.

  1. На портале Azure перейдите в хранилище ключей.

  2. В меню слева выберите конфигурацию Access.

  3. Выберите политику доступа к Хранилищу.

  4. Выберите "Перейти к политикам доступа".

  5. Нажмите кнопку создания.

  6. На панели "Создание политики доступа" выберите вкладку "Разрешения".

  7. В разделе Разрешения секрета выберите Получение.

  8. В разделе Разрешения сертификата выберите Получить.

  9. Выберите Далее.

    Снимок экрана: выбор разрешений в хранилище ключей.

  10. Найдите имя ресурса Web PubSub.

  11. Выберите Далее.

    Снимок экрана: выбор субъекта в хранилище ключей.

  12. Перейдите на вкладку "Приложение " и нажмите кнопку "Далее".

  13. Нажмите кнопку создания.

Создание настраиваемого сертификата

  1. В портал Azure перейдите к ресурсу Web PubSub.

  2. В меню слева выберите личный домен.

  3. На панели настраиваемых сертификатов нажмите кнопку "Добавить".

    Снимок экрана: управление пользовательским сертификатом.

  4. Введите имя настраиваемого сертификата.

  5. Выберите в Key Vault , чтобы выбрать сертификат хранилища ключей. После выбора хранилища ключей значения для базового URI Key Vault и имени секрета Key Vault добавляются автоматически. Вам также нужно вручную изменить эти поля.

  6. (Необязательно) Чтобы закрепить сертификат в определенной версии, введите значение для секретной версии Key Vault.

  7. Выберите Добавить.

    Снимок экрана: добавление пользовательского сертификата.

Web PubSub извлекает сертификат и проверяет его содержимое. После успешной проверки сертификата состояние подготовки сертификата выполнено успешно.

Снимок экрана: добавленный пользовательский сертификат.

Создание CNAME личного домена

Чтобы проверить владение личным доменом, создайте запись CNAME для личного домена и укажите его на домен по умолчанию ресурса Web PubSub.

Например, если домен по умолчанию и ваш личный домен— contoso.webpubsub.azure.com contoso.example.comэто, создайте запись CNAME, example.com как в следующем примере:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com

Если вы используете зону Azure DNS, чтобы узнать, как добавить запись CNAME, см. статью "Управление записями DNS".

Снимок экрана: добавление записи CNAME в зону Azure DNS.

Если вы используете другие поставщики DNS, следуйте инструкциям в документации поставщика, чтобы создать запись CNAME.

Добавление личного домена в Web PubSub

Личный домен — это другой вложенный ресурс экземпляра Web PubSub. Он содержит все конфигурации, необходимые для личного домена.

  1. В портал Azure перейдите к ресурсу Web PubSub.

  2. В меню слева выберите личный домен.

  3. На панели "Личный домен" нажмите кнопку "Добавить".

    Снимок экрана: управление личным доменом.

  4. Введите имя личного домена. Используйте имя подресурсов.

  5. Введите доменное имя. Используйте полное доменное имя личного домена, например contoso.com.

  6. Выберите пользовательский сертификат, который применяется к этому пользовательскому домену.

  7. Выберите Добавить.

    Снимок экрана: добавление личного домена.

Проверка личного домена

Теперь вы можете получить доступ к конечной точке Web PubSub с помощью личного домена.

Чтобы проверить домен, можно получить доступ к API работоспособности. В следующих примерах используется cURL.

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

API работоспособности должен возвращать 200 код состояния без ошибок сертификата.

Настройка хранилища ключей частной сети

Если вы настроите частную конечную точку в хранилище ключей, Web PubSub не сможет получить доступ к хранилищу ключей с помощью общедоступной сети. Необходимо настроить общую частную конечную точку , чтобы предоставить web PubSub доступ к хранилищу ключей через частную сеть.

После создания общей частной конечной точки можно создать пользовательский сертификат как обычно. Вам не нужно изменять домен в URI хранилища ключей. Например, если базовый универсальный код ресурса (URI) хранилища ключей — https://contoso.vault.azure.netэто универсальный код ресурса (URI) для настройки пользовательского сертификата.

Вам не нужно явно разрешать IP-адреса Web PubSub в параметрах брандмауэра хранилища ключей. Дополнительные сведения см. в диагностика приватного канала хранилища ключей.

Поворот сертификата

Если при создании пользовательского сертификата не указана секретная версия, Web PubSub периодически проверяет наличие последней версии в хранилище ключей. При обнаружении новой версии она автоматически применяется. Задержка обычно меньше часа.

Кроме того, можно закрепить пользовательский сертификат в определенной версии секрета в хранилище ключей. При необходимости применить новый сертификат можно изменить версию секрета, а затем заранее обновить пользовательский сертификат.

Связанный контент