在 Azure Front Door 上設定 HTTPS (傳統) 自定義網域
重要
Azure Front Door (傳統) 將於 2027 年 3 月 31 日遭到淘汰。 為了避免任何服務中斷,請務必在 2027 年 3 月之前,將 Azure Front Door (傳統) 設定檔移轉至 Azure Front Door 標準或進階層。 如需詳細資訊,請參閱 Azure Front Door (傳統版) 淘汰。
本文說明如何為與您的 Front Door (傳統) 相關聯的自定義網域啟用 HTTPS。 在自訂網域上使用 HTTPS(例如, https://www.contoso.com) 可確保透過 TLS/SSL 加密安全地傳輸數據。 當網頁瀏覽器使用 HTTPS 連線到網站時,它會驗證網站的安全性憑證並驗證其合法性,提供安全性並保護您的 Web 應用程式免於遭受惡意攻擊。
Azure Front Door 預設在其預設主機名上支援 HTTPS(例如 , https://contoso.azurefd.net。 不過,您必須針對自訂網域個別啟用 HTTPS,例如 www.contoso.com。
自訂 HTTPS 功能的主要屬性包括:
- 無額外費用:憑證取得、續約或 HTTPS 流量不需任何成本。
- 簡單啟用:透過 Azure 入口網站、REST API 或其他開發人員工具進行單選布建。
- 完整憑證管理:自動採購和更新憑證,消除因憑證過期而中斷服務的風險。
在本教學課程中,您將了解:
- 在您的自定義網域上啟用 HTTPS。
- 使用 AFD 管理的憑證。
- 使用您自己的 TLS/SSL 憑證。
- 驗證網域。
- 停用自定義網域上的 HTTPS。
注意
建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 若要開始使用,請參閱安裝 Azure PowerShell (部分機器翻譯)。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。
必要條件
開始之前,請確定您有至少一個自定義網域上線的 Front Door。 如需詳細資訊,請參閱教學課程:將自訂網域新增到您的 Front Door。
TLS/SSL 憑證
若要在 Front Door (傳統) 自訂網域上啟用 HTTPS,您需要 TLS/SSL 憑證。 您可以使用 Azure Front Door 管理的憑證或您自己的憑證。
選項 1 (預設值):使用 Front Door 所管理的憑證
使用 Azure Front Door 管理的憑證可讓您透過一些設定變更來啟用 HTTPS。 Azure Front Door 會處理所有憑證管理工作,包括採購和更新。 如果您的自定義網域已經對應到 Front Door 的預設前端主機 ({hostname}.azurefd.net),則不需要採取進一步的動作。 否則,您必須透過電子郵件驗證網域擁有權。
若要在自訂網域上啟用 HTTPS:
在 Azure 入口網站 中,移至您的 Front Door 配置檔。
從前端主機清單中選取您想要啟用 HTTPS 的自定義網域。
在 [自定義網域 HTTPS] 底下,選取 [已啟用],然後選擇 [Front Door 受控] 作為憑證來源。
選取儲存。
繼續驗證 網域。
注意
- DigiCert 的 64 個字元限制會針對 Azure Front Door 管理的憑證強制執行。 如果超過此限制,驗證將會失敗。
- 頂點/根域不支援透過 Front Door 受控憑證啟用 HTTPS(例如,contoso.com)。 針對此案例使用您自己的憑證(請參閱選項 2)。
選項 2:使用您自己的憑證
您可以透過與 Azure 金鑰保存庫 整合來使用自己的憑證。 請確定您的憑證來自 Microsoft受信任的CA清單 ,並具有完整的憑證鏈結。
準備金鑰保存庫和憑證
- 在與 Front Door 相同的 Azure 訂用帳戶中建立密鑰保存庫帳戶。
- 將金鑰保存庫設定為允許受信任的 Microsoft 服務 在啟用網路存取限制時略過防火牆。
- 使用 金鑰保存庫 存取原則許可權模型。
- 將您的憑證上傳為 憑證 物件,而不是 秘密。
注意
Front Door 不支援憑證使用橢圓曲線 (EC) 的密碼編譯演算法。 憑證須為具有分葉和中繼憑證的完整憑證鏈結,且根 CA 須為 Microsoft 受信任 CA 清單的一部分。
註冊 Azure Front Door
使用 Azure PowerShell 或 Azure CLI,在Microsoft Entra ID 中註冊 Azure Front Door 服務主體。
Azure PowerShell
視需要安裝 Azure PowerShell 。
執行以下命令:
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI
視需要安裝 Azure CLI 。
執行以下命令:
az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
授與 Azure Front Door 存取您的金鑰保存庫
在金鑰保存庫帳戶中,選取 [存取原則]。
選取 [建立] 建立新的存取原則。
在 [ 秘密許可權] 中,選取 [ 取得]。
在 [憑證許可權] 中,選取 [ 取得]。
在 [選取主體] 中,搜尋 ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 ,然後選取 [Microsoft.Azure.Frontdoor]。 選取 [下一步]。
在應用程式中選取 [下一步]。
在 [檢閱 + 建立] 中選取 [建立]。
注意
如果您的金鑰保存庫有網路存取限制,請允許受信任的 Microsoft 服務 存取您的金鑰保存庫。
選取要部署的 Azure Front Door 憑證
返回入口網站中的 Front Door。
選取您要啟用 HTTPS 的自訂網域。
在 [憑證管理類型] 底下,選取 [使用我自己的憑證]。
選取金鑰保存庫、秘密和秘密版本。
注意
若要啟用自動憑證輪替,請將秘密版本設定為 「最新」。 如果選取特定版本,您必須手動更新憑證輪替。
警告
請確定您的服務主體具有 金鑰保存庫的 GET 許可權。 若要查看入口網站下拉式清單中的憑證,您的用戶帳戶必須具有 金鑰保存庫的 LIST 和 GET 許可權。
使用您自己的憑證時,不需要網域驗證。 繼續等候 傳播。
驗證網域
如果您的自定義網域已使用 CNAME 記錄對應至您的自定義端點,或者您正在使用自己的憑證,請繼續前往 自定義網域對應至您的 Front Door。 否則,請遵循自定義網域中的 指示,不會對應到您的 Front Door。
自訂網域已經由 CNAME 記錄對應至您的 Front Door
如果您的 CNAME 記錄仍然存在且未包含 afdverify 子域,DigiCert 會自動驗證自定義網域的擁有權。
您的 CNAME 記錄應該採用以下格式:
| 名稱 | 類型 | 值 |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
如需有關 CNAME 記錄的詳細資訊,請參閱建立 CNAME DNS 記錄。
如果您的 CNAME 記錄正確,DigiCert 會自動驗證您的自定義網域,並建立專用憑證。 憑證有效期限為一年,並且會在到期之前自動更新。 請繼續進行等待傳播。
注意
如果您具有 DNS 提供者的憑證授權單位授權 (CAA) 記錄,它必須包括 DigiCert 作為有效的 CA。 如需詳細資訊,請參閱 管理 CAA 記錄。
自訂網域未對應至您的 Front Door
如果端點的 CNAME 記錄專案已不存在或包含 afdverify 子域,請遵循這些指示。
在自定義網域上啟用 HTTPS 之後,DigiCert 會透過 WHOIS 註冊中所列的電子郵件或電話連絡網域的登錄者,以驗證擁有權。 您必須在六個工作天內完成網域驗證。 DigiCert 網域驗證可在子網域層級運作。
如果WHOIS 登錄者資訊是私人的,DigiCert 也會將驗證電子郵件傳送至下列位址:
- <admin@your-domain-name.com>
- <administrator@your-domain-name.com>
- webmaster@<your-domain-name.com>
- hostmaster@<your-domain-name.com>
- <postmaster@your-domain-name.com>
您應該會收到一封電子郵件,要求您核准要求。 如果您未在 24 小時內收到驗證電子郵件,請連絡 Microsoft 支援服務。
核准之後,DigiCert 會完成憑證建立。 如果 CNAME 記錄對應至 Azure Front Door 的預設主機名,憑證有效期限為一年,且會自動重新傳送。
注意
受控憑證自動更新會使用 CNAME 記錄,要求您的自訂網域會直接對應至您 Front Door 的預設 .azurefd.net 主機名稱。
等待傳播
網域驗證之後,最多可能需要 6-8 小時才能啟用自定義網域 HTTPS 功能。 完成時,Azure 入口網站 中的自定義 HTTPS 狀態會設定為 [已啟用]。
作業進度
下表顯示開啟 HTTPS 時的作業進度:
| 作業步驟 | 作業子步驟詳細資料 |
|---|---|
| 1.提交要求 | 提交要求 |
| 正在提交您的 HTTPS 要求。 | |
| 已成功提交您的 HTTPS 要求。 | |
| 2.網域驗證 | 如果 CNAME 對應至預設的 .azurefd.net 前端主機,則會自動驗證網域。 否則,系統會將驗證要求傳送到您網域註冊記錄 (WHOIS 註冊者) 中所列的電子郵件。 請儘速驗證網域。 |
| 您的網域擁有權已成功驗證。 | |
| 網域擁有權驗證要求已過期(客戶可能未在六天內回應)。 網域上未啟用 HTTPS。 * | |
| 客戶拒絕網域所有權驗證要求。 網域上未啟用 HTTPS。 * | |
| 3.憑證佈建 | 證書頒發機構單位會發出在網域上啟用 HTTPS 所需的憑證。 |
| 憑證已發行,且正在為您的 Front Door 部署。 此程式可能需要幾分鐘到一小時的時間。 | |
| 已成功為您的 Front Door 部署憑證。 | |
| 4.[完成] | 已成功在您的網域上啟用 HTTPS。 |
* 只有在發生錯誤時,才會顯示此訊息。
如果錯誤發生於提交要求之前,則會顯示下列錯誤訊息:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
常見問題集
憑證提供者是誰?使用的是哪一種憑證?
DigiCert 提供的專用/單一憑證會用於您的自定義網域。
您使用 IP 型或 SNI TLS/SSL?
Azure Front Door 使用 SNI TLS/SSL。
如果沒有收到 DigiCert 的驗證電子郵件該怎麼辦?
如果您的自定義網域有 CNAME 專案,直接指向您的端點主機名,而且您未使用 afdverify 子域名稱,則不會收到網域驗證電子郵件。 驗證會自動進行。 否則,如果您沒有 CNAME 專案,且未在 24 小時內收到電子郵件,請連絡Microsoft支持人員。
SAN 憑證的安全性是否比專用憑證來得低?
SAN 憑證遵循和專用憑證相同的加密與安全性標準。 所有發行的 TLS/SSL 憑證都使用 SHA-256 來加強伺服器安全性。
是否需要我的 DNS 提供者的憑證授權單位授權記錄?
否,目前不需要憑證授權單位授權記錄。 不過,如果您的確有一個授權記錄,它必須包含 DigiCert 作為有效的 CA。
清除資源
若要停用自定義網域上的 HTTPS:
停用 HTTPS 功能
在 Azure 入口網站 中,移至您的 Azure Front Door 設定。
選取您要停用 HTTPS 的自訂網域。
選取 [停用] ,然後選取 [ 儲存]。
等待傳播
停用自定義網域 HTTPS 功能之後,最多可能需要 6-8 小時才會生效。 完成時,Azure 入口網站 中的自定義 HTTPS 狀態會設定為 [已停用]。
作業進度
下表顯示停用 HTTPS 時的作業進度:
| 作業進度 | 作業詳細資料 |
|---|---|
| 1.提交要求 | 正在提交您的要求 |
| 2.憑證取消佈建 | 刪除憑證 |
| 3.[完成] | 已憑證刪除 |
下一步
若要了解如何為您的 Front Door 設定地區篩選原則,請繼續進行下一個教學課程。