Руководство по настройке протокола HTTPS для личного домена в сети доставки содержимого Azure

В этом руководстве показано, как включить протокол HTTPS для личного домена, связанного с конечной точкой в сети доставки содержимого (CDN) Azure.

Протокол HTTPS в личном домене (например, HTTPS://www.contoso.com)) гарантирует безопасную доставку конфиденциальных данных по протоколу TLS/SSL. При подключении веб-браузера через HTTPS браузер проверяет сертификат веб-сайта. Браузер проверяет, выдан ли он законным центром сертификации. Этот процесс обеспечивает безопасность и защиту веб-приложений от атак.

Azure CDN по умолчанию поддерживает HTTPS в имени узла конечной точки CDN. Например, если создать конечную точку CDN (допустим, HTTPS://Contoso.azureedge.net)), протокол HTTPS будет включен автоматически.

Ниже приведены некоторые ключевые характеристики настраиваемой функции HTTPS:

  • Нет дополнительных затрат: нет затрат на приобретение сертификатов или продление, и нет дополнительных затрат на трафик HTTPS. Вы платите только за исходящий трафик из CDN.

  • Простое включение: на портале Azure доступна подготовка одним щелчком. Для включения этого компонента можно также использовать REST API или другие средства разработки.

  • Доступно полноценное управление сертификатами:

    • закупка всех сертификатов и управление ими осуществляется без вашего участия.
    • Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия.

В этом руководстве описано следующее:

  • включение протокола HTTPS в личном домене;
  • использование сертификата, управляемого CDN;
  • использование собственного сертификата;
  • проверка домена;
  • отключение протокола HTTPS в личном домене.

Предварительные требования

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Прежде чем перейти к выполнению шагов из этого учебника, создайте профиль и как минимум одну конечную точку CDN. Дополнительные сведения см. в статье Начало работы с Azure CDN.

Свяжите личный домен Azure CDN с конечной точкой CDN. Дополнительные сведения см. в руководстве . Добавление личного домена в конечную точку Azure CDN.

Внимание

Управляемые сертификаты CDN недоступны для корневых или вершинных доменов. Если личный домен Azure CDN является корневым или вершинным, необходимо использовать возможность применения собственного сертификата.


TLS/SSL-сертификаты

Чтобы включить протокол HTTPS в личном домене Azure CDN, используйте TLS/SSL-сертификат. Вы можете использовать сертификат под управлением Azure CDN или собственный сертификат.

Azure CDN управляет задачами управления сертификатами, такими как приобретение и продление. Как только функция будет включена, процесс сразу же запустится.

Если личный домен уже сопоставлен с конечной точкой CDN, дальнейших действий не требуется. Azure CDN предпримет нужные действия и автоматически выполнит запрос.

Если личный домен сопоставлен в другом месте, используйте электронную почту, чтобы подтвердить принадлежность домена.

Ниже описана процедура включения протокола HTTPS для личного домена.

  1. Перейдите на портал Azure и найдите сертификат, управляемый Azure CDN. Выполните поиск по запросу Профили CDN и выберите этот пункт.

  2. Выберите свой профиль:

    • Azure CDN уровня "Стандартный" от Майкрософт;
    • Azure CDN уровня "Стандартный" из Эдгио
    • Azure CDN Premium из Эдгио
  3. В списке конечных точек CDN выберите ту из них, которая содержит личный домен.

    Список конечных точек

    Откроется страница Конечная точка.

  4. В списке личных доменов выберите домен, для которого нужно включить протокол HTTPS.

    Снимок экрана: страница

    Откроется страница Личный домен.

  5. В разделе с типом управления сертификатом выберите Управляемые CDN.

  6. Выберите Вкл., чтобы включить HTTPS.

    Состояние HTTPS для личного домена

  7. Выберите Подтвердить домен.

проверка домена;

Если у вас есть личный домен, сопоставленный с пользовательской конечной точкой с записью CNAME или вы используете собственный сертификат, перейдите в личный домен, сопоставленный с конечной точкой сеть доставки содержимого.

Если же запись CNAME для конечной точки больше не существует или содержит поддомен cdnverify, перейдите к разделу Личный домен не сопоставлен с конечной точкой CDN.

Пользовательский домен сопоставлен с конечной точкой CDN с помощью записи CNAME

Добавив личный домен для конечной точки, вы создали в таблице DNS вашего регистратора домена запись CNAME, которая сопоставляет домен с именем узла конечной точки CDN.

Если запись CNAME еще существует и не содержит поддомен cdnverify, центр сертификации DigiCert использует ее для автоматического подтверждения прав владения доменом.

При использовании собственного сертификата подтверждение домена не является обязательным.

Запись CNAME должна иметь следующий формат:

  • Name — имя личного домена.
  • Значением является имя узла конечной точки конечной точки доставки содержимого.
Имя. Тип значение
<www.contoso.com> CNAME contoso.azureedge.net

Дополнительные сведения о записи CNAME см. в разделе о создании записи CNAME в DNS.

Если запись CNAME имеет правильный формат, DigiCert автоматически подтвердит имя личного домена и создаст сертификат для вашего домена. DigitCert не будет отправлять писем для подтверждения и вам не нужно подтверждать этот запрос. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться. Перейдите к разделу Ожидание распространения.

Автоматическая проверка обычно занимает несколько часов. Если домен не проверен в 24 часах, откройте запрос в службу поддержки.

Примечание.

Если у вас есть запись авторизации центра сертификации (CAA) с поставщиком DNS, она должна включать соответствующие центры сертификации для авторизации. DigiCert — это ЦС для профилей Майкрософт и Edgio. Сведения об управлении записями авторизации ЦС см. в этой статье. Средство для работы с записями авторизации ЦС доступно здесь.

Личный домен не сопоставлен с конечной точкой CDN

Если запись CNAME содержит поддомен cdnverify, следуйте остальным инструкциям в этом шаге.

DigiCert отправляет письмо для подтверждения на следующие адреса электронной почты. Убедитесь, что возможно утверждение непосредственно с одного из таких адресов:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Через несколько минут должно появиться электронное сообщение с просьбой подтвердить запрос. Если вы используете фильтр нежелательной почты, добавьте verification@digicert.com в список разрешений. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.

Письмо для подтверждения заказа на сертификат

При щелчке ссылки для подтверждения запроса откроется следующая онлайн-форма:

Форма подтверждения для домена

Следуйте инструкциям в форме. Есть два варианта проверки:

  • Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например contoso.com. Этот подход рекомендуется, если вы планируете добавлять дополнительные личные домены для одного корневого домена.

  • Можно просто утвердить конкретное имя узла, которое используется в данном запросе. Для последующих запросов потребуется дополнительное утверждение.

После утверждения DigiCert завершает создание сертификата для имени личного домена. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться.

Ожидание распространения

Активация компонента HTTPS для личного домена после проверки доменного имени может занять до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Включено. Четыре шага операции в диалоговом окне личного домена будут помечены как завершенные. Личный домен готов для использования протокола HTTPS.

Диалоговое окно

Ход выполнения операции

В следующей таблице показан ход операции, возникающей при включении HTTPS. После включения HTTPS в диалоговом окне личного домена отобразятся четыре шага операции. По мере активации этих шагов в них появляются другие вложенные шаги со сведениями о ходе выполнения. Не все из вложенных шагов будут выполняться. После успешного завершения шага рядом с ним появится зеленый флажок.

Шаг операции Сведения о вложенном шаге операции
1. Отправка запроса Отправка запроса
Отправляется HTTP-запрос.
HTTPS-запрос успешно отправлен.
2. Проверка домена Домен автоматически подтверждается, если он сопоставлен с конечной точкой CDN с помощью записи CNAME. В противном случае запрос на проверку будет отправляться на адрес электронной почты, указанный в записи регистрации вашего домена (регистрант WHOIS).
Владение доменом успешно подтверждено.
Истек срок действия запроса на подтверждение прав владения доменом (клиент, скорее всего, не ответил в течение 6 дней). HTTPS не будет включен в вашем домене. *
Клиент отклонил запрос на подтверждение прав собственности на домен. HTTPS не будет включен в вашем домене. *
3. Подготовка сертификата В настоящее время центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене.
Сертификат был выдан и в настоящее время развертывается в сеть доставки содержимого. Это может занять до 6 часов.
Сертификат успешно развернут в сети доставки содержимого.
4. Завершение HTTPS успешно включен для вашего домена.

* Это сообщение отображается, только если произошла ошибка.

Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Очистка ресурсов и отключение HTTPS

Из этого раздела вы узнаете, как отключить протокол HTTPS для личного домена.

Отключение компонента HTTPS

  1. Войдите на портал Azure. Выполните поиск по запросу Профили CDN и выберите этот пункт.

  2. Выберите azure CDN уровня "Стандартный" из Microsoft, Azure CDN standard из Edgio или Azure CDN Premium из профиля Edgio.

  3. В списке конечных точек выберите ту из них, которая содержит личный домен.

  4. Щелкните личный домен, для которого требуется отключить HTTPS.

    Список личных доменов

  5. Щелкните Выкл., чтобы отключить HTTPS, а затем нажмите кнопку Применить.

    Диалоговое окно

Ожидание распространения

После отключения компонента HTTPS личного домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Отключено. Три шага операции в диалоговом окне личного домена помечены как завершенные. Личный домен больше не сможет использовать HTTPS.

Диалоговое окно

Ход выполнения операции

В следующей таблице показан ход операции, возникающей при отключении HTTPS. После отключения HTTPS в диалоговом окне личного домена отобразятся три шага. По мере того, как каждый шаг становится активным, под ним появляются сведения. После успешного завершения шага рядом с ним появится зеленый флажок.

Ход выполнения операции Сведения об операции
1. Отправка запроса Отправка запроса
2. Отзыв сертификата Удаление сертификата
3. Завершение Сертификат удален

Часто задаваемые вопросы

  1. Кто является поставщиком сертификата и какой тип сертификата используется?

    Для личного домена используется выделенный сертификат, предоставленный Digicert:

    • Azure сеть доставки содержимого из Эдгио
    • Azure сеть доставки содержимого от Майкрософт
  2. Используется ли ip-адрес или указание имени сервера (SNI) TLS/SSL?

    Azure CDN из Edgio и Azure CDN Уровня "Стандартный" из Майкрософт используют протокол SNI TLS/SSL.

  3. Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?

    Если вы не используете поддомен cdnverify и существует запись CNAME, которая указывает на ваше имени узла конечной точки, вы не получите электронное сообщение о подтверждении домена.

    Проверка в этом случае проходит автоматически. Если запись CNAME отсутствует и вы не получили сообщение электронной почты в течение 24 часов, обратитесь в службу поддержки Майкрософт.

  4. Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?

    Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных TLS/SSL-сертификатов используется алгоритм SHA-256.

  5. Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?

    В настоящее время запись авторизации центра сертификации не требуется. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.

  6. 20 июня 2018 г. Azure CDN из Эдгио по умолчанию начал использовать выделенный сертификат с SNI TLS/SSL. Что произойдет с моими существующими личными доменами, использующими сертификат SAN и подключение TLS/SSL на основе IP-адресов?

    В ближайшие месяцы ваши существующие домены будут постепенно переведены на использование одного сертификата, если корпорация Майкрософт сделает вывод, что к приложению выполнялись только клиентские запросы SNI.

    Если обнаруживаются клиенты без SNI, домены продолжат использовать сертификат SAN с протоколом TLS/SSL на основе IP-адресации. Это не повлияет на запросы к службе или клиентам, которые не используют SNI.

  7. Как работает продление сертификатов с помощью собственного сертификата?

    Чтобы обеспечить развертывание нового сертификата в инфраструктуре POP, отправьте новый сертификат в Azure Key Vault. В параметрах TLS в Azure сеть доставки содержимого выберите последнюю версию сертификата и нажмите кнопку "Сохранить". Затем azure сеть доставки содержимого будет распространять новый обновленный сертификат.

    Для Azure CDN из профилей Edgio, если вы используете один и тот же сертификат Azure Key Vault в нескольких пользовательских доменах (например, дикий карта сертификат), убедитесь, что вы обновляете все пользовательские домены, использующие тот же сертификат до более новой версии сертификата.

Следующие шаги

Из этого руководства вы узнали, как:

  • включение протокола HTTPS в личном домене;
  • использование сертификата, управляемого CDN;
  • использование собственного сертификата;
  • проверка домена;
  • отключение протокола HTTPS в личном домене.

Перейдите к следующему руководству, чтобы научиться настраивать кэширование в конечной точке CDN.

Tutorial: Set Azure CDN caching rules (Руководство. Настройка правил кэширования Azure CDN)