تكوين HTTPS على مجال مخصص ل Azure Front Door باستخدام مدخل Microsoft Azure

يتيح Azure Front Door تسليم أمان طبقة النقل الآمن (TLS) إلى تطبيقاتك بشكل افتراضي عند استخدام المجالات المخصصة الخاصة بك. لمعرفة المزيد حول المجالات المخصصة، بما في ذلك كيفية عمل المجالات المخصصة مع HTTPS، راجع المجالات في Azure Front Door.

يدعم Azure Front Door الشهادات المدارة من Azure والشهادات التي يديرها العميل. في هذه المقالة، ستتعلم كيفية تكوين كلا النوعين من الشهادات للمجالات المخصصة ل Azure Front Door.

المتطلبات الأساسية

• قبل أن تتمكن من تكوين HTTPS للمجال المخصص الخاص بك، يجب أولاً إنشاء ملف تعريف Azure Front Door. لمزيد من المعلومات، راجع إنشاء ملف تعريف Azure Front Door.
• إن لم يكن لديك مجال مخصص، يجب عليك أولاً شراء مجال من مزود مجال. على سبيل المثال، راجع شراء اسم مجال مخصص.
• إن كنت تستخدم Azure لاستضافة مجالات DNS، فيجب تفويض نظام أسماء المجالات (DNS) لموفر المجال إلى DNS Azure. للمزيد من المعلومات، راجع تفويض مجال إلى DNS Azure. وإلا، إذا كنت تستخدم موفر مجال لمعالجة مجال DNS الخاص بك، يجب عليك التحقق من صحة المجال يدوياً عن طريق إدخال سجلات DNS TXT المطالبة.

شهادات Azure Front Door المدارة للمجالات غير المصدق عليها مسبقا في Azure

إذا كان لديك مجالك الخاص، ولم يكن المجال مقترنا بالفعل بخدمة Azure أخرى تقوم بتمديد المجالات ل Azure Front Door، فاتبع الخطوات التالية:

1. ضمن الإعدادات، حدد المجالات لملف تعريف Azure Front Door. ثم حدد + إضافة لإضافة مجال جديد.

   

2. في جزء إضافة مجال ، أدخل المعلومات التالية أو حددها. ثم حدد إضافة إلى إلحاق المجال المخصص.

   

   الإعداد	القيمة‬
   نوع المجال	حدد المجال غير Azure الذي تم التحقق من صحته مسبقا.
   إدارة DNS	حدد Azure managed DNS (Recommended) .
   منطقة DNS	حدد منطقة Azure DNS التي تستضيف المجال المخصص.
   مجال مخصص	حدد مجالاً موجوداً أو أضف مجالاً جديداً.
   HTTPS	حدد AFD managed (Recommended).

3. تحقق من صحة المجال المخصص وربطه بنقطة نهاية باتباع الخطوات لتمكين مجال مخصص.

4. بعد أن يقترن المجال المخصص بنجاح بنقطة نهاية، يقوم Azure Front Door بإنشاء شهادة ونشرها. قد تستغرق هذه العملية من عدة دقائق إلى ساعة للانتهاء.

الشهادات المدارة من Azure للمجالات التي تم التحقق من مصادقة Azure عليها مسبقا

إذا كان لديك مجالك الخاص، وكان المجال مقترنا بخدمة Azure أخرى تقوم بتمديد المجالات ل Azure Front Door، فاتبع الخطوات التالية:

1. ضمن الإعدادات، حدد المجالات لملف تعريف Azure Front Door. ثم حدد + إضافة لإضافة مجال جديد.

   

2. في جزء إضافة مجال ، أدخل المعلومات التالية أو حددها. ثم حدد إضافة إلى إلحاق المجال المخصص.

   

   الإعداد	القيمة‬
   نوع المجال	حدد مجال Azure الذي تم التحقق من صحته مسبقا.
   المجالات المخصصة التي تم التحقق من صحتها مسبقا	حدد اسم مجال مخصص من القائمة المنسدلة لخدمات Azure.
   HTTPS	حدد Azure managed.

3. تحقق من صحة المجال المخصص وربطه بنقطة نهاية باتباع الخطوات لتمكين مجال مخصص.

4. بعد إقران المجال المخصص بنجاح بنقطة نهاية، يتم نشر شهادة مدارة بواسطة Azure Front Door إلى Azure Front Door. قد تستغرق هذه العملية من عدة دقائق إلى ساعة للانتهاء.

استخدم شهادتك الخاصة

يمكنك أيضاً اختيار استخدام شهادة TLS الخاصة بك. يجب أن تفي شهادة TLS بمتطلبات معينة. لمزيد من المعلومات، راجع متطلبات الشهادة.

قم بإعداد Key Vault والشهادة

أنشئ مثيل Azure Key Vault منفصلا تقوم فيه بتخزين شهادات Azure Front Door TLS. لمزيد من المعلومات، راجع إنشاء مثيل Key Vault. إذا كان لديك شهادة بالفعل، يمكنك تحميلها إلى مثيل Key Vault الجديد. وإلا، يمكنك إنشاء شهادة جديدة من خلال Key Vault من أحد شركاء المرجع المصدق (CA).

تحذير

يدعم Azure Front Door حاليا Key Vault فقط في نفس الاشتراك. يؤدي تحديد Key Vault ضمن اشتراك مختلف إلى فشل.

نقاط أخرى يجب ملاحظتها حول الشهادات:

• لا يدعم Azure Front Door الشهادات مع خوارزميات تشفير المنحنى الناقص. أيضا، يجب أن تحتوي شهادتك على سلسلة شهادات كاملة مع شهادات طرفية ومتوسطة. يجب أن يكون المرجع المصدق الجذر أيضا جزءا من قائمة المرجع المصدق الموثوق به من Microsoft.
• نوصي باستخدام الهوية المدارة للسماح بالوصول إلى شهادات Key Vault لأنه سيتم إيقاف تسجيل التطبيق في المستقبل.

سجّل Azure Front Door

سجل كيان الخدمة ل Azure Front Door كتطبيق في معرف Microsoft Entra باستخدام Microsoft Graph PowerShell أو Azure CLI.

إشعار

• يتطلب هذا الإجراء أن يكون لديك أذونات مسؤول istrator العمومية في معرف Microsoft Entra. يجب إجراء التسجيل مرة واحدة فقط لكل مستأجر Microsoft Entra.
• معرفات التطبيق 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 وd4631ece-daab-479b-be77-ccb713491fc0 معرفة مسبقا بواسطة Azure ل Azure Front Door Standard وPremium عبر جميع مستأجري Azure واشتراكاته. يحتوي Azure Front Door (الكلاسيكي) على معرف تطبيق مختلف.

Microsoft Graph PowerShell

1. إذا لزم الأمر، قم بتثبيت Microsoft Graph PowerShell في PowerShell على جهازك المحلي.

2. استخدم PowerShell لتشغيل الأمر التالي:

   سحابة Azure العامة:

   New-MgServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
   

   سحابة Azure الحكومية:

    New-MgServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
   

Azure CLI

1. إذا لزم الأمر، قم بتثبيت Azure CLI على جهازك المحلي.

2. استخدم Azure CLI لتشغيل الأمر التالي:

   سحابة Azure العامة:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

   سحابة Azure الحكومية:

    az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
   

امنح Azure Front Door الوصول إلى المخزن الرئيسي الخاصة بك

امنح Azure Front Door الإذن للوصول إلى الشهادات في حساب Key Vault الجديد الذي قمت بإنشائه خصيصا ل Azure Front Door. تحتاج فقط إلى منح GET الإذن للشهادة والسر من أجل Azure Front Door لاسترداد الشهادة.

1. في حساب Key Vault الخاص بك، حدد Access policies.

2. حدد إضافة جديد أو إنشاء لإنشاء نهج وصول جديد.

3. في Secret permissions، حدد Get للسماح ل Azure Front Door باسترداد الشهادة.

4. في أذونات الشهادة، حدد Get للسماح ل Azure Front Door باسترداد الشهادة.

5. في Select principal، ابحث عن 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 وحدد Microsoft.AzureFrontDoor-Cdn. حدد التالي.

6. فيالتطبيق، حددالتالي.

7. في "Review + create"، حدد "Create".

إشعار

إذا كان Key Vault لديك محميًا بقيود الوصول إلى الشبكة، فتأكد من السماح لخدمات Microsoft الموثوقة بالوصول إلى Key Vault.

يمكن الآن لـ Azure Front Door الوصول إلى Key Vault هذا والشهادات التي يحتوي عليها.

حدد الشهادة الخاصة بـ Azure Front Door لنشرها

1. العودة إلى Azure Front Door Standard/Premium في المدخل.

2. ضمن الإعدادات، انتقل إلى Secrets وحدد + Add certificate.

   

3. في جزء إضافة شهادة ، حدد خانة الاختيار للشهادة التي تريد إضافتها إلى Azure Front Door Standard/Premium.

4. عند تحديد شهادة، يجب تحديد إصدار الشهادة. إذا قمت بتحديد Latest، يتم تحديث Azure Front Door تلقائيا كلما تم تدوير الشهادة (تجديدها). يمكنك أيضا تحديد إصدار شهادة معين إذا كنت تفضل إدارة تدوير الشهادة بنفسك.

   اترك تحديد الإصدار على أنه الأحدث وحدد إضافة.

   

5. بعد توفير الشهادة بنجاح، يمكنك استخدامها عند إضافة مجال مخصص جديد.

   

6. ضمن الإعدادات، انتقل إلى المجالات وحدد + إضافة لإضافة مجال مخصص جديد. في جزء Add a domain ، ل HTTPS، حدد Bring Your Own Certificate (BYOC). بالنسبة إلى البيانات السرية، حدد الشهادة التي تريد استخدامها من القائمة المنسدلة.

   إشعار

   يجب أن يتطابق الاسم الشائع للشهادة المحددة مع المجال المخصص الذي تتم إضافته.

   

7. اتبع الخطوات التي تظهر على الشاشة للتحقق من صحة الشهادة. ثم قم بإقران المجال المخصص الذي تم إنشاؤه حديثا بنقطة نهاية كما هو موضح في تكوين مجال مخصص.

التبديل بين أنواع الشهادات

يمكنك تغيير مجال بين استخدام شهادة مدارة بواسطة Azure Front Door وشهادة يديرها العميل. لمزيد من المعلومات، راجع المجالات في Azure Front Door.

1. حدد حالة الشهادة لفتح جزء تفاصيل الشهادة .

   

2. في جزء تفاصيل الشهادة ، يمكنك التغيير بين Azure Front Door المدارة وإحضار الشهادة الخاصة بك (BYOC).

   إذا حددت إحضار الشهادة الخاصة بك (BYOC)، فاتبع الخطوات السابقة لتحديد شهادة.

3. حدد "تحديث" لتغيير الشهادة المقترنة بمجال.

   

الخطوات التالية

• تعرف على التخزين المؤقت باستخدام Azure Front Door Standard/Premium.
• فهم المجالات المخصصة على Azure Front Door.
• تعرف على TLS من طرف إلى طرف باستخدام Azure Front Door.