Kurz: Konfigurace HTTPS pro vlastní doménu Azure CDN

Článek
11/04/2021
12 min ke čtení

V tomto kurzu se dozvíte, jak povolit protokol HTTPS pro vlastní doménu přidruženou ke koncovému bodu služby Azure CDN.

Protokol HTTPS ve vaší vlastní doméně (například https: /www.contoso.com) zajišťuje zabezpečené doručení citlivých dat / přes TLS/SSL. Když je webový prohlížeč připojený přes HTTPS, prohlížeč ověří certifikát webu. Prohlížeč ověří, že je vydaný legitimní certifikační autoritou. Tento proces zajišťuje zabezpečení a chrání vaše webové aplikace před útoky.

Azure CDN ve výchozím nastavení podporuje HTTPS pro název hostitele koncového bodu CDN. Pokud například vytvoříte koncový bod CDN (například https://contoso.azureedge.net), HTTPS se automaticky povolí.

Mezi klíčové atributy vlastní funkce HTTPS patří mimo jiné:

Žádné další náklady: Za získání nebo prodloužení platnosti certifikátů se nenáklady a žádné další náklady na provoz HTTPS. Platíte pouze za GB odchozího provozu mimo síť CDN.
Jednoduché povolení: Na webu Azure Portal je k dispozici zřízení jedním kliknutím. K povolení této funkce můžete použít také rozhraní REST API nebo jiné vývojářské nástroje.
K dispozici je úplná správa certifikátů:
- Veškeré nákupy a správa certifikátů se zpracovávají za vás.
- Certifikáty se automaticky zřují a obnovují před vypršením platnosti.

V tomto kurzu se naučíte:

Povolit protokol HTTPS pro vlastní doménu
Použít certifikát spravovaný CDN
Použít vlastní certifikát
Ověření domény
Zakázat protokol HTTPS pro vlastní doménu

Požadavky

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Než budete moci dokončit kroky v tomto kurzu, vytvořte profil CDN a alespoň jeden CDN koncový bod. Další informace najdete v tématu Rychlý start: Vytvoření profilu a koncového bodu Azure CDN.

Přidružte ke Azure CDN koncovému bodu vlastní CDN doménu. Další informace najdete v tématu Kurz: Přidání vlastní domény do koncového bodu Azure CDN .

Důležité

CDN spravované certifikáty nejsou k dispozici pro kořenové domény ani domény apex. Pokud je Azure CDN doména kořenovou nebo apexovou doménou, musíte použít funkci Přineste si vlastní certifikát.

Certifikáty TLS/SSL

Pokud chcete povolit HTTPS Azure CDN vlastní doméně, použijte certifikát TLS/SSL. Rozhodnete se použít certifikát, který je spravovaný Azure CDN nebo použít váš certifikát.

1. možnost (výchozí): Povolení protokolu HTTPS s certifikátem spravovaným CDN
2. možnost: Povolení protokolu HTTPS s vlastním certifikátem

Azure CDN se o úlohy správy certifikátů, jako je nákup a prodloužení platnosti. Jakmile funkci povolíte, proces se okamžitě zahájí.

Pokud už je vlastní doména namapovaná na koncový CDN, není potřeba žádná další akce. Azure CDN postup zpracuje a dokončí vaši žádost automaticky.

Pokud je vaše vlastní doména namapovaná jinde, pomocí e-mailu ověřte vlastnictví domény.

Pokud chcete povolit HTTPS pro vlastní doménu, postupujte následovně:

Přejděte do Azure Portal a vyhledejte certifikát spravovaný vaším Azure CDN. Vyhledejte a vyberte CDN profilů.
Zvolte svůj profil:
- Azure CDN Standard od Microsoftu
- Azure CDN Standard od Akamai
- Azure CDN Standard od Verizonu
- Azure CDN Premium od Verizonu
V seznamu koncových bodů CDN vyberte koncový bod obsahující vaši vlastní doménu.

Zobrazí se stránka Koncový bod.
V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

Zobrazí se stránka Vlastní doména.
V části Typ správy certifikátu vyberte Spravováno sítí CDN.
Výběrem možnosti Zapnuto povolte HTTPS.
Pokračujte k ověření domény.

Důležité

Tato možnost je dostupná jenom u Azure CDN od Microsoftu a Azure CDN od Verizonu.

K povolení funkce HTTPS můžete použít vlastní certifikát. Tento proces se provádí prostřednictvím integrace s Azure Key Vault, která vám umožní bezpečně ukládat vaše certifikáty. Azure Front Door tento zabezpečený mechanismus k získání certifikátu a vyžaduje několik kroků navíc. Při vytváření certifikátu TLS/SSL musíte vytvořit úplný řetěz certifikátů s povolenou certifikační autoritou (CA), která je součástí seznamu důvěryhodných certifikačních autorit Microsoftu. Pokud použijete nepo povolenou certifikační autoritu, vaše žádost se zamítne. Pokud se zobrazí certifikát bez úplného řetězu, nezaručuje se, že požadavky zahrnující tento certifikát budou fungovat podle očekávání. Pro Azure CDN od Verizonu bude přijata jakákoli platná certifikační autorita.

Příprava účtu a certifikátu Azure Key Vault

Azure Key Vault: Musíte mít účet Azure Key Vault běžící v rámci stejného předplatného jako profil Azure CDN a koncové body CDN, pro které chcete vlastní HTTPS povolit. Pokud účet Azure Key Vault nemáte, vytvořte ho.
Azure Key Vault certifikáty: Pokud máte certifikát, nahrajte ho přímo do Azure Key Vault účtu. Pokud certifikát nemáte, vytvořte nový certifikát přímo prostřednictvím Azure Key Vault.

Poznámka

Certifikát musí mít úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty a kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačníchautorit Microsoftu .

Registrace Azure CDN

Zaregistrujte Azure CDN jako aplikaci v Azure Active Directory pomocí PowerShellu.

V případě potřeby nainstalujte Azure PowerShell na místní počítač.

V PowerShellu spusťte následující příkaz:

New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

Poznámka

205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 je instanční objekt pro Microsoft.AzureFrontDoor-Cdn.

New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

Secret                : 
ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, 
                            https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
ObjectType            : ServicePrincipal
DisplayName           : Microsoft.AzureFrontDoor-Cdn
Id                    : c87be08f-686a-4d9f-8ef8-64707dbd413e
Type                  :

Udělení přístupu k trezoru klíčů pro Azure CDN

Udělte Azure CDN oprávnění přistupovat k certifikátům (tajným kódům) ve vašem účtu Azure Key Vault.

Ve svém trezoru klíčů v části Nastavení vyberte Zásady přístupu. V pravém podokně vyberte + Přidat zásadu přístupu:
Na stránce Přidat zásady přístupu vyberte vedle možnosti Vybrat objekt zabezpečení možnost Žádná vybraná. Na stránce Objekt zabezpečení zadejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Vyberte Microsoft.AzureFrontdoor-Cdn. Zvolte Vybrat:
V části Vybrat objekt zabezpečení vyhledejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a zvolte Microsoft.AzureFrontDoor-Cdn. Zvolte Vybrat.
Vyberte Oprávnění certifikátu. Zaškrtnutím políček u možnosti Získat a Seznam CDN oprávnění k získání a zobrazení seznamu certifikátů.
Vyberte Oprávnění tajného klíče. Zaškrtnutím políček u možnosti Získat a Vy list CDN oprávnění k získání a zobrazení seznamu tajných kódů:
Vyberte Přidat.

Poznámka

Azure CDN teď může přistupovat k tomuto trezoru klíčů a certifikátům (tajným kódům), které jsou v tomto trezoru klíčů uloženy. Všechny CDN vytvořené v tomto předplatném budou mít přístup k certifikátům v tomto trezoru klíčů.

Výběr certifikátu k nasazení pro Azure CDN

Vraťte se zpět na portál Azure CDN a vyberte profil a koncový bod CDN, pro které chcete vlastní HTTPS povolit.
V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

Zobrazí se stránka Vlastní doména.
V části Typ správy certifikátu vyberte Použít vlastní certifikát.
Vyberte trezor klíčů, certifikát/tajný klíč a verzi certifikátu/tajného klíče.

Azure CDN zobrazí následující informace:
- Účty trezoru klíčů pro ID vašeho předplatného
- Certifikáty a tajné kódy ve vybraném trezoru klíčů.
- Dostupné verze certifikátu nebo tajného klíče.
Poznámka

Pokud chcete, aby se certifikát automaticky obměnoval za nejnovější verzi, když je ve vašem Key Vault k dispozici novější verze certifikátu, nastavte verzi certifikátu nebo tajného klíče na Nejnovější. Pokud je vybraná konkrétní verze, musíte znovu ručně vybrat novou verzi pro rotaci certifikátů. Nasazení nové verze certifikátu nebo tajného klíče trvá až 24 hodin.
Výběrem možnosti Zapnuto povolte HTTPS.
Při použití certifikátu se nevyžaduje ověření domény. Pokračujte a počkejte na rozšíření.

Ověření domény

Pokud používáte vlastní doménu mapovanou na vlastní koncový bod se záznamem CNAME nebo pokud používáte vlastní certifikát, pokračujte na vlastní doménu mapovanou na váš koncový bod CDN .

V opačném případě, pokud položka záznamu CNAME pro váš koncový bod už neexistuje nebo obsahuje subdoménu cdnverify, pokračujte na vlastní doménu, která není namapovaná na váš CDN koncový bod.

Vlastní doména se mapuje na koncový bod CDN pomocí záznamu CNAME

Když jste do koncového bodu přidali vlastní doménu, vytvořili jste záznam CNAME v registrátorovi domény DNS namapovaného na CDN koncového bodu.

Pokud tento záznam CNAME stále existuje a neobsahuje subdoménu cdnverify, certifikační autorita DigiCert ho použije k automatickému ověření vlastnictví vaší vlastní domény.

Pokud používáte vlastní certifikát, ověření domény se nevyžaduje.

Záznam CNAME by měl mít následující formát:

Název je název vaší vlastní domény.
Hodnota je název CDN koncového bodu.

Název	Typ	Hodnota
<www.contoso.com>	CNAME	contoso.azureedge.net

Další informace o záznamech CNAME najdete v tématu popisujícím vytvoření záznamu DNS CNAME.

Pokud je váš záznam CNAME ve správném formátu, DigiCert automaticky ověří název vaší vlastní domény a vytvoří certifikát pro vaši doménu. DigiCert vám neodešle ověřovací e-mail a vy nebudete muset potvrzovat svou žádost. Certifikát je platný jeden rok a před vypršením jeho platnosti se automaticky znovu zobrazí. Pokračujte a počkejte na rozšíření.

Automatické ověřování obvykle trvá několik hodin. Pokud se vaše doména během 24 hodin neověřuje, otevřete lístek podpory.

Poznámka

Pokud máte záznam CAA (Certificate Authority Authorization) pro vašeho poskytovatele DNS, musí jako platnou certifikační autoritu zahrnovat DigiCert. Záznam CAA umožňuje vlastníkům domén určit u poskytovatelů DNS, které certifikační autority mají oprávnění k vystavování certifikátů pro jejich domény. Pokud certifikační autorita přijme objednávku na certifikát pro doménu se záznamem CAA a tato certifikační autorita není uvedená jako autorizovaný vystavitel certifikátů, nebude moci vystavit certifikát pro danou doménu nebo subdoménu. Informace o správě záznamů CAA najdete v tématu Správa záznamů CAA. Nástroj pro práci se záznamy CAA najdete tady: CAA Record Helper.

Vlastní doména se nemapuje na váš koncový bod CDN.

Poznámka

Pokud používáte nástroj Azure CDN od společnosti Akamai, měl by být pro povolení automatizovaného ověřování domény nastavený následující název CNAME. "_acme problém. < název hostitele vlastní domény > -> CNAME -> název hostitele vlastní < domény > .ak-acme-challenge.azureedge.net"

Pokud položka záznamu CNAME obsahuje subdoménu cdnverify, postupujte podle zbývajících pokynů v tomto kroku.

DigiCert odešle ověřovací e-mail na následující e-mailové adresy. Ověřte, že můžete schválit přímo z jedné z následujících adres:

admin@your-domain-name.com
administrator@your-domain-name.com
webmaster@your-domain-name.com
hostmaster@your-domain-name.com
postmaster@your-domain-name.com

Během několika minut byste měli dostat e-mail, abyste žádost schválili. Pokud používáte filtr spamu, přidejte ho verification@digicert.com do seznamu povolených. Pokud e-mail neobdržíte do 24 hodin, kontaktujte podporu Microsoftu.

E-mail pro ověření domény

Když vyberete odkaz na schválení, budete přesměrováni na následující online formulář schválení:

Formulář pro ověření domény

Postupujte podle pokynů ve formuláři. Máte na výběr dvě možnosti ověření:

Můžete schválit všechny budoucí objednávky zadané přes stejný účet a pro stejnou kořenovou doménu, například contoso.com. Tento přístup se doporučuje, pokud plánujete přidat další vlastní domény pro stejnou kořenovou doménu.
Můžete schválit pouze konkrétní název hostitele použitý v této žádosti. Pro pozdější žádosti se vyžaduje další schválení.

Po schválení DigiCert dokončí vytvoření certifikátu pro váš název vlastní domény. Certifikát je platný jeden rok a před vypršením jeho platnosti se automaticky znovu zaknoví.

Čekání na rozšíření

Po ověření názvu domény může aktivace funkce HTTPS pro vlastní doménu trvat 6 až 8 hodin. Po dokončení procesu se vlastní stav HTTPS v Azure Portal změní na Povoleno. Čtyři kroky operace v dialogovém okně vlastní domény jsou označeny jako dokončené. Vaše vlastní doména je teď připravená k použití HTTPS.

Dialogové okno pro povolení HTTPS

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při povolení HTTPS. Po povolení HTTPS se v dialogovém okně vlastní domény zobrazí čtyři kroky operace. S tím, jak se jednotlivé kroky stanou aktivními, se v průběhu kroku zobrazí další podrobnosti o dílčím kroku. Ne všechny tyto dílčí kroky se provedou. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Krok operace	Podrobnosti o dílčím kroku operace
1. Odesílání žádosti	Odesílání žádosti
	Vaše žádost o HTTPS se právě odesílá.
	Vaše žádost o HTTPS se úspěšně odeslala.
2. Ověření domény	Doména se automaticky ověří, pokud je namapovaná na koncový bod CDN CNAME. Jinak se na e-mail uvedený v záznamu o registraci vaší domény (žadatel o registraci v registru WHOIS) odešle žádost o ověření.
	Vaše vlastnictví domény se úspěšně ověřilo.
	Platnost požadavku na ověření vlastnictví domény vypršela (zákazník pravděpodobně neodpověděl ve lhůtě 6 dní). HTTPS nebude ve vaší doméně povolený. *
	Požadavek na ověření vlastnictví domény byl zamítnut zákazníkem. HTTPS nebude ve vaší doméně povolený. *
3. Zřizování certifikátu	Certifikační autorita momentálně vystavuje certifikát nutný pro povolení HTTPS pro vaši doménu.
	Certifikát byl vystaven a momentálně se nasazuje do sítě CDN. Může to trvat až 6 hodin.
	Certifikát se úspěšně nasadil do sítě CDN.
4. Hotovo	Protokol HTTPS se ve vaší doméně úspěšně povolil.

* Tato zpráva se zobrazí pouze v případě, že dojde k chybě.

Pokud před odesláním žádosti dojde k chybě, zobrazí se následující chybová zpráva:


We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Vyčištění prostředků – zákaz HTTPS

V této části se dozvíte, jak zakázat HTTPS pro vlastní doménu.

Zákaz funkce HTTPS

V Azure Portalvyhledejte a vyberte CDN profily.
Zvolte svůj Azure CDN v microsoftu, Azure CDN Standard z Verizonu nebo Azure CDN Premium z profilu Verizonu.
V seznamu koncových bodů vyberte koncový bod obsahující vaši vlastní doménu.
Zvolte vlastní doménu, pro kterou chcete zakázat HTTPS.
Pokud chcete HTTPS zakázat, zvolte Vypnuto a pak vyberte Použít.

Čekání na rozšíření

Po zákazu funkce HTTPS vlastní domény může trvat 6 až 8 hodin, než se změna projeví. Po dokončení procesu se vlastní stav HTTPS v Azure Portal změní na Zakázáno. Tři kroky operace v dialogovém okně vlastní domény jsou označeny jako dokončené. Vaše vlastní doména už nemůže používat HTTPS.

Dialogové okno pro zákaz HTTPS

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při zákazu HTTPS. Po zakázání HTTPS se v dialogovém okně vlastní domény zobrazí tři kroky operace. Jakmile se krok stane aktivním, zobrazí se pod krokem podrobnosti. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Průběh operace	Podrobnosti o operaci
1. Odesílání žádosti	Odesílání vaší žádosti
2. Zrušení zřízení certifikátu	Odstraňování certifikátu
3. Hotovo	Certifikát odstraněn

Nejčastější dotazy

Kdo je poskytovatel certifikátu a jaký typ certifikátu se používá?

Vyhrazený certifikát od Digicertu se používá pro vaši vlastní doménu pro:
- Azure CDN od Verizonu
- Azure CDN od Microsoftu
Používáte protokol TLS/SSL založený na IP nebo SNI?

Azure CDN od Verizonu i Azure CDN Standard od Microsoftu používají SNI TLS/SSL.
Co když neobdržím e-mail pro ověření domény od DigiCert?

Pokud subdoménu cdnverify používáte a záznam CNAME je pro název hostitele koncového bodu, neobdržíte e-mail pro ověření domény.

Ověření proběhne automaticky. Jinak, pokud záznam CNAME nemáte a neobdrželi jste e-mail během 24 hodin, kontaktujte podporu Microsoftu.
Je používání certifikátu SAN méně bezpečné než vyhrazený certifikát?

Certifikát SAN využívá stejné standardy šifrování a zabezpečení jako vyhrazený certifikát. Všechny vydané certifikáty TLS/SSL používají pro lepší zabezpečení serveru algoritmus SHA-256.
Potřebuji záznam CAA (Certificate Authority Authorization) pro svého poskytovatele DNS?

Záznam o autorizaci certifikační autority se v současné době nevyžaduje. Pokud ho však máte, musí jako platnou certifikační autoritu zahrnovat DigiCert.
20. června 2018 Azure CDN od Verizonu začal ve výchozím nastavení používat vyhrazený certifikát s protokolem TLS/SSL SNI. Co se stane s mými stávajícími vlastními doménami pomocí certifikátu SAN (Subject Alternative Names) a protokolu TLS/SSL založeného na PROTOKOLU IP?

Vaše stávající domény se budou v nadcházejících měsících postupně migrovat na jediný certifikát, pokud Microsoft dojde analýzou k tomu, že do vaší aplikace přicházejí jenom žádosti klientů SNI.

Pokud jsou zjištěni klienti bez SNI, vaše domény zůstanou v certifikátu SAN s protokolem TLS/SSL založeným na protokolu IP. Požadavky na vaši službu nebo klienty, kteří nejsou SNI, nejsou ovlivněné.
Jak obnovení certifikátů funguje s Přineste si vlastní certifikát?

Pokud chcete zajistit nasazení novějšího certifikátu do infrastruktury PoP, nahrajte nový certifikát do služby Azure KeyVault. V nastavení TLS v Azure CDN vyberte nejnovější verzi certifikátu a vyberte Uložit. Azure CDN se váš nový aktualizovaný certifikát rozšíří.
Musím po restartování koncového bodu znovu povolit HTTPS?

Ano. Pokud používáte adresu Azure CDN od společnosti Akamai, pokud se koncový bod zastaví a restartuje, musíte nastavení HTTPS znovu povolit, pokud bylo nastavení dříve aktivní.

Další kroky

V tomto kurzu jste se naučili:

Povolit protokol HTTPS pro vlastní doménu
Použít certifikát spravovaný CDN
Použít vlastní certifikát
Ověřit doménu
Zakázat protokol HTTPS pro vlastní doménu

V dalším kurzu se dozvíte, jak na koncovém bodu CDN nakonfigurovat ukládání do mezipaměti.

Kurz: Nastavení pravidel ukládání do mezipaměti Azure CDN

Kurz: Konfigurace HTTPS pro vlastní doménu Azure CDN

Ohodnoťte vaše zkušenosti

Požadavky

Certifikáty TLS/SSL

Ověření domény

Vlastní doména se mapuje na koncový bod CDN pomocí záznamu CNAME

Vlastní doména se nemapuje na váš koncový bod CDN.

Čekání na rozšíření

Průběh operace

Vyčištění prostředků – zákaz HTTPS

Zákaz funkce HTTPS

Čekání na rozšíření

Průběh operace

Nejčastější dotazy

Další kroky