Kurz: Konfigurace HTTPS pro vlastní doménu Azure CDN

V tomto kurzu se dozvíte, jak povolit protokol HTTPS pro vlastní doménu přidruženou ke koncovému bodu Azure CDN.

Protokol HTTPS ve vaší vlastní doméně (například https://www.contoso.com) zajišťuje bezpečné doručení citlivých dat přes protokol TLS/SSL. Když je webový prohlížeč připojený přes PROTOKOL HTTPS, prohlížeč ověří certifikát webu. Prohlížeč ověří, že je vydaný legitimní certifikační autoritou. Tento proces zajišťuje zabezpečení a chrání vaše webové aplikace před útoky.

Azure CDN ve výchozím nastavení podporuje HTTPS pro název hostitele koncového bodu CDN. Pokud například vytvoříte koncový bod CDN (například https://contoso.azureedge.net), protokol HTTPS se automaticky povolí.

Mezi klíčové atributy vlastní funkce HTTPS patří mimo jiné:

• Žádné další náklady: Za získání nebo obnovení certifikátu nejsou žádné další poplatky. Platíte pouze za GB odchozího provozu mimo síť CDN.

• Jednoduché povolení: Na webu Azure Portal je k dispozici zřízení jedním kliknutím. K povolení této funkce můžete použít také rozhraní REST API nebo jiné vývojářské nástroje.

• K dispozici je kompletní správa certifikátů:

  • Veškeré nákupy a správa certifikátů se za vás zpracují.
  • Certifikáty se automaticky zřizují a obnovují před vypršením platnosti.

V tomto kurzu se naučíte:

• Povolit protokol HTTPS pro vlastní doménu
• Použít certifikát spravovaný CDN
• Použít vlastní certifikát
• Ověření domény
• Zakázat protokol HTTPS pro vlastní doménu

Požadavky

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Než budete moct dokončit kroky v tomto kurzu, vytvořte profil CDN a alespoň jeden koncový bod CDN. Další informace najdete v tématu Rychlý start: Vytvoření profilu a koncového bodu Azure CDN.

Přidružte vlastní doménu Azure CDN ke koncovému bodu CDN. Další informace najdete v tématu Kurz: Přidání vlastní domény do koncového bodu Azure CDN.

Důležité

Certifikáty spravované CDN nejsou k dispozici pro kořenové nebo vrcholové domény. Pokud je vlastní doména Azure CDN kořenovou nebo vrcholnou doménou, musíte použít funkci Přineste si vlastní certifikát.

---

Certifikáty TLS/SSL

Pokud chcete povolit HTTPS ve vlastní doméně Azure CDN, použijte certifikát TLS/SSL. Rozhodnete se použít certifikát spravovaný službou Azure CDN nebo použít váš certifikát.

1. možnost (výchozí): Povolení protokolu HTTPS s certifikátem spravovaným CDN

Azure CDN zpracovává úlohy správy certifikátů, jako jsou nákupy a obnovení. Jakmile funkci povolíte, proces se okamžitě zahájí.

Pokud už je vlastní doména namapovaná na koncový bod CDN, není potřeba žádná další akce. Azure CDN zpracuje kroky a dokončí vaši žádost automaticky.

Pokud je vaše vlastní doména mapovaná jinde, použijte e-mail k ověření vlastnictví domény.

Pokud chcete povolit HTTPS pro vlastní doménu, postupujte následovně:

1. Přejděte na web Azure Portal a vyhledejte certifikát spravovaný vaším azure CDN. Vyhledejte a vyberte profily CDN.

2. Zvolte svůj profil:

   • Azure CDN Standard od Microsoftu
   • Azure CDN Standard z Edgio
   • Azure CDN Premium z Edgio

3. V seznamu koncových bodů CDN vyberte koncový bod obsahující vaši vlastní doménu.

   

   Zobrazí se stránka Koncový bod.

4. V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

   

   Zobrazí se stránka Vlastní doména.

5. V části Typ správy certifikátu vyberte Spravováno sítí CDN.

6. Výběrem možnosti Zapnuto povolte HTTPS.

   

7. Pokračujte a ověřte doménu.

2. možnost: Povolení protokolu HTTPS s vlastním certifikátem

Důležité

Tato možnost je k dispozici pouze s Azure CDN od Microsoftu a Azure CDN z profilů Edgio .

K povolení funkce HTTPS můžete použít vlastní certifikát. Tento proces se provádí prostřednictvím integrace s Azure Key Vault, která vám umožní bezpečně ukládat vaše certifikáty. Azure CDN používá tento zabezpečený mechanismus k získání certifikátu a vyžaduje několik dalších kroků. Při vytváření certifikátu TLS/SSL musíte vytvořit úplný řetěz certifikátů s povolenou certifikační autoritou (CA), která je součástí seznamu důvěryhodných certifikačních autorit Microsoftu. Pokud použijete nepovolenou certifikační autoritu, vaše žádost se odmítne. Pokud se zobrazí certifikát bez úplného řetězu, požadavky, které zahrnují, že certifikát nemusí fungovat podle očekávání. Pro Azure CDN z Edgio se přijme jakákoli platná certifikační autorita.

Příprava účtu a certifikátu služby Azure Key Vault

1. Azure Key Vault: Musíte mít účet Azure Key Vault běžící v rámci stejného předplatného jako profil Azure CDN a koncové body CDN, pro které chcete vlastní HTTPS povolit. Pokud účet Azure Key Vault nemáte, vytvořte ho.

2. Certifikáty služby Azure Key Vault: Pokud máte certifikát, nahrajte ho přímo do svého účtu služby Azure Key Vault. Pokud certifikát nemáte, vytvořte nový certifikát přímo prostřednictvím služby Azure Key Vault.

Poznámka:

• Azure Content Delivery Network podporuje jenom certifikáty PFX.
• Certifikát musí mít úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty a kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačních autorit Microsoftu.

Registrace Azure CDN

Zaregistrujte Azure CDN jako aplikaci ve svém ID Microsoft Entra.

Poznámka:

• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 je instanční objekt pro Microsoft.AzureFrontDoor-Cdn.
• Ke spuštění tohoto příkazu potřebujete roli Globální Správa istrator.
• Název instančního objektu byl změněn z Microsoft.Azure.Cdn na Microsoft.AzureFrontDoor-Cdn.

Azure PowerShell

1. V případě potřeby nainstalujte Azure PowerShell na místní počítač.

2. V PowerShellu spusťte následující příkaz:

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
   
   Secret                :
   ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8,
    			https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
   ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   ObjectType            : ServicePrincipal DisplayName           : Microsoft.AzureFrontDoor-Cdn Id                    : abcdef12-3456-7890-abcd-ef1234567890
   Type                  :
   

Azure CLI

1. V případě potřeby nainstalujte Azure CLI na místní počítač.

2. Pomocí Azure CLI spusťte následující příkaz:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

Udělení přístupu k trezoru klíčů pro Azure CDN

Udělte Azure CDN oprávnění přistupovat k certifikátům (tajným kódům) ve vašem účtu Azure Key Vault.

1. V trezoru klíčů v části Nastavení vyberte Zásady přístupu. V pravém podokně vyberte + Přidat zásadu přístupu:

   

2. Na stránce Přidat zásadu přístupu vyberte Možnost Žádný vedlemožnosti Vybrat objekt zabezpečení. Na stránce Objekt zabezpečení zadejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Vyberte Microsoft.AzureFrontdoor-Cdn. Zvolte Vybrat:

3. V části Vybrat objekt zabezpečení vyhledejte 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 a zvolte Microsoft.AzureFrontDoor-Cdn. Zvolte Vybrat.

   

4. Vyberte oprávnění certifikátu. Zaškrtněte políčko Pro získání oprávnění CDN povolit získání certifikátů.

5. Vyberte oprávnění k tajným kódům. Zaškrtněte políčko Získat , abyste povolili získání tajných kódů oprávnění CDN:

   

6. Vyberte Přidat.

Poznámka:

Azure CDN teď může přistupovat k tomuto trezoru klíčů a certifikátům (tajným kódům), které jsou v tomto trezoru klíčů uloženy. Každá instance CDN vytvořená v tomto předplatném bude mít přístup k certifikátům v tomto trezoru klíčů.

Výběr certifikátu k nasazení pro Azure CDN

1. Vraťte se zpět na portál Azure CDN a vyberte profil a koncový bod CDN, pro které chcete vlastní HTTPS povolit.

2. V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

   Zobrazí se stránka Vlastní doména.

3. V části Typ správy certifikátu vyberte Použít vlastní certifikát.

   

4. Vyberte trezor klíčů, certifikát nebo tajný klíč a verzi certifikátu/tajného klíče.

   Azure CDN zobrazí následující informace:

   • Účty služby Key Vault pro VAŠE ID předplatného.
   • Certifikáty nebo tajné kódy ve vybraném trezoru klíčů.
   • Dostupné verze certifikátu nebo tajného kódu.

   Poznámka:

   • Azure Content Delivery Network podporuje jenom certifikáty PFX.
   • Aby se certifikát automaticky otočil na nejnovější verzi, pokud je ve vašem trezoru klíčů k dispozici novější verze certifikátu, nastavte verzi certifikátu nebo tajného klíče na Nejnovější. Pokud je vybraná konkrétní verze, musíte novou verzi pro obměnu certifikátů znovu vybrat ručně. Nasazení nové verze certifikátu nebo tajného klíče trvá až 72 hodin. Automatická obměně certifikátů podporuje pouze skladová položka Microsoftu úrovně Standard.

5. Výběrem možnosti Zapnuto povolte HTTPS.

6. Pokud používáte certifikát, ověření domény se nevyžaduje. Pokračujte k části Čekání na rozšíření.

Ověření domény

Pokud máte vlastní doménu, která se používá k namapování na vlastní koncový bod pomocí záznamu CNAME nebo používáte vlastní certifikát, pokračujte k vlastní doméně namapované na koncový bod služby Content Delivery Network.

Jinak pokud položka záznamu CNAME pro váš koncový bod již neexistuje nebo obsahuje subdoménu cdnverify, pokračujte k vlastní doméně, která není namapovaná na koncový bod CDN.

Vlastní doména se mapuje na koncový bod CDN pomocí záznamu CNAME

Po přidání vlastní domény do koncového bodu jste v doménovém registrátorovi DNS namapovali na název hostitele koncového bodu CDN záznam CNAME.

Pokud záznam CNAME stále existuje a neobsahuje subdoménu cdnverify, certifikační autorita DigiCert ho použije k automatickému ověření vlastnictví vaší vlastní domény.

Pokud používáte vlastní certifikát, ověření domény se nevyžaduje.

Váš záznam CNAME by měl být v následujícím formátu:

• Název je váš vlastní název domény.
• Hodnota je název hostitele koncového bodu sítě pro doručování obsahu.

Name	Typ	Hodnota
<www.contoso.com>	CNAME	contoso.azureedge.net

Další informace o záznamech CNAME najdete v tématu popisujícím vytvoření záznamu DNS CNAME.

Pokud je váš záznam CNAME ve správném formátu, DigiCert automaticky ověří váš vlastní název domény a vytvoří certifikát pro vaši doménu. DigitCert vám neposílá ověřovací e-mail a nemusíte schvalovat vaši žádost. Certifikát je platný po dobu jednoho roku a před vypršením platnosti se automaticky obnoví. Pokračujte k části Čekání na rozšíření.

Automatické ověřování obvykle trvá několik hodin. Pokud se vaše doména za 24 hodin neověřila, otevřete lístek podpory.

Poznámka:

Pokud máte záznam CAA (Certificate Authority Authorization) u svého poskytovatele DNS, musí obsahovat příslušné certifikační autority pro autorizaci. DigiCert je certifikační autorita pro profily Microsoftu a Edgio. Informace o správě záznamů CAA najdete v tématu Správa záznamů CAA. Nástroj pro práci se záznamy CAA najdete tady: CAA Record Helper.

Vlastní doména není namapovaná na koncový bod CDN.

Pokud položka záznamu CNAME obsahuje subdoménu cdnverify, postupujte podle zbývajících pokynů v tomto kroku.

DigiCert odešle ověřovací e-mail na následující e-mailové adresy. Ověřte, že můžete schválit přímo z jedné z následujících adres:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Za několik minut byste měli dostat e-mail, abyste žádost schválili. Pokud používáte filtr spamu, přidejte verification@digicert.com ho do seznamu povolených. Pokud e-mail neobdržíte do 24 hodin, kontaktujte podporu Microsoftu.

Když vyberete odkaz pro schválení, budete přesměrováni na následující online formulář schválení:

Postupujte podle pokynů ve formuláři. Máte na výběr dvě možnosti ověření:

• Můžete schválit všechny budoucí objednávky zadané přes stejný účet a pro stejnou kořenovou doménu, například contoso.com. Tento přístup se doporučuje, pokud plánujete přidat další vlastní domény pro stejnou kořenovou doménu.

• Můžete schválit pouze konkrétní název hostitele použitý v této žádosti. Pro pozdější žádosti se vyžaduje další schválení.

Po schválení DigiCert dokončí vytvoření certifikátu pro váš název vlastní domény. Certifikát je platný po dobu jednoho roku a před vypršením jeho platnosti se automaticky obnoví.

Čekání na rozšíření

Po ověření názvu domény může aktivace funkce HTTPS pro vlastní doménu trvat 6 až 8 hodin. Po dokončení procesu se vlastní stav HTTPS na webu Azure Portal změní na Povoleno. Čtyři kroky operace v dialogovém okně vlastní domény jsou označené jako dokončené. Vaše vlastní doména je teď připravená k použití HTTPS.

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při povolení HTTPS. Po povolení HTTPS se v dialogovém okně vlastní domény zobrazí čtyři kroky operace. Jakmile se jednotlivé kroky stanou aktivními, v průběhu kroku se zobrazí další podrobnosti dílčích kroků. Ne všechny tyto dílčí kroky se vyskytují. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Krok operace	Podrobnosti o dílčím kroku operace
1. Odesílání žádosti	Odesílání žádosti
	Vaše žádost o HTTPS se právě odesílá.
	Vaše žádost o HTTPS se úspěšně odeslala.
2. Ověření domény	Doména se automaticky ověří, pokud je namapovaná na koncový bod CDN. Jinak se na e-mail uvedený v registračním záznamu vaší domény (registrant WHOIS) odešle žádost o ověření.
	Vaše vlastnictví domény se úspěšně ověřilo.
	Platnost požadavku na ověření vlastnictví domény vypršela (zákazník pravděpodobně neodpověděl ve lhůtě 6 dní). HTTPS nebude ve vaší doméně povolené. *
	Požadavek na ověření vlastnictví domény byl zamítnut zákazníkem. HTTPS nebude ve vaší doméně povolené. *
3. Zřizování certifikátu	Certifikační autorita momentálně vystavuje certifikát nutný pro povolení HTTPS pro vaši doménu.
	Certifikát byl vystaven a momentálně se nasazuje do sítě CDN. Může to trvat až 6 hodin.
	Certifikát se úspěšně nasadil do sítě CDN.
4. Hotovo	Protokol HTTPS se ve vaší doméně úspěšně povolil.

* Tato zpráva se nezobrazí, pokud nedošlo k chybě.

Pokud před odesláním žádosti dojde k chybě, zobrazí se následující chybová zpráva:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Vyčištění prostředků – zákaz HTTPS

V této části se dozvíte, jak zakázat HTTPS pro vlastní doménu.

Zákaz funkce HTTPS

1. Na webu Azure Portal vyhledejte a vyberte profily CDN.

2. Z profilu Edgio vyberte Azure CDN Standard od Microsoftu, Azure CDN Standard z Edgio nebo Azure CDN Premium.

3. V seznamu koncových bodů vyberte koncový bod obsahující vaši vlastní doménu.

4. Zvolte vlastní doménu, pro kterou chcete protokol HTTPS zakázat.

   

5. Zvolte Vypnuto, pokud chcete protokol HTTPS zakázat, a pak vyberte Použít.

   

Čekání na rozšíření

Po zákazu funkce HTTPS vlastní domény může trvat 6 až 8 hodin, než se změna projeví. Po dokončení procesu se vlastní stav HTTPS na webu Azure Portal změní na Zakázáno. Tři kroky operace v dialogovém okně vlastní domény jsou označené jako dokončené. Vaše vlastní doména už nemůže používat HTTPS.

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při zákazu HTTPS. Po zakázání PROTOKOLU HTTPS se v dialogovém okně vlastní domény zobrazí tři kroky operace. Když se krok aktivuje, zobrazí se pod krokem podrobnosti. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Průběh operace	Podrobnosti o operaci
1. Odesílání žádosti	Odesílání vaší žádosti
2. Zrušení zřízení certifikátu	Odstraňování certifikátu
3. Hotovo	Certifikát odstraněn

Automatická obměna certifikátů pomocí Azure CDN z Edgio

Spravované certifikáty ze služby Azure Key Vault můžou využívat funkci automatického obnovení certifikátu, což umožňuje službě Azure CDN z Edgio automaticky načíst aktualizované certifikáty a rozšířit je na platformu Edgio CDN. Jak tuto funkci povolit:

1. Zaregistrujte Azure CDN jako aplikaci v rámci vašeho ID Microsoft Entra.

2. Autorizovat službu Azure CDN pro přístup k tajným kódům ve službě Key Vault. Přejděte do části Zásady přístupu ve službě Key Vault a přidejte novou zásadu a pak udělte instančnímu objektu Microsoft.AzureFrontDoor-Cdn oprávnění Získat tajné kódy.

3. V nabídce Vlastní doména nastavte verzi certifikátu na Nejnovější pod typem správy certifikátů. Pokud je vybrána konkrétní verze certifikátu, vyžadují se ruční aktualizace.

Poznámka:

• Mějte na paměti, že automatické obměně certifikátu může trvat až 24 hodin, než se plně dokončí šíření nového certifikátu.
• Pokud se certifikát využívá k pokrytí více vlastních domén, je nezbytné povolit automatické obměně certifikátu u všech vlastních domén, které tento certifikát sdílejí, aby se zajistila správná operace. Pokud to neuděláte, může to vést k tomu, že platforma Edgio obsluhuje nesprávnou verzi certifikátu pro vlastní doménu, která tuto funkci nemá povolenou."

Nejčastější dotazy

1. Kdo je poskytovatel certifikátu a jaký typ certifikátu se používá?

   Vyhrazený certifikát od digicertu se používá pro vaši vlastní doménu pro:

   • Azure Content Delivery Network z Edgio
   • Azure Content Delivery Network od Microsoftu

2. Používáte protokol TLS/SSL (SNI) na základě IP adresy nebo označení názvu serveru?

   Azure CDN z Edgio i Azure CDN Standard od Microsoftu používají protokol TLS/SSL SNI.

3. Co když neobdržím e-mail pro ověření domény od DigiCert?

   Pokud subdoménu cdnverify nepoužíváte a položka CNAME je určená pro název hostitele koncového bodu, nedostanete e-mail pro ověření domény.

   Ověření proběhne automaticky. Jinak, pokud záznam CNAME nemáte a neobdrželi jste e-mail během 24 hodin, kontaktujte podporu Microsoftu.

4. Je používání certifikátu SAN méně bezpečné než vyhrazený certifikát?

   Certifikát SAN využívá stejné standardy šifrování a zabezpečení jako vyhrazený certifikát. Všechny vydané certifikáty TLS/SSL používají sha-256 k lepšímu zabezpečení serveru.

5. Potřebuji záznam CAA (Certificate Authority Authorization) pro svého poskytovatele DNS?

   Záznam autorizace certifikační autority se v současné době nevyžaduje. Pokud ho však máte, musí jako platnou certifikační autoritu zahrnovat DigiCert.

6. 20. června 2018 začal Azure CDN z Edgio ve výchozím nastavení používat vyhrazený certifikát s protokolem TLS/SSL SNI. Co se stane s mými existujícími vlastními doménami, které používají certifikát SAN (Subject Alternative Names, alternativní názvy subjektů) a protokol TLS/SSL založený na IP adrese?

   Vaše stávající domény se v nadcházejících měsících postupně migrují na jeden certifikát, pokud Microsoft analyzuje, že se do vaší aplikace provádějí jenom požadavky klientů SNI.

   Pokud se zjistí klienti jiného typu než SNI, zůstanou vaše domény v certifikátu SAN s protokolem TLS/SSL založeným na PROTOKOLU IP. Požadavky na vaši službu nebo klienty, kteří nejsou SNI, nejsou ovlivněné.

7. Jak obnovení certifikátů funguje s přineste si vlastní certifikát?

   Pokud chcete zajistit nasazení novějšího certifikátu do infrastruktury POP, nahrajte nový certifikát do služby Azure Key Vault. V nastavení protokolu TLS ve službě Azure Content Delivery Network zvolte nejnovější verzi certifikátu a vyberte uložit. Azure Content Delivery Network pak rozšíří váš nový aktualizovaný certifikát.

   Pokud pro Azure CDN z profilů Edgio použijete stejný certifikát služby Azure Key Vault v několika vlastních doménách (například certifikát se zástupnými znaky), ujistěte se, že aktualizujete všechny vlastní domény, které používají stejný certifikát, na novější verzi certifikátu.

Další kroky

V tomto kurzu jste se naučili, jak:

• Povolit protokol HTTPS pro vlastní doménu
• Použít certifikát spravovaný CDN
• Použít vlastní certifikát
• Ověřit doménu
• Zakázat protokol HTTPS pro vlastní doménu

V dalším kurzu se dozvíte, jak na koncovém bodu CDN nakonfigurovat ukládání do mezipaměti.

Kurz: Nastavení pravidel ukládání do mezipaměti Azure CDN