Kurz: Konfigurace HTTPS pro vlastní doménu Front Dooru

  • Článek
  • 12 min ke čtení

V tomto kurzu se dozvíte, jak povolit protokol HTTPS pro vlastní doménu přidruženou ke Front Dooru v části hostitelů front-endu. Použitím protokolu HTTPS ve vlastní doméně (například https: /www.contoso.com) zajistíte, aby se vaše citlivá data při posílání přes internet bezpečně doručila prostřednictvím šifrování / TLS/SSL. Když se webový prohlížeč připojí k webu přes HTTPS, ověří certifikát zabezpečení webu a to, že je vydán legitimní certifikační autoritou. Tento proces zajišťuje zabezpečení a chrání vaše webové aplikace před útoky.

Azure Front Door výchozím nastavení podporuje HTTPS Front Door výchozím názvu hostitele. Pokud například vytvoříte novou adresu Front Door , https se automaticky povolí pro požadavky https://contoso.azurefd.net na https://contoso.azurefd.net . Po připojení vlastní domény "www.contoso.com" ale budete muset pro tohoto hostitele front-endu povolit HTTPS.

Mezi klíčové atributy vlastní funkce HTTPS patří mimo jiné:

  • Žádné další náklady: Za získání nebo prodloužení platnosti certifikátů se nenáklady a další náklady na provoz HTTPS nenáklady.

  • Jednoduché povolení: Na webu Azure Portal je k dispozici zřízení jedním kliknutím. K povolení této funkce můžete použít také rozhraní REST API nebo jiné vývojářské nástroje.

  • Kompletní správa certifikátů je dostupná: Veškeré nákupy a správu certifikátů zajišťujete sami. Certifikáty se automaticky zřžují a obnovují před vypršením platnosti, což eliminuje riziko přerušení služby z důvodu vypršení platnosti certifikátu.

V tomto kurzu se naučíte:

  • Povolit protokol HTTPS pro vlastní doménu
  • Použít certifikát spravovaný službou AFD
  • Použijte vlastní certifikát, to znamená vlastní certifikát TLS/SSL.
  • Ověření domény
  • Zákaz protokolu HTTPS pro vlastní doménu

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Před dokončením kroků v tomto kurzu musíte nejprve vytvořit Front Door s minimálně jednou začleněnou vlastní doménou. Další informace najdete v kurzu přidání vlastní domény do Front Dooru.

Certifikáty TLS/SSL

Pokud chcete povolit protokol HTTPS pro bezpečné doručování obsahu Front Door vlastní doméně, musíte použít certifikát TLS/SSL. Můžete použít certifikát, který je spravovaný Azure Front Door, nebo použít vlastní certifikát.

Možnost 1 (výchozí): Použití certifikátu spravovaného službou Front Door

Když použijete certifikát spravovaný službou Azure Front Door, můžete funkci HTTPS zapnout několika kliknutími. Azure Front Door kompletní zpracování úloh správy certifikátů, jako je nákup a prodloužení platnosti. Jakmile funkci povolíte, proces se okamžitě zahájí. Pokud už je vlastní doména namapovaná na výchozího hostitele front-endu Front Dooru ({hostname}.azurefd.net), není potřeba žádná další akce. Front Door postup zpracuje a dokončí vaši žádost automaticky. Pokud je ale vaše vlastní doména namapovaná jinde, musíte vlastnictví domény ověřit prostřednictvím e-mailu.

Pokud chcete povolit HTTPS pro vlastní doménu, postupujte následovně:

  1. Na webu Azure Portal přejděte na profil Front Door.

  2. V seznamu hostitelů front-endu vyberte vlastní doménu, u které chcete povolit HTTPS.

  3. V části HTTPS vlastní domény vyberte Povoleno a vyberte Front Door jako zdroj certifikátu spravované.

  4. Vyberte Uložit.

  5. Pokračujte k ověření domény.

Poznámka

  • U spravovaných certifikátů AFD se vynucuje limit 64 znaků digiCertu. Ověření selže, pokud dojde k překročení tohoto limitu.
  • Povolení HTTPS prostřednictvím Front Door certifikátu se nepodporuje pro domény apex/root (příklad: contoso.com). Pro tento scénář můžete použít vlastní certifikát. Další podrobnosti najdete v možnosti 2.

Možnost 2: Použití vlastního certifikátu

K povolení funkce HTTPS můžete použít vlastní certifikát. Tento proces se provádí prostřednictvím integrace s Azure Key Vault, která vám umožní bezpečně ukládat vaše certifikáty. Azure Front Door tento zabezpečený mechanismus k získání certifikátu a vyžaduje několik kroků navíc. Při vytváření certifikátu TLS/SSL musíte vytvořit úplný řetěz certifikátů s povolenou certifikační autoritou (CA), která je součástí seznamu důvěryhodných certifikačních autorit Microsoftu. Pokud použijete nepo povolenou certifikační autoritu, vaše žádost se zamítne. Pokud se zobrazí certifikát bez úplného řetězu, nezaručuje se, že požadavky zahrnující tento certifikát budou fungovat podle očekávání.

Příprava účtu a certifikátu Azure Key Vault

  1. Azure Key Vault: Musíte mít účet Azure Key Vault běžící v rámci stejného předplatného jako Front Door, pro který chcete vlastní HTTPS povolit. Pokud účet Azure Key Vault nemáte, vytvořte ho.

Upozornění

Azure Front Door v současné době podporuje Key Vault účty ve stejném předplatném jako Front Door konfigurace. Pokud vyberete účet v rámci jiného předplatného, dojde k chybě.

  1. Certifikáty Azure Key Vault: Pokud už certifikát máte, můžete ho nahrát přímo do vašeho účtu Azure Key Vault, nebo můžete vytvořit nový certifikát přímo prostřednictvím služby Azure Key Vault z jedné z certifikačních autorit, se kterými se Azure Key Vault integruje. Upload certifikát jako objekt certifikátu místo tajného klíče.

Poznámka

U vlastního certifikátu TLS/SSL Front Door nepodporuje certifikáty s kryptografickými algoritmy EC. Certifikát musí mít úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty a kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačních autorit Microsoftu.

Registrace Azure Front Door

Zaregistrujte instanční objekt pro Azure Front Door jako aplikaci ve vašem Azure Active Directory prostřednictvím PowerShellu.

Poznámka

Tato akce vyžaduje oprávnění globálního správce a je potřeba ji provést jenom jednou na tenanta.

  1. V případě potřeby nainstalujte Azure PowerShell v PowerShellu na místním počítači.

  2. V PowerShellu spusťte následující příkaz:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"

Udělení Azure Front Door přístupu k trezoru klíčů

Udělte Azure Front Door oprávnění pro přístup k certifikátům ve vašem Azure Key Vault účtu.

  1. V účtu trezoru klíčů vyberte v části Nastavení možnost Zásady přístupu, pak vyberte Přidat novou a vytvořte novou zásadu.

  2. V části Výběr objektu zabezpečení vyhledejte ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 a vyberte Microsoft.Azure.Frontdoor. Klikněte na Vybrat.

  3. V části Oprávnění k tajným klíči vyberte Získat, Front Door chcete certifikát načíst.

  4. V části Oprávnění certifikátu vyberte Získat, aby Front Door certifikát načíst.

  5. Vyberte OK.

    Azure Front Door přístup k této Key Vault a certifikátům, které jsou uložené v této Key Vault.

Vyberte certifikát, který Azure Front Door nasadit.

  1. Vraťte se na Front Door na portálu.

  2. V seznamu vlastních domén vyberte vlastní doménu, pro kterou chcete povolit HTTPS.

    Zobrazí se stránka Vlastní doména.

  3. V části Typ správy certifikátu vyberte Použít vlastní certifikát.

  4. Azure Front Door vyžaduje, aby předplatné účtu Key Vault bylo stejné jako u vašeho účtu Front Door. Vyberte trezor klíčů, tajný kód a verzi tajného klíče.

    Azure Front Door uvádí následující informace:

    • Účty trezoru klíčů pro ID vašeho předplatného
    • Tajné kódy ve vybraném trezoru klíčů.
    • Dostupné verze tajných klíče.

    Poznámka

    Pokud chcete, aby se certifikát automaticky obměnoval k nejnovější verzi, když je ve vaší službě Key Vault k dispozici novější verze certifikátu, nastavte verzi tajného klíče na Nejnovější. Pokud je vybraná konkrétní verze, musíte znovu ručně vybrat novou verzi pro rotaci certifikátů. Nasazení nové verze certifikátu nebo tajného klíče trvá až 24 hodin.

    Snímek obrazovky s výběrem verze tajného klíče na stránce aktualizace vlastní domény

  5. Při použití vlastního certifikátu se nevyžaduje ověření domény. Pokračujte a počkejte na rozšíření.

Ověření domény

Pokud už používáte vlastní doménu, která se mapuje na váš vlastní koncový bod pomocí záznamu CNAME, nebo pokud používáte vlastní certifikát, pokračujte na Mapování vlastní domény na váš Front Door. V opačném případě, pokud položka záznamu CNAME pro vaši doménu už neexistuje nebo obsahuje subdoménu afdverify, pokračujte na Vlastní doména se nemapuje na vaši doménu Front Door.

Vlastní doména se mapuje na Front Door pomocí záznamu CNAME

Při přidávání vlastní domény do hostitelů Front Dooru jste v tabulce DNS vašeho doménového registrátora vytvořili záznam CNAME, kterým jste vlastní doménu namapovali na výchozí název hostitele .azurefd.net pro tento Front Door. Pokud tento záznam CNAME stále existuje a neobsahuje subdoménu afdverify, certifikační autorita DigiCert ho použije k automatickému ověření vlastnictví vaší vlastní domény.

Pokud používáte vlastní certifikát, ověření domény se nevyžaduje.

Záznam CNAME by měl mít následující formát, kde Název je název vaší vlastní domény a Hodnota je výchozí název hostitele .azurefd.net vašeho Front Dooru:

Název Typ Hodnota
<www.contoso.com> CNAME contoso.azurefd.net

Další informace o záznamech CNAME najdete v tématu popisujícím vytvoření záznamu DNS CNAME.

Pokud je váš záznam CNAME ve správném formátu, DigiCert automaticky ověří váš název vlastní domény a vytvoří pro váš název domény vyhrazený certifikát. DigiCert vám neodešle ověřovací e-mail a vy nebudete muset potvrzovat svou žádost. Certifikát je platný jeden rok a před vypršením jeho platnosti se automaticky znovu zobrazí. Pokračujte a počkejte na rozšíření.

Automatické ověření trvá obvykle několik minut. Pokud se vaše doména neověří do hodiny, otevřete lístek podpory.

Poznámka

Pokud máte záznam CAA (Certificate Authority Authorization) pro vašeho poskytovatele DNS, musí jako platnou certifikační autoritu zahrnovat DigiCert. Záznam CAA umožňuje vlastníkům domén určit u poskytovatelů DNS, které certifikační autority mají oprávnění k vystavování certifikátů pro jejich domény. Pokud certifikační autorita přijme objednávku na certifikát pro doménu se záznamem CAA a tato certifikační autorita není uvedená jako autorizovaný vystavitel certifikátů, nebude moci vystavit certifikát pro danou doménu nebo subdoménu. Informace o správě záznamů CAA najdete v tématu Správa záznamů CAA. Nástroj pro práci se záznamy CAA najdete tady: CAA Record Helper.

Vlastní doména se nemapuje na Front Door

Pokud položka záznamu CNAME pro váš koncový bod už neexistuje nebo obsahuje subdoménu afdverify, postupujte podle zbývajících pokynů v tomto kroku.

Po povolení HTTPS pro vlastní doménu certifikační autorita DigiCert ověří vlastnictví vaší domény tak, že kontaktuje žadatele o registraci na základě informací o žadateli o registraci v registru WHOIS domény. Kontakt proběhne přes e-mailovou adresu (ve výchozím nastavení) nebo telefonní číslo uvedené v registraci WHOIS. Nejprve je potřeba provést ověření domény, a teprve pak se protokol HTTPS pro vaši vlastní doménu aktivuje. Na schválení domény máte šest pracovních dnů. Žádosti, které nejsou schválené do šesti pracovních dnů, se automaticky zruší. Ověřování domény DigiCert funguje na úrovni subdomény. Vlastnictví každé subdomény budete muset prokázat samostatně.

Záznam WHOIS

DigiCert také odešle ověřovací e-mail na jiné e-mailové adresy. Pokud jsou informace o žadateli o registraci v registru WHOIS privátní, ujistěte se, že můžete provést schválení přímo z některé z následujících adres:

admin@<název_vaší_domény.com>
administrator@<název_vaší_domény.com>
webmaster@<název_vaší_domény.com>
hostmaster@<název_vaší_domény.com>
postmaster@<název_vaší_domény.com>

Během několika minut byste měli obdržet podobný e-mail jako v následujícím příkladu s výzvou ke schválení žádosti. Pokud používáte filtr spamu, přidejte no-reply@digitalcertvalidation.com ho do seznamu povolených. V určitých scénářích nemusí digiCert načíst kontakty domény z informací o žadateli o registraci WHOIS a poslat vám e-mail. Pokud e-mail neobdržíte do 24 hodin, kontaktujte podporu Microsoftu.

Když vyberete odkaz na schválení, budete přesměrováni na online formulář schválení. Postupujte podle pokynů ve formuláři. Máte na výběr dvě možnosti ověření:

  • Můžete schválit všechny budoucí objednávky zadané přes stejný účet a pro stejnou kořenovou doménu, například contoso.com. Tento přístup se doporučuje, pokud plánujete přidat další vlastní domény pro stejnou kořenovou doménu.

  • Můžete schválit pouze konkrétní název hostitele použitý v této žádosti. Pro následné žádosti se vyžaduje dodatečné schválení.

Po schválení DigiCert dokončí vytvoření certifikátu pro váš název vlastní domény. Certifikát je platný jeden rok a před vypršením jeho platnosti se automaticky znovu zaknoví.

Čekání na rozšíření

Po ověření názvu domény může aktivace funkce HTTPS pro vlastní doménu trvat 6 až 8 hodin. Po dokončení tohoto procesu se stav HTTPS na webu Azure Portal nastaví na Povoleno a čtyři kroky operace v dialogovém okně vlastní domény se označí jako dokončené. Vaše vlastní doména je teď připravená k použití HTTPS.

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při povolení HTTPS. Po povolení HTTPS se v dialogovém okně vlastní domény zobrazí čtyři kroky operace. S tím, jak se jednotlivé kroky stanou aktivními, se v průběhu kroku zobrazí další podrobnosti o dílčím kroku. Ne všechny tyto dílčí kroky se provedou. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Krok operace Podrobnosti o dílčím kroku operace
1. Odesílání žádosti Odesílání žádosti
Vaše žádost o HTTPS se právě odesílá.
Vaše žádost o HTTPS se úspěšně odeslala.
2. Ověření domény Doména se automaticky ověří, pokud je název CNAME namapovaný na výchozího front-azurefd.net hostitele vašeho Front Door. Jinak se na e-mail uvedený v záznamu o registraci vaší domény (žadatel o registraci v registru WHOIS) odešle žádost o ověření. Ověřte doménu co nejdříve.
Vaše vlastnictví domény se úspěšně ověřilo.
Platnost požadavku na ověření vlastnictví domény vypršela (zákazník pravděpodobně neodpověděl ve lhůtě 6 dní). HTTPS nebude ve vaší doméně povolený. *
Požadavek na ověření vlastnictví domény byl zamítnut zákazníkem. HTTPS nebude ve vaší doméně povolený. *
3. Zřizování certifikátu Certifikační autorita momentálně vystavuje certifikát nutný pro povolení HTTPS pro vaši doménu.
Certifikát byl vystaven a momentálně se nasazuje pro Front Door. Dokončení tohoto procesu může trvat několik minut až hodinu.
Certifikát se pro Front Door nasadil úspěšně.
4. Hotovo Protokol HTTPS se ve vaší doméně úspěšně povolil.

* Tato zpráva se zobrazí pouze v případě, že dojde k chybě.

Pokud před odesláním žádosti dojde k chybě, zobrazí se následující chybová zpráva:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Nejčastější dotazy

  1. Kdo je poskytovatel certifikátu a jaký typ certifikátu se používá?

    Pro vlastní doménu se používá jediný (vyhrazený) certifikát vydaný společností DigiCert.

  2. Používáte protokol TLS/SSL založený na IP nebo SNI?

    Azure Front Door používá SNI TLS/SSL.

  3. Co když neobdržím e-mail pro ověření domény od DigiCert?

    Pokud máte položku CNAME pro vlastní doménu, která odkazuje přímo na název hostitele koncového bodu (a název subdomény afdverify používáte), neobdržíte e-mail pro ověření domény. Ověření proběhne automaticky. Jinak, pokud záznam CNAME nemáte a neobdrželi jste e-mail během 24 hodin, kontaktujte podporu Microsoftu.

  4. Je používání certifikátu SAN méně bezpečné než vyhrazený certifikát?

    Certifikát SAN využívá stejné standardy šifrování a zabezpečení jako vyhrazený certifikát. Všechny vydané certifikáty TLS/SSL používají pro lepší zabezpečení serveru algoritmus SHA-256.

  5. Potřebuji záznam CAA (Certificate Authority Authorization) pro svého poskytovatele DNS?

    Ne, záznam o autorizaci certifikační autority se v současné době nevyžaduje. Pokud ho však máte, musí jako platnou certifikační autoritu zahrnovat DigiCert.

Vyčištění prostředků

V předchozích krocích jste pro vlastní doménu povolili protokol HTTPS. Pokud už nechcete používat vlastní doménu s HTTPS, můžete HTTPS zakázat pomocí následujících kroků:

Zákaz funkce HTTPS

  1. V Azure Portalpřejděte k vaší Azure Front Door konfigurace.

  2. V seznamu hostitelů front-endu vyberte vlastní doménu, pro kterou chcete zakázat HTTPS.

  3. Kliknutím na možnost Zakázáno zakažte HTTPS a potom klikněte na Uložit.

Čekání na rozšíření

Po zákazu funkce HTTPS vlastní domény může trvat 6 až 8 hodin, než se změna projeví. Po dokončení procesu se vlastní stav HTTPS v Azure Portal nastaví na Zakázáno a tři kroky operace v dialogovém okně vlastní domény se označí jako dokončené. Vaše vlastní doména už nemůže používat HTTPS.

Průběh operace

Následující tabulka ukazuje průběh operace, která proběhne při zákazu HTTPS. Po zákazu HTTPS se v dialogovém okně vlastní domény zobrazí tři kroky operace. Jakmile se jednotlivé kroky stanou aktivními, zobrazí se pod krokem další podrobnosti. Po úspěšném dokončení kroku se vedle něj zobrazí zelená značka zaškrtnutí.

Průběh operace Podrobnosti o operaci
1. Odesílání žádosti Odesílání vaší žádosti
2. Zrušení zřízení certifikátu Odstraňování certifikátu
3. Hotovo Certifikát odstraněn

Další kroky

V tomto kurzu jste se naučili:

  • Upload certifikát k Key Vault.
  • Ověřte doménu.
  • Povolte HTTPS pro vlastní doménu.

Informace o tom, jak nastavit zásady geografické filtrování pro Front Door, najdete v dalším kurzu.

Nastavení zásad geografické filtrování