Tutorial: Konfigurieren von HTTPS in einer benutzerdefinierten Azure CDN-Domäne

In diesem Tutorial erfahren Sie, wie Sie das HTTPS-Protokoll für eine benutzerdefinierte Domäne aktivieren, die einem Azure CDN-Endpunkt zugeordnet ist.

Das HTTPS-Protokoll in Ihrer benutzerdefinierten Domäne (zum Beispiel https://www.contoso.com) stellt sicher, dass Ihre vertraulichen Daten sicher über TLS/SSL übermittelt werden. Bei Verwendung einer HTTPS-Verbindung überprüft der Webbrowser das Zertifikat der Website. Dadurch wird sichergestellt, dass es von einer legitimen Zertifizierungsstelle stammt. Dieser Prozess sorgt für Sicherheit und schützt Ihre Webanwendungen vor Angriffen.

Azure CDN unterstützt HTTPS standardmäßig für einen CDN-Endpunkt-Hostnamen. Wenn Sie also etwa einen CDN-Endpunkt erstellen (beispielsweise https://contoso.azureedge.net), ist HTTPS automatisch aktiviert.

Zu den wichtigsten Attributen des benutzerdefinierten HTTPS-Features zählen unter anderem folgende:

• Keine zusätzlichen Kosten: Zertifikatabruf und -verlängerung sind kostenlos, und für HTTPS-Datenverkehr fallen keine zusätzlichen Kosten an. Sie zahlen nur für den ausgehenden Datenverkehr des CDNs (nach GB).

• Unkomplizierte Aktivierung: Über das Azure-Portal ist die Bereitstellung mit einem einzelnen Klick möglich. Das Feature kann aber auch per REST-API oder mithilfe anderer Entwicklertools aktiviert werden.

• Umfassende Zertifikatverwaltung:

  • Die gesamte Zertifikatbeschaffung und -verwaltung wird für Sie erledigt.
  • Zertifikate werden automatisch bereitgestellt und verlängert, bevor sie ablaufen.

In diesem Tutorial lernen Sie Folgendes:

• Aktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
• Verwenden eines CDN-verwalteten Zertifikats
• Verwenden Ihres eigenen Zertifikats
• Überprüfen der Domäne
• Deaktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne

Voraussetzungen

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Erstellen Sie ein CDN-Profil und mindestens einen CDN-Endpunkt, bevor Sie die Schritte in diesem Tutorial ausführen. Weitere Informationen finden Sie unter Quickstart: Erstellen eines Azure CDN-Profils und -Endpunkts.

Ordnen Sie Ihrem CDN-Endpunkt eine benutzerdefinierte Azure CDN-Domäne zu. Weitere Informationen finden Sie im Tutorial: Hinzufügen einer benutzerdefinierten Domäne zum Azure CDN-Endpunkt.

Wichtig

CDN-verwaltete Zertifikate sind für Stamm- oder Apex-Domänen nicht verfügbar. Wenn Ihre benutzerdefinierte Azure CDN-Domäne eine Stamm- oder Apex-Domäne ist, müssen Sie die Funktion „Bereitstellen eines eigenen Zertifikats“ verwenden.

---

TLS-/SSL-Zertifikate

Wenn Sie HTTPS für eine benutzerdefinierte Azure CDN-Domäne aktivieren möchten, müssen Sie ein TLS/SSL-Zertifikat verwenden. Sie haben die Wahl zwischen einem von Azure CDN verwalteten Zertifikat oder einem eigenen Zertifikat.

Option 1 (Standard): Aktivieren von HTTPS mit einem CDN-verwalteten Zertifikat

Azure CDN übernimmt Zertifikatverwaltungsaufgaben wie Beschaffung und Verlängerung. Der Prozess wird umgehend nach der Aktivierung des Features gestartet.

Wenn die benutzerdefinierte Domäne bereits dem CDN-Endpunkt zugeordnet ist, ist keine weitere Aktion erforderlich. Azure CDN durchläuft die Schritte und schließt Ihre Anforderung automatisch ab.

Sollte Ihre benutzerdefinierte Domäne an anderer Stelle zugeordnet sein, bestätigen Sie per E-Mail, dass Sie der Besitzer der Domäne sind.

Um HTTPS für eine benutzerdefinierte Domäne zu aktivieren, führen Sie die folgenden Schritte aus:

1. Rufen Sie das Azure-Portal auf, um ein von Ihrer Azure CDN-Instanz verwaltetes Zertifikat zu ermitteln. Suchen Sie nach CDN-Profile, und wählen Sie diese Option aus.

2. Wählen Sie Ihr Profil aus:

   • Azure CDN Standard von Microsoft
   • Azure CDN Standard von Edgio
   • Azure CDN Premium von Edgio

3. Wählen Sie in der Liste mit den CDN-Endpunkten den Endpunkt aus, der Ihre benutzerdefinierte Domäne enthält.

   

   Die Seite Endpunkt wird angezeigt.

4. Wählen Sie in der Liste mit den benutzerdefinierten Domänen die benutzerdefinierte Domäne aus, für die Sie HTTPS aktivieren möchten.

   

   Die Seite Benutzerdefinierte Domäne wird angezeigt.

5. Wählen Sie unter „Zertifikatverwaltungstyp“ die Option CDN verwaltet aus.

6. Klicken Sie auf Ein, um HTTPS zu aktivieren.

   

7. Fahren Sie mit Überprüfen der Domäne fort.

Option 2: Aktivieren von HTTPS mit Ihrem eigenen Zertifikat

Wichtig

Diese Option steht nur in den Profilen Azure CDN von Microsoft und Azure CDN von Edgio zur Verfügung.

Sie können das HTTPS-Feature mit Ihrem eigenen Zertifikat aktivieren. Dabei erfolgt eine Integration in Azure Key Vault, was eine sichere Speicherung Ihrer Zertifikate ermöglicht. Azure CDN nutzt diesen sicheren Mechanismus zum Abrufen Ihres Zertifikats, und es sind einige zusätzliche Schritte erforderlich. Wenn Sie Ihr TLS/SSL-Zertifikat erstellen, müssen Sie eine vollständige Zertifikatkette mit einer zulässigen Zertifizierungsstelle erstellen, die in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten ist. Wenn Sie eine nicht zugelassene Zertifizierungsstelle verwenden, wird Ihre Anforderung abgelehnt. Wenn ein Zertifikat ohne vollständige Kette präsentiert wird, funktionieren die in diesem Zertifikat enthaltenen Anforderungen nicht wie erwartet. Für Azure CDN von Edgio wird eine beliebige gültige Zertifizierungsstelle akzeptiert.

Vorbereiten Ihres Azure Key Vault-Kontos und Ihres Zertifikats

1. Azure Key Vault: Sie benötigen ein aktives Azure Key Vault-Konto. Dieses muss zu dem gleichen Abonnement gehören wie das Azure CDN-Profil und die CDN-Endpunkte, für die Sie benutzerdefiniertes HTTPS aktivieren möchten. Erstellen Sie bei Bedarf ein Azure Key Vault-Konto.

2. Azure Key Vault-Zertifikate: Falls Sie über ein Zertifikat verfügen, laden Sie es direkt in Ihr Azure Key Vault-Konto hoch. Sollten Sie über kein Zertifikat verfügen, erstellen Sie direkt über Azure Key Vault ein neues Zertifikat.

Hinweis

• Azure Content Delivery Network unterstützt nur PFX-Zertifikate.
• Das Zertifikat muss über eine vollständige Zertifikatkette mit Blatt- und Zwischenzertifikaten verfügen, und die Stammzertifizierungsstelle muss in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten sein.

Registrieren von Azure CDN

Registrieren Sie Azure CDN als App in Ihrem Microsoft Entra ID.

Hinweis

• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 ist der Dienstprinzipal für Microsoft.AzureFrontDoor-Cdn.
• Sie benötigen die Rolle Globaler Administrator, um diesen Befehl auszuführen.
• Der Dienstprinzipalname wurde von Microsoft.Azure.Cdn in Microsoft.AzureFrontDoor-Cdn geändert.

Azure PowerShell

1. Installieren Sie bei Bedarf Azure PowerShell auf Ihrem lokalen Computer.

2. Führen Sie in PowerShell den folgenden Befehl aus:

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
   
   Secret                :
   ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8,
    			https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
   ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   ObjectType            : ServicePrincipal DisplayName           : Microsoft.AzureFrontDoor-Cdn Id                    : abcdef12-3456-7890-abcd-ef1234567890
   Type                  :
   

Die Azure-CLI

1. Installieren Sie bei Bedarf Azure CLI auf Ihrem lokalen Computer.

2. Verwenden Sie die Azure CLI, um den folgenden Befehl auszuführen:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

Gewähren von Zugriff auf Ihren Schlüsseltresor für Azure CDN

Gewähren Sie Azure CDN Berechtigungen für den Zugriff auf die Zertifikate (Geheimnisse) in Ihrem Azure Key Vault-Konto.

1. Wählen Sie in Ihrem Schlüsseltresor im Abschnitt Einstellungen die Option Zugriffsrichtlinien aus. Wählen Sie im rechten Bereich die Option + Zugriffsrichtlinie hinzufügen aus:

   

2. Wählen Sie auf der Seite Zugriffsrichtlinie hinzufügen neben Prinzipal auswählen die Option Nichts ausgewählt aus. Geben Sie auf der Seite Prinzipal die Zeichenfolge 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 ein. Wählen Sie Microsoft.AzureFrontdoor-Cdn aus. Wählen Sie Auswählen aus:

3. Suchen Sie unter Prinzipal auswählen nach 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, und wählen Sie Microsoft.AzureFrontDoor-Cdn aus. Klicken Sie auf Auswählen.

   

4. Wählen Sie Zertifikatberechtigungen aus. Aktivieren Sie das Kontrollkästchen für Get, um CDN-Berechtigungen für das Abrufen der Zertifikate zu erteilen.

5. Wählen Sie Geheimnisberechtigungen aus. Aktivieren Sie das Kontrollkästchen für Get, um CDN-Berechtigungen für das Abrufen der Geheimnisse zu erteilen:

   

6. Wählen Sie Hinzufügen aus.

Hinweis

Das Azure CDN kann nun auf diesen Schlüsseltresor und auf die darin gespeicherten Zertifikate (Geheimnisse) zugreifen. Alle in diesem Abonnement erstellten CDN-Instanzen haben Zugriff auf die Zertifikate in diesem Schlüsseltresor.

Auswählen des bereitzustellenden Zertifikats für Azure CDN

1. Kehren Sie zum Azure CDN-Portal zurück, und wählen Sie das Profil und den CDN-Endpunkt aus, für die Sie benutzerdefiniertes HTTPS aktivieren möchten.

2. Wählen Sie in der Liste mit den benutzerdefinierten Domänen die benutzerdefinierte Domäne aus, für die Sie HTTPS aktivieren möchten.

   Die Seite Benutzerdefinierte Domäne wird angezeigt.

3. Wählen Sie unter „Zertifikatverwaltungstyp“ die Option Eigenes Zertifikat verwenden aus.

   

4. Wählen Sie einen Schlüsseltresor, ein Zertifikat/Geheimnis und eine Zertifikat-/Geheimnisversion aus.

   Das Azure CDN listet folgende Informationen auf:

   • Die Schlüsseltresorkonten für Ihre Abonnement-ID.
   • Die Zertifikate/Geheimnisse unter dem ausgewählten Schlüsseltresor
   • Die verfügbaren Zertifikat-/Geheimnisversionen

   Hinweis

   • Azure Content Delivery Network unterstützt nur PFX-Zertifikate.
   • Legen Sie die Zertifikat-/Geheimnisversion auf „Neueste“ fest, damit das Zertifikat automatisch zur neuesten Version rotiert wird, wenn eine neuere Version des Zertifikats in Ihrer Key Vault-Instanz verfügbar ist. Wenn eine bestimmte Version ausgewählt ist, müssen Sie die neue Version für die Zertifikatrotation manuell erneut auswählen. Es dauert bis zu 72 Stunden, bis die neue Version des Zertifikats/Geheimnisses bereitgestellt wird. Nur die standardmäßige Microsoft-SKU unterstützt die automatische Zertifikatrotation.

5. Klicken Sie auf Ein, um HTTPS zu aktivieren.

6. Wenn Sie Ihr eigenes Zertifikat verwenden, ist keine Domänenüberprüfung erforderlich. Fahren Sie mit Warten auf die Weitergabe fort.

Überprüfen der Domäne

Wenn Sie eine benutzerdefinierte Domäne verwenden, die Ihrem benutzerdefinierten Endpunkt mit einem CNAME-Eintrag zugeordnet ist, oder wenn Sie Ihr eigenes Zertifikat verwenden, fahren Sie mit Benutzerdefinierte Domäne, die Ihrem Content Delivery Network-Endpunkt zugeordnet ist fort.

Sollte der CNAME-Eintrag für Ihren Endpunkt nicht mehr vorhanden sein oder die Unterdomäne „cdnverify“ enthalten, fahren Sie mit Benutzerdefinierte Domäne ist Ihrem CDN-Endpunkt nicht zugeordnet fort.

Benutzerdefinierte Domäne ist Ihrem CDN-Endpunkt mit einem CNAME-Eintrag zugeordnet

Wenn Sie Ihrem Endpunkt eine benutzerdefinierte Domäne hinzugefügt haben, haben Sie einen CNAME-Eintrag in der DNS-Domänenregistrierungsstelle erstellt, der dem Hostnamen Ihres CDN-Endpunkts zugeordnet ist.

Wenn dieser CNAME-Eintrag noch vorhanden ist und die Unterdomäne „cdnverify“ nicht enthält, wird er von der DigiCert-Zertifizierungsstelle zur automatischen Überprüfung des Besitzes Ihrer benutzerdefinierten Domäne verwendet.

Wenn Sie Ihr eigenes Zertifikat verwenden, ist keine Domänenüberprüfung erforderlich.

Ihr CNAME-Eintrag muss das folgende Format aufweisen:

• Name ist Ihr benutzerdefinierter Domänenname.
• Der Wert ist der Hostname des Endpunkts für die Inhaltsübermittlung.

Name	type	Wert
<www.contoso.com>	CNAME	contoso.azureedge.net

Weitere Informationen über CNAME-Einträge finden Sie unter Erstellen Sie die CNAME-DNS-Einträge.

Wenn Ihr CNAME-Eintrag im korrekten Format vorliegt, überprüft DigiCert automatisch Ihren benutzerdefinierten Domänennamen und erstellt ein Zertifikat für Ihre Domäne. DigitCert sendet Ihnen keine E-Mail zur Verifizierung, und Sie müssen Ihre Anforderung nicht genehmigen. Das Zertifikat ist ein Jahr gültig und wird automatisch verlängert, bevor es abläuft. Fahren Sie mit Warten auf die Weitergabe fort.

Die automatische Überprüfung dauert normalerweise einige Stunden. Öffnen Sie ein Supportticket, falls Ihre Domäne nicht innerhalb von 24 Stunden validiert wurde.

Hinweis

Wenn Sie einen Certificate Authority Authorization (CAA)-Eintrag bei Ihrem DNS-Anbieter haben, muss dieser die entsprechenden CAs für die Autorisierung enthalten. DigiCert ist die Zertifizierungsstelle für Microsoft- und Edgio-Profile. Informationen zum Verwalten von CAA-Einträgen finden Sie unter Manage CAA records (Verwalten von CAA-Einträgen). Ein Tool für CAA-Einträge finden Sie unter CAA Record Helper (Hilfsprogramm für CAA-Einträge).

Benutzerdefinierte Domäne ist Ihrem CDN-Endpunkt nicht zugeordnet

Wenn der CNAME-Eintrag die cdnverify-Unterdomäne enthält, folgen Sie den weiteren Anweisungen in diesem Schritt.

DigiCert sendet zur Überprüfung eine E-Mail an die folgenden E-Mail-Adressen. Vergewissern Sie sich, dass Sie die Bestätigung direkt über eine der folgenden Adressen vornehmen können:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Nach wenigen Minuten sollten Sie eine E-Mail erhalten, in der Sie die Anforderung genehmigen können. Falls Sie einen Spamfilter verwenden, fügen Sie verification@digicert.com der Zulassungsliste hinzu. Sollten Sie nach 24 Stunden noch keine E-Mail erhalten haben, setzen Sie sich mit dem Microsoft-Support in Verbindung.

Wenn Sie den Genehmigungslink auswählen, werden Sie zum folgenden Onlineformular für die Genehmigung weitergeleitet:

Befolgen Sie die Anweisungen im Formular. Sie haben zwei Möglichkeiten zur Genehmigung:

• Sie können alle zukünftigen Aufträge genehmigen, die über dasselbe Konto und für dieselbe Stammdomäne (beispielsweise „contoso.com“) getätigt werden. Dies empfiehlt sich, wenn Sie planen, weitere benutzerdefinierte Domänen für die gleiche Stammdomäne hinzuzufügen.

• Sie können lediglich den spezifischen Hostnamen aus dieser Anforderung genehmigen. Für spätere Anforderungen ist eine weitere Genehmigung erforderlich.

Nach der Genehmigung führt DigiCert die Erstellung des Zertifikats für Ihren benutzerdefinierten Domänennamen durch. Das Zertifikat ist ein Jahr gültig und wird automatisch verlängert, bevor es abläuft.

Warten auf die Weitergabe

Nach der Überprüfung des Domänennamens dauert es maximal 6 bis 8 Stunden, bis das HTTPS-Feature für die benutzerdefinierte Domäne aktiviert wird. Nach Abschluss des Prozesses ändert sich im Azure-Portal der HTTPS-Status für benutzerdefinierte Domänen in Ein. Die vier Schritte im Dialogfeld der benutzerdefinierten Domäne werden als abgeschlossen markiert. Die benutzerdefinierte Domäne ist jetzt bereit zur Verwendung von HTTPS.

Vorgangsstatus

Die folgende Tabelle zeigt den Status des Vorgangs zum Aktivieren von HTTPS. Nach der Aktivierung von HTTPS werden im Dialogfeld der benutzerdefinierten Domäne vier Schritte angezeigt. Beim Durchlaufen der einzelnen Schritte werden weitere Details zum jeweiligen Teilschritt angezeigt. Nicht alle diese Teilschritte müssen durchgeführt werden. Nachdem ein Schritt erfolgreich abgeschlossen wurde, wird neben diesem ein grünes Häkchen angezeigt.

Vorgangsschritt	Details zum Teilschritt des Vorgangs
1: Übermitteln der Anforderung	Übermitteln der Anforderung
	Die HTTPS-Anforderung wird übermittelt.
	Die HTTPS-Anforderung wurde erfolgreich übermittelt.
2: Überprüfen der Domäne	Die Domäne wird automatisch überprüft, wenn sie per CNAME dem CDN-Endpunkt zugeordnet ist. Andernfalls wird eine Überprüfungsanforderung an die E-Mail-Adresse gesendet, die im Registrierungsdatensatz (WHOIS-Registrant) Ihrer Domäne angegeben ist.
	Der Besitz der Domäne wurde erfolgreich bestätigt.
	Die Überprüfungsanforderung für den Domänenbesitz ist abgelaufen (Kunde hat wahrscheinlich nicht innerhalb von 6 Tagen reagiert). HTTPS wird für Ihre Domäne nicht aktiviert. *
	Die Überprüfungsanforderung für den Domänenbesitz wurde vom Kunden zurückgewiesen. HTTPS wird für Ihre Domäne nicht aktiviert. *
3: Zertifikatbereitstellung	Die Zertifizierungsstelle stellt zurzeit das Zertifikat aus, das zum Aktivieren von HTTPS für Ihre Domäne erforderlich ist.
	Das Zertifikat wurde ausgegeben und wird derzeit im CDN-Netzwerk bereitgestellt. Dies kann bis zu sechs Stunden dauern.
	Das Zertifikat wurde erfolgreich im CDN-Netzwerk bereitgestellt.
4: Abschließen	HTTPS wurde in Ihrer Domäne erfolgreich aktiviert.

* Diese Meldung wird nur bei einem Fehler angezeigt.

Sollte vor dem Übermitteln der Anforderung ein Fehler auftreten, wird die folgende Fehlermeldung angezeigt:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Bereinigen von Ressourcen – Deaktivieren von HTTPS

In diesem Abschnitt erfahren Sie, wie Sie HTTPS für Ihre benutzerdefinierte Domäne deaktivieren.

Deaktivieren des HTTPS-Features

1. Suchen Sie im Azure-Portal nach CDN-Profile, und wählen Sie den Eintrag aus.

2. Wählen Sie das Profil Azure CDN Standard von Microsoft, Azure CDN Standard von Edgio oder Azure CDN Premium von Edgio aus.

3. Wählen Sie in der Liste mit den Endpunkten den Endpunkt aus, der Ihre benutzerdefinierte Domäne enthält.

4. Wählen Sie die benutzerdefinierte Domäne aus, für die Sie HTTPS deaktivieren möchten.

   

5. Klicken Sie auf Aus, um HTTPS zu deaktivieren, und wählen Sie dann Anwenden aus.

   

Warten auf die Weitergabe

Nachdem das HTTPS-Feature für die benutzerdefinierte Domäne deaktiviert wurde, dauert es maximal 6 bis 8 Stunden, bis die Änderung wirksam wird. Nach Abschluss des Prozesses ändert sich im Azure-Portal der HTTPS-Status für benutzerdefinierte Domänen in Aus. Die drei Schritte im Dialogfeld der benutzerdefinierten Domäne werden als abgeschlossen markiert. Die benutzerdefinierte Domäne kann HTTPS nicht mehr verwenden.

Vorgangsstatus

Die folgende Tabelle zeigt den Status des Vorgangs zum Deaktivieren von HTTPS. Nach der Deaktivierung von HTTPS werden im Dialogfeld der benutzerdefinierten Domäne drei Schritte angezeigt. Beim Durchlaufen der einzelnen Schritte werden Details zum jeweiligen Schritt angezeigt. Nachdem ein Schritt erfolgreich abgeschlossen wurde, wird neben diesem ein grünes Häkchen angezeigt.

Vorgangsstatus	Vorgangsdetails
1: Übermitteln der Anforderung	Ihre Anforderung wird übermittelt.
2: Aufheben der Zertifikatbereitstellung	Das Zertifikat wird gelöscht.
3: Abschließen	Das Zertifikat wurde gelöscht.

Automatische Zertifikatsrotation mit Azure CDN von Edgio

Verwaltete Zertifikate aus Azure Key Vault können das Feature zum automatischen Erstellen von Zertifikaten verwenden, sodass Azure CDN von Edgio automatisch aktualisierte Zertifikate abrufen und an die Edgio CDN-Plattform weitergeben kann. Sie können dieses Feature wie folgt aktivieren:

1. Registrieren Sie Azure CDN als Anwendung in Ihrem Microsoft Entra ID.

2. Autorisieren Sie den Azure CDN-Dienst für den Zugriff auf die geheimen Schlüssel in Ihrem Key Vault. Navigieren Sie in Ihrem Key Vault zu „Zugriffsrichtlinien“, um eine neue Richtlinie hinzuzufügen, und erlauben Sie dann dem Microsoft.AzureFrontDoor-Cdn-Dienstprinzipal eine Geheime Schlüssel-Berechtigung abzurufen.

3. Legen Sie die Zertifikatversion auf neueste unter dem Zertifikatverwaltungstyp im Menü benutzerdefinierte Domäne fest. Wenn eine bestimmte Version des Zertifikats ausgewählt ist, sind manuelle Updates erforderlich.

Hinweis

• Beachten Sie, dass es bis zu 24 Stunden dauern kann, bis das Zertifikat automatisch rotiert wird, um die Verteilung des neuen Zertifikats vollständig abzuschließen.
• Wenn ein Zertifikat verwendet wird, um mehrere benutzerdefinierte Domänen abzudecken, ist es zwingend erforderlich, die automatische Rotation des Zertifikats für alle benutzerdefinierten Domänen zu aktivieren, die dieses Zertifikat freigeben, um einen korrekten Vorgang sicherzustellen. Andernfalls kann es passieren, dass die Edgio-Plattform eine falsche Version des Zertifikats für die benutzerdefinierte Domäne ausgibt, die diese Funktion nicht aktiviert hat.“

Häufig gestellte Fragen

1. Wer ist der Zertifikatanbieter, und welche Art von Zertifikat wird verwendet?

   In folgenden Fällen wird für Ihre benutzerdefinierte Domäne ein dediziertes Zertifikat von DigiCert verwendet:

   • Azure Content Delivery Network von Edgio
   • Azure Content Delivery Network von Microsoft

2. Verwenden Sie IP-basierte oder Servernamensanzeige (SNI) TLS/SSL?

   Sowohl für Azure CDN von Edgio als auch für Azure CDN Standard von Microsoft wird SNI-basiertes TLS/SSL verwendet.

3. Was passiert, wenn ich die Domänenüberprüfungs-E-Mail von DigiCert nicht erhalte?

   Wenn Sie die Unterdomäne cdnverify nicht verwenden und Ihr CNAME-Eintrag für den Hostnamen Ihres Endpunkts gilt, erhalten Sie keine Domänenüberprüfungs-E-Mail.

   Die Bestätigung erfolgt automatisch. Wenden Sie sich andernfalls an den Microsoft-Support, falls Sie nicht über einen CNAME-Eintrag verfügen und innerhalb von 24 Stunden keine E-Mail erhalten.

4. Ist ein SAN-Zertifikat weniger sicher als ein dediziertes Zertifikat?

   Ein SAN-Zertifikat bietet die gleichen Verschlüsselungs- und Sicherheitsstandards wie ein dediziertes Zertifikat. Zur Verbesserung der Serversicherheit verwenden alle ausgestellten TLS-/SSL-Zertifikate SHA-256.

5. Benötige ich einen CAA-Datensatz (Certificate Authority Authorization) bei meinem DNS-Anbieter?

   Aktuell wird kein CAA-Datensatz benötigt. Wenn Sie allerdings über einen solchen Datensatz verfügen, muss er DigiCert als gültige Zertifizierungsstelle enthalten.

6. Am 20. Juni 2018 wurde für Azure CDN von Edgio mit der standardmäßigen Nutzung eines dedizierten Zertifikats mit SNI-basiertem TLS/SSL begonnen. Was passiert mit meinen vorhandenen benutzerdefinierten Domänen, für die ein Zertifikat vom Typ „Alternativer Antragstellername“ (Subject Alternative Names, SAN) und IP-basiertes TLS/SSL verwendet wird?

   Ihre vorhandenen Domänen werden in den kommenden Monaten nach und nach zur Verwendung eines einzelnen Zertifikats migriert, wenn von Microsoft analysiert wird, dass nur SNI-Clientanforderungen für Ihre Anwendung erfolgen.

   Wenn SNI-fremde Clients erkannt werden, bleiben Ihre Domänen im SAN-Zertifikat mit IP-basiertem TLS/SSL. Anforderungen an Ihren Dienst oder an SNI-fremde Clients bleiben unberührt.

7. Wie werden eigene Zertifikate verlängert?

   Um sicherzustellen, dass ein neueres Zertifikat in der POP-Infrastruktur bereitgestellt wird, laden Sie Ihr neues Zertifikat in Azure Key Vault hoch. Wählen Sie in Ihren TLS-Einstellungen im Azure Content Delivery Network die neueste Zertifikatversion aus, und wählen Sie „Speichern“ aus. Das Azure Content Delivery Network verteilt dann Ihr neues aktualisiertes Zertifikat.

   Wenn Sie für Azure CDN von Edgio-Profile dasselbe Azure Key Vault-Zertifikat für mehrere benutzerdefinierte Domänen verwenden (z. B. ein Wildcard-Zertifikat), müssen Sie sicherstellen, dass Sie alle benutzerdefinierten Domänen, die dasselbe Zertifikat verwenden, auf die neuere Zertifikatsversion aktualisieren.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

• Aktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne
• Verwenden eines CDN-verwalteten Zertifikats
• Verwenden Ihres eigenen Zertifikats
• Validieren der Domäne
• Deaktivieren des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne

Fahren Sie mit dem nächsten Tutorial fort, um zu erfahren, wie Sie das Caching auf Ihrem CDN-Endpunkt konfigurieren.

Tutorial: Festlegen der Azure CDN-Cacheregeln