Benutzerdefinierte Domänen in Azure Front Door
Eine Domäne stellt einen benutzerdefinierten Domänennamen dar, den Azure Front Door zum Empfangen des Datenverkehrs Ihrer Anwendung verwendet. Azure Front Door unterstützt das Hinzufügen von drei Typen von Domänennamen:
- Unterdomänen sind der häufigste Typ benutzerdefinierter Domänennamen. Ein Beispiel für eine Unterdomäne ist
myapplication.contoso.com. - Apex-Domänen enthalten keine Unterdomäne. Ein Beispiel für eine Apex-Domäne ist
contoso.com. Weitere Informationen zur Verwendung von Apex-Domänen mit Azure Front Door finden Sie unter Apex-Domänen. - Platzhalterdomänen ermöglichen den Empfang von Datenverkehr für jede Unterdomäne. Eine Beispiel für eine Platzhalterdomäne ist
*.contoso.com. Weitere Informationen zur Verwendung von Platzhalterdomänen mit Azure Front Door finden Sie unter Platzhalterdomänen.
Domänen werden Ihrem Azure Front Door-Profil hinzugefügt. Sie können eine Domäne in mehreren Routen innerhalb eines Endpunkts verwenden, wenn Sie in jeder Route unterschiedliche Pfade verwenden.
Informationen zum Hinzufügen einer benutzerdefinierten Domäne zu Ihrem Azure Front Door-Profil finden Sie unter Konfigurieren einer benutzerdefinierten Domäne in Azure Front Door mithilfe des Azure-Portals.
DNS-Konfiguration
Wenn Sie Ihrem Azure Front Door-Profil eine Domäne hinzufügen, konfigurieren Sie zwei Einträge auf Ihrem DNS-Server:
- Einen DNS-TXT-Eintrag, der erforderlich ist, um den Besitz Ihres Domänennamens zu überprüfen. Weitere Informationen zu den DNS-TXT-Einträgen finden Sie unter Domänenüberprüfung.
- Einen DNS-CNAME-Eintrag, der den Fluss des Internetdatenverkehrs zu Azure Front Door steuert.
Tipp
Sie können Ihrem Azure Front Door-Profil einen Domänennamen hinzufügen, bevor Sie DNS-Änderungen vornehmen. Dieser Ansatz kann hilfreich sein, wenn Sie Ihre Azure Front Door-Konfiguration zusammen festlegen müssen oder wenn Sie über ein separates Team verfügen, das Ihre DNS-Einträge ändert.
Sie können auch Ihren DNS-TXT-Eintrag hinzufügen, um Ihren Domänenbesitz zu überprüfen, bevor Sie den CNAME-Eintrag zum Steuern des Datenverkehrsflusses hinzufügen. Dieser Ansatz kann nützlich sein, um Ausfallzeiten bei der Migration zu vermeiden, wenn Sie bereits eine Anwendung in der Produktion verwenden.
Domänenüberprüfung
Alle Domänen, die Azure Front Door hinzugefügt wurden, müssen überprüft werden. Die Überprüfung schützt Sie vor versehentlichen Fehlkonfigurationen und hilft zudem, andere Personen vor Domänenfälschungen zu schützen. In einigen Situationen können Domänen von einem anderen Azure-Dienst vorab überprüft werden. Andernfalls müssen Sie den Azure Front Door-Domänenüberprüfungsprozess befolgen, um Ihren Besitz des Domänennamens nachzuweisen.
Von Azure vorab überprüfte Domänen sind Domänen, die von einem anderen unterstützten Azure-Dienst überprüft wurden. Wenn Sie eine Domäne mit einem anderen Azure-Dienst integrieren und überprüfen und Azure Front Door später konfigurieren, können Sie mit einer vorab überprüften Domäne arbeiten. Sie müssen die Domäne nicht über Azure Front Door überprüfen, wenn Sie diesen Domänentyp verwenden.
Hinweis
Azure Front Door akzeptiert derzeit nur vorab überprüfte Domänen, die mit Azure Static Web Apps konfiguriert wurden.
Nicht von Azure überprüfte Domänen sind Domänen, die nicht von einem Azure-Dienst überprüft wurden. Dieser Domänentyp kann mit einem beliebigen DNS-Dienst gehostet werden (beispielsweise Azure DNS) und erfordert die Überprüfung des Domänenbesitzes durch Azure Front Door.
Überprüfung des TXT-Eintrags
Zum Überprüfen einer Domäne müssen Sie einen DNS-TXT-Eintrag erstellen. Der Name des TXT-Eintrags muss das Format _dnsauth.{subdomain} aufweisen. Azure Front Door stellt einen eindeutigen Wert für Ihren TXT-Eintrag bereit, wenn Sie mit dem Hinzufügen der Domäne zu Azure Front Door beginnen.
Angenommen, Sie möchten die benutzerdefinierte Unterdomäne myapplication.contoso.com mit Azure Front Door verwenden. Zunächst fügen Sie die Domäne Ihrem Azure Front Door-Profil hinzu und notieren sich den Wert des TXT-Eintrags, den Sie verwenden müssen. Anschließend konfigurieren Sie einen DNS-Eintrag mit den folgenden Eigenschaften:
| Eigenschaft | Wert |
|---|---|
| Datensatzname | _dnsauth.myapplication |
| Wert des Eintrags | Verwenden des von Azure Front Door bereitgestellten Werts |
| Gültigkeitsdauer (TTL) | 1 Stunde |
Nachdem Ihre Domäne erfolgreich überprüft wurde, ist es möglich, den TXT-Eintrag sicher von Ihrem DNS-Server zu löschen.
Weitere Informationen zum Hinzufügen eines DNS-TXT-Eintrags für eine benutzerdefinierte Domäne finden Sie unter Konfigurieren einer benutzerdefinierten Domäne in Azure Front Door mithilfe des Azure-Portals.
Domänenüberprüfungsstatus
In der folgenden Tabelle sind die verschiedenen Überprüfungsstatus aufgeführt, die möglicherweise von einer Domäne angezeigt werden.
| Domänenüberprüfungsstatus | Beschreibung und Aktionen |
|---|---|
| Wird übermittelt | Die benutzerdefinierte Domäne wird erstellt. Warten Sie, bis die Domänenressource bereit ist. |
| Ausstehend | Der Wert des DNS-TXT-Eintrags wurde generiert, und Azure Front Door ist bereit für das Hinzufügen des DNS-TXT-Eintrags. Fügen Sie Ihrem DNS-Anbieter den DNS-TXT-Eintrag hinzu, und warten Sie, bis die Überprüfung abgeschlossen ist. Wenn der Status weiterhin Ausstehend lautet, nachdem der TXT-Eintrag mit dem DNS-Anbieter aktualisiert wurde, wählen Sie Neu generieren aus, um den TXT-Eintrag zu aktualisieren, und fügen Sie den TXT-Eintrag anschließend erneut Ihrem DNS-Anbieter hinzu. |
| Erneute Validierung ausstehend | Das verwaltete Zertifikat läuft in weniger als 45 Tagen ab. Wenn Sie über einen CNAME-Eintrag verfügen, der bereits auf den Azure Front Door-Endpunkt verweist, ist für die Zertifikaterneuerung keine Aktion erforderlich. Wenn die benutzerdefinierte Domäne auf einen anderen CNAME-Eintrag verweist, wählen Sie den Status Erneute Überprüfung steht aus und dann auf der Seite Benutzerdefinierte Domäne überprüfen die Option Erneut generieren aus. Wählen Sie schließlich Hinzufügen aus, wenn Sie Azure DNS verwenden, oder fügen Sie den TXT-Eintrag manuell mit der DNS-Verwaltung Ihres eigenen DNS-Anbieters hinzu. |
| Überprüfungstoken wird aktualisiert | Eine Domäne wechselt nach dem Auswählen der Schaltfläche Erneut generieren für einen kurzen Zeitraum zur in den Status Überprüfungstoken wird aktualisiert. Wenn ein neuer Wert für den TXT-Eintrag ausgegeben wird, wechselt der Status in Ausstehend. Keine Aktion erforderlich. |
| Genehmigt | Die Domäne wurde erfolgreich überprüft, und Azure Front Door kann Datenverkehr akzeptieren, der diese Domäne verwendet. Keine Aktion erforderlich. |
| Rejected (Abgelehnt) | Der Zertifikatanbieter bzw. die Zertifizierungsstelle hat die Ausstellung für das verwaltete Zertifikat abgelehnt. Beispielsweise kann der Domänenname ungültig sein. Wählen Sie den Link Abgelehnt und dann auf der Seite Benutzerdefinierte Domäne überprüfen die Option Erneut generieren aus, wie in den Screenshots unter dieser Tabelle gezeigt. Klicken Sie anschließend auf Hinzufügen, um den TXT-Eintrag im DNS-Anbieter hinzuzufügen. |
| Timeout | Der TXT-Eintrag wurde ihrem DNS-Anbieter nicht innerhalb von sieben Tagen hinzugefügt, oder ein ungültiger DNS-TXT-Eintrag wurde hinzugefügt. Wählen Sie den Link Timeout und dann Erneut generieren auf der Seite Benutzerdefinierte Domäne überprüfen aus. Wählen Sie anschließend Hinzufügen aus, um einen neuen TXT-Eintrag zum DNS-Anbieter hinzuzufügen. Stellen Sie sicher, dass Sie den aktualisierten Wert verwenden. |
| Interner Fehler. | Unbekannter Fehler aufgetreten. Wiederholen Sie die Überprüfung, indem Sie die Schaltfläche Aktualisieren oder Neu generieren auswählen. Wenn weiterhin Probleme auftreten, senden Sie eine Supportanfrage an den Azure-Support. |
Hinweis
- Die Standard-TTL für TXT-Einträge beträgt 1 Stunde. Wenn Sie den TXT-Eintrag für die erneute Überprüfung neu generieren müssen, achten Sie bitte auf die TTL für den vorherigen TXT-Eintrag. Wenn er nicht abläuft, schlägt die Überprüfung fehl, bis der vorherige TXT-Eintrag abläuft.
- Wenn die Schaltfläche Neu generieren nicht funktioniert, löschen Sie die Domäne, und erstellen Sie sie neu.
- Wenn der Domänenstatus nicht wie erwartet angezeigt wird, wählen Sie die Schaltfläche Aktualisieren aus.
HTTPS für benutzerdefinierte Domänen
Durch die Verwendung des HTTPS-Protokolls für Ihre benutzerdefinierte Domäne stellen Sie sicher, dass Ihre vertraulichen Daten beim Senden über das Internet sicher mit TLS/SSL-Verschlüsselung übertragen werden. Wenn ein Client, z. B. ein Webbrowser, über HTTPS mit einer Website verbunden ist, überprüft der Client das Sicherheitszertifikat der Website und stellt sicher, dass es von einer legitimen Zertifizierungsstelle ausgestellt wurde. Dieser Prozess sorgt für Sicherheit und schützt Ihre Webanwendungen vor Angriffen.
Azure Front Door unterstützt die Verwendung von HTTPS mit Ihren eigenen Domänen und lagert die TLS-Zertifikatverwaltung (Transport Layer Security) von Ihren Ursprungsservern aus. Wenn Sie benutzerdefinierte Domänen verwenden, können Sie entweder von Azure verwaltete TLS-Zertifikate verwenden (empfohlen), oder Sie können Ihre eigenen TLS-Zertifikate erwerben und verwenden.
Weitere Informationen zur Funktionsweise von Azure Front Door mit TLS finden Sie unter End-to-End-TLS mit Azure Front Door.
Von Azure Front Door verwaltete TLS-Zertifikate
Azure Front Door kann TLS-Zertifikate für Unterdomänen und Apex-Domänen automatisch verwalten. Wenn Sie verwaltete Zertifikate verwenden, müssen Sie keine Schlüssel oder Zertifikatsignieranforderungen erstellen und die Zertifikate nicht hochladen, speichern oder installieren. Darüber hinaus kann Azure Front Door verwaltete Zertifikate automatisch und ohne Eingreifen eines Benutzers rotieren (erneuern). Durch diese Vorgehensweise werden Ausfallzeiten vermieden, die auftreten, wenn Ihr TLS-Zertifikate nicht rechtzeitig erneuert werden kann.
Das Generieren, Ausstellen und Installieren eines verwalteten TLS-Zertifikats kann von einigen Minuten bis hin zu einer Stunde und gelegentlich noch länger dauern.
Hinweis
Verwaltete Azure Front Door-Zertifikate (Standard und Premium) werden automatisch rotiert, wenn der CNAME-Domäneneintrag direkt auf einen Front Door-Endpunkt oder indirekt auf einen Traffic Manager-Endpunkt verweist. Andernfalls müssen Sie den Domänenbesitz erneut überprüfen, um die Zertifikate zu rotieren.
Domänentypen
In der folgenden Tabelle sind die Features zusammengefasst, die mit verwalteten TLS-Zertifikaten verfügbar sind, wenn Sie verschiedene Domänentypen verwenden:
| Aspekt | Unterdomäne | Apex-Domäne | Platzhalterdomäne |
|---|---|---|---|
| Verfügbare verwaltete TLS-Zertifikate | Ja | Ja | Nein |
| Verwaltete TLS-Zertifikate werden automatisch rotiert | Ja | Siehe unten | Nein |
Wenn Sie von Azure Front Door verwaltete TLS-Zertifikate mit Apex-Domänen verwenden, erfordert die automatisierte Zertifikatrotation möglicherweise, dass Sie Ihren Domänenbesitz erneut überprüfen. Weitere Informationen finden Sie unter Apex-Domänen in Azure Front Door.
Ausstellung eines verwalteten Zertifikats
Die Zertifikate von Azure Front Door werden von unserer Partnerzertifizierungsstelle DigiCert ausgestellt. Bei einigen Domänen müssen Sie DigiCert explizit als Zertifikataussteller zulassen, indem Sie einen CAA-Domäneneintrag mit dem folgenden Wert erstellen: 0 issue digicert.com.
Azure verwaltet die Zertifikate vollständig in Ihrem Auftrag, weshalb jeder Aspekt des verwalteten Zertifikats, einschließlich des Stammausstellers, sich jederzeit ändern kann. Diese Änderungen unterliegen nicht Ihrer Kontrolle. Vermeiden Sie daher feste Abhängigkeiten von Aspekten eines verwalteten Zertifikats, z. B. das Überprüfen des Zertifikatfingerabdrucks oder das Anheften an das verwaltete Zertifikat oder einen anderen Teil der Zertifikathierarchie. Wenn Sie Zertifikate anheften müssen, sollten Sie wie im nächsten Abschnitt erläutert ein kundenseitig verwaltetes TLS-Zertifikat verwenden.
Kundenseitig verwaltete TLS-Zertifikate
Manchmal müssen Sie möglicherweise eigene TLS-Zertifikate bereitstellen. Zu den gängigen Szenarien für die Bereitstellung eigener Zertifikate gehören:
- Ihre Organisation muss Zertifikaten verwenden, die von einer bestimmten Zertifizierungsstelle ausgestellt wurden.
- Sie möchten, dass Azure Key Vault Ihr Zertifikat über eine Partnerzertifizierungsstelle ausstellt.
- Sie müssen ein TLS-Zertifikat verwenden, das von einer Clientanwendung erkannt wird.
- Sie müssen dasselbe TLS-Zertifikat auf mehreren Systemen verwenden.
- Sie verwenden Platzhalterdomänen. Azure Front Door stellt keine verwalteten Zertifikate für Platzhalterdomänen bereit.
Hinweis
- Ab September 2023 unterstützt Azure Front Door die BYOC-basierte (Bring Your Own Certificates) Überprüfung des Domänenbesitzes. Front Door genehmigt den Domänenbesitz automatisch, sofern der Zertifikatname (Certificate Name, CN) oder der alternative Antragstellername (Subject Alternative Name, SAN) des Zertifikats mit der benutzerdefinierten Domäne übereinstimmt. Wenn Sie „Verwaltetes Azure-Zertifikat“ auswählen, wird für die Domänenüberprüfung der DNS TXT-Eintrag verwendet.
- Für benutzerdefinierte Domänen, die vor der BYOC-basierten Validierung erstellt wurden und deren Status der Domänenvalidierung nicht Genehmigt ist, müssen Sie die automatische Genehmigung der Validierung des Domänenbesitzes auslösen, indem Sie im Portal den Validierungsstatus und dann die Schaltfläche Neu validieren auswählen. Wenn Sie das Befehlszeilentool verwenden, können Sie die Domänenüberprüfung auslösen, indem Sie eine leere PATCH-Anforderung an die Domänen-API übermitteln.
Zertifikatanforderungen
Um Ihr Zertifikat mit Azure Front Door verwenden zu können, muss es die folgenden Anforderungen erfüllen:
- Vollständige Zertifikatkette: Wenn Sie Ihr TLS/SSL-Zertifikat erstellen, müssen Sie eine vollständige Zertifikatkette mit einer zulässigen Zertifizierungsstelle erstellen, die in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten ist. Wenn Sie eine nicht zugelassene Zertifizierungsstelle verwenden, wird Ihre Anforderung abgelehnt. Die Stammzertifizierungsstelle muss in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten sein. Wenn ein Zertifikat ohne vollständige Kette präsentiert wird, funktionieren die in diesem Zertifikat enthaltenen Anforderungen nicht wie erwartet.
- Allgemeiner Name: Der allgemeine Name des Zertifikats muss mit der in Azure Front Door konfigurierten Domäne übereinstimmen.
- Algorithmus: Azure Front Door unterstützt keine Zertifikate mit Elliptic Curve Cryptography-Algorithmen.
- Dateityp (Inhalt): Ihr Zertifikat muss aus einer PFX-Datei, die den Inhaltstyp
application/x-pkcs12verwendet, in Ihren Schlüsseltresor hochgeladen werden.
Importieren eines Zertifikats in Azure Key Vault
Benutzerdefinierte Zertifikate müssen in Azure Key Vault importiert werden, bevor sie mit Azure Front Door verwendet werden können. Informationen zum Importieren eines Zertifikats in einen Schlüsseltresor finden Sie unter Tutorial: Importieren eines Zertifikats in Azure Key Vault.
Der Schlüsseltresor muss sich im selben Azure-Abonnement wie Ihr Azure Front Door-Profil befinden.
Warnung
Azure Front Door unterstützt nur Schlüsseltresore im selben Abonnement wie das Front Door-Profil. Das Auswählen eines Schlüsseltresors in einem anderen Abonnement als dem Ihres Azure Front Door-Profils führt zu einem Fehler.
Zertifikate müssen als Zertifikat-Objekt und nicht als Geheimnis hochgeladen werden.
Gewähren des Zugriffs auf Azure Front Door
Azure Front Door muss Zugriff auf Ihren Schlüsseltresor haben, um Ihr Zertifikat lesen zu können. Sie müssen sowohl die Netzwerkfirewall des Schlüsseltresors als auch die Zugriffssteuerung des Tresors konfigurieren.
Wenn für Ihren Schlüsseltresor Netzwerkzugriffseinschränkungen aktiviert sind, müssen Sie Ihren Schlüsseltresor so konfigurieren, dass vertrauenswürdige Microsoft-Dienste die Firewall umgehen können.
Es gibt zwei Möglichkeiten, die Zugriffssteuerung für Ihren Schlüsseltresor zu konfigurieren:
- Azure Front Door kann eine verwaltete Identität verwenden, um auf Ihren Schlüsseltresor zuzugreifen. Sie können diesen Ansatz verwenden, wenn Ihr Schlüsseltresor die Microsoft Entra-Authentifizierung verwendet. Weitere Informationen finden Sie unter Verwenden von verwalteten Identitäten mit Azure Front Door Standard/Premium.
- Alternativ können Sie dem Dienstprinzipal von Azure Front Door Zugriff auf Ihren Schlüsseltresor gewähren. Sie können diesen Ansatz verwenden, wenn Sie Tresorzugriffsrichtlinien verwenden.
Hinzufügen Ihres benutzerdefinierten Zertifikats zu Azure Front Door
Nachdem Sie Ihr Zertifikat in einen Schlüsseltresor importiert haben, erstellen Sie eine Azure Front Door-Geheimnisressource, die ein Verweis auf das Zertifikat ist, das Sie Ihrem Schlüsseltresor hinzugefügt haben.
Konfigurieren Sie dann Ihre Domäne so, dass das Azure Front Door-Geheimnis für das TLS-Zertifikat verwendet wird.
Eine geführte exemplarische Vorgehensweise zu diesen Schritten finden Sie unter Konfigurieren von HTTPS in einer benutzerdefinierten Azure Front Door-Domäne mithilfe des Azure-Portal.
Wechseln zwischen Zertifikattypen
Sie können eine Domäne zwischen der Verwendung eines von Azure Front Door verwalteten Zertifikats und eines benutzerseitig verwalteten Zertifikats ändern.
- Es kann bis zu einer Stunde dauern, bis das neue Zertifikat bereitgestellt wird, wenn Sie zwischen Zertifikattypen wechseln.
- Wenn Ihr Domänenstatus Genehmigt lautet, verursacht das Wechseln des Zertifikattyps zwischen einem benutzerseitig verwalteten und einem verwalteten Zertifikat keine Ausfallzeiten.
- Wenn Sie zu einem verwalteten Zertifikat wechseln, verwendet Azure Front Door weiterhin das vorherige Zertifikat, bis der Domänenbesitz erneut überprüft wurde und sich der Domänenstatus in Genehmigt ändert.
- Wenn Sie von BYOC auf ein verwaltetes Zertifikat umstellen, ist eine erneute Überprüfung der Domäne erforderlich. Wenn Sie von einem verwalteten Zertifikat auf BYOC umstellen, müssen Sie die Domäne nicht erneut überprüfen.
Zertifikaterneuerung
Erneuern von Azure Front Door-seitig verwalteten Zertifikate
Für die meisten benutzerdefinierten Domänen erneuern (rotiert) Azure Front Door verwaltete Zertifikate automatisch kurz vor dem Ablaufen, und Sie müssen nichts tun.
In den folgenden Szenarien rotiert Azure Front Door jedoch Zertifikate nicht automatisch:
- Der CNAME-Eintrag der benutzerdefinierten Domäne verweist auf einen anderen DNS-Eintrag als die Domäne Ihres Azure Front Door-Endpunkts.
- Die benutzerdefinierte Domäne verweist über eine Kette auf den Azure Front Door-Endpunkt. Wenn Ihr DNS-Eintrag beispielsweise auf Azure Traffic Manager verweist, der wiederum in Azure Front Door aufgelöst wird, lautet die CNAME-Kette
contoso.comCNAME incontoso.trafficmanager.netCNAME incontoso.z01.azurefd.net. Azure Front Door kann nicht die gesamte Kette überprüfen. - Die benutzerdefinierte Domäne verwendet einen A-Eintrag. Es wird empfohlen, immer einen CNAME-Eintrag zu verwenden, um auf Azure Front Door zu verweisen.
- Die benutzerdefinierte Domäne ist eine Apex-Domäne und verwendet die CNAME-Vereinfachung.
Wenn eines der oben genannten Szenarien für Ihre benutzerdefinierte Domäne gilt, wird der Domänenüberprüfungsstatus 45 Tage vor Ablauf des verwalteten Zertifikats in Erneute Überprüfung ausstehend geändert. Der Status Erneute Überprüfung steht aus gibt an, dass Sie einen neuen DNS-TXT-Eintrag erstellen müssen, um Ihren Domänenbesitz erneut zu überprüfen.
Hinweis
DNS-TXT-Einträge laufen nach sieben Tagen ab. Wenn Sie ihrem DNS-Server zuvor einen TXT-Eintrag für die Domänenüberprüfung hinzugefügt haben, müssen Sie ihn durch einen neuen TXT-Eintrag ersetzen. Stellen Sie sicher, dass Sie den neuen Wert verwenden, da der Domänenüberprüfungsprozess andernfalls fehlschlägt.
Wenn Ihre Domäne nicht überprüft werden kann, wird der Domänenüberprüfungsstatus zu Abgelehnt. Dieser Status gibt an, dass die Zertifizierungsstelle die Anforderung für die erneute Ausstellung eines verwalteten Zertifikats abgelehnt hat.
Weitere Informationen zu den Domänenüberprüfungsstatus finden Sie unter Domänenüberprüfungsstatus.
Erneuern von Azure-seitig verwalteten Zertifikate für Domänen, die von anderen Azure-Diensten vorab überprüft wurden
Von Azure verwaltete Zertifikate werden automatisch von dem Azure-Dienst rotiert, der die Domäne überprüft.
Erneuern von kundenseitig verwalteten TLS-Zertifikaten
Wenn Sie das Zertifikat in Ihrem Schlüsseltresor aktualisieren, kann Azure Front Door das aktualisierte Zertifikat automatisch erkennen und verwenden. Damit diese Funktionalität funktioniert, legen Sie die Geheimnisversion auf „Latest“ (Neueste) fest, wenn Sie Ihr Zertifikat in Azure Front Door konfigurieren.
Wählen Sie eine bestimmte Version Ihres Zertifikats aus, müssen Sie die neue Version manuell erneut auswählen, wenn Sie Ihr Zertifikat aktualisieren.
Es dauert bis zu 72 Stunden, bis die neue Version des Zertifikats/Geheimnisses automatisch bereitgestellt wird.
Wenn Sie die Geheimnisversion von „Neueste“ in eine angegebene Version oder umgekehrt ändern möchten, fügen Sie ein neues Zertifikat hinzu.
Sicherheitsrichtlinien
Sie können die Web Application Firewall (WAF) von Azure Front Door verwenden, um Anforderungen an Ihre Anwendung auf Bedrohungen zu überprüfen und andere Sicherheitsanforderungen durchzusetzen.
Um die WAF mit einer benutzerdefinierten Domäne zu nutzen, verwenden Sie eine Azure Front Door-Sicherheitsrichtlinienressource. Eine Sicherheitsrichtlinie ordnet eine Domäne einer WAF-Richtlinie zu. Sie können optional mehrere Sicherheitsrichtlinien erstellen, sodass Sie unterschiedliche WAF-Richtlinien mit verschiedenen Domänen verwenden können.
Nächste Schritte
- Informationen zum Hinzufügen einer benutzerdefinierten Domäne zu Ihrem Azure Front Door-Profil finden Sie unter Konfigurieren einer benutzerdefinierten Domäne in Azure Front Door mithilfe des Azure-Portals.
- Erfahren Sie mehr über End-to-End-TLS mit Azure Front Door.