Configuración de HTTPS en un dominio personalizado de Front Door (clásico)
Importante
Azure Front Door (clásico) se retirará el 31 de marzo de 2027. Para evitar cualquier interrupción del servicio, es importante migrar los perfiles de Azure Front Door (clásico) al nivel Estándar o Premium de Azure Front Door en marzo de 2027. Para más información, consulte retirada de Azure Front Door (clásico).
En este artículo se muestra cómo habilitar el protocolo HTTPS en un dominio personalizado asociado a una instancia de Front Door (clásico) en la sección de hosts de front-end. Mediante el protocolo HTTPS en el dominio personalizado (por ejemplo, https://www.contoso.com), se garantiza que los datos confidenciales se entregan de manera segura a través del cifrado TLS/SSL cuando se envían por Internet. Cuando el explorador web se conecta a un sitio web a través de HTTPS, valida el certificado de seguridad del sitio web y comprueba si lo ha emitido una entidad de certificación legítima. Este proceso aporta seguridad y protege las aplicaciones web de posibles ataques malintencionados.
De forma predeterminada, Azure Front Door admite HTTPS en el nombre de host predeterminado de una instancia de Front Door. Por ejemplo, si crea una instancia de Front Door (como https://contoso.azurefd.net), HTTPS se habilita automáticamente para las solicitudes realizadas a https://contoso.azurefd.net. Sin embargo, una vez incorporado el dominio personalizado "www.contoso.com", deberá habilitar además HTTPS para este host de front-end.
Algunos de los atributos clave de la característica de HTTPS personalizado son:
Sin costo adicional: la adquisición o renovación de certificados no tiene costos y el tráfico HTTPS no supone un costo adicional.
Habilitación simple: el aprovisionamiento en un solo clic está disponible desde Azure Portal. También puede utilizar la API de REST u otras herramientas de desarrollo para habilitar la característica.
La administración completa de certificados está disponible: toda la adquisición y administración de certificados se controla de manera automática. Los certificados se aprovisionan y se renuevan automáticamente antes de la expiración, lo que elimina los riesgos de interrupción del servicio debido a la expiración de un certificado.
En este tutorial, aprenderá a:
- Habilitar el protocolo HTTPS en su dominio personalizado
- Usar un certificado administrado por AFD
- Usar su propio certificado, es decir, un certificado TLS/SSL personalizado
- Validar el dominio
- Deshabilitar el protocolo HTTPS en su dominio personalizado
Nota
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Requisitos previos
Para poder completar los pasos de este tutorial, primero debe crear una instancia de Front Door e incorporar al menos un dominio personalizado. Para más información, consulte el Tutorial: Incorporación de un dominio personalizado a Front Door.
Certificados TLS/SSL
Para habilitar el protocolo HTTPS para entregar contenido en un dominio personalizado de Front Door (clásico) de forma segura, debe usar un certificado TLS/SSL. Puede usar un certificado que esté administrado por Azure Front Door o usar su propio certificado.
Opción 1 (valor predeterminado): use un certificado administrado por Front Door
Cuando usa un certificado administrado por Azure Front Door, la característica HTTPS se puede activar con solo unos pocos valores. Azure Front Door administra completamente las tareas de administración de certificados, como adquisición y renovación. Después de habilitar la característica, el proceso se inicia inmediatamente. Si el dominio personalizado ya está asignado al host de front-end predeterminado de Front Door ({hostname}.azurefd.net), no es necesario realizar ninguna otra acción. Front Door procesa los pasos y completa la solicitud automáticamente. Sin embargo, si su dominio personalizado se asigna en otra parte, debe usar el correo electrónico para validar la propiedad del dominio.
Para habilitar HTTPS en un dominio personalizado, siga estos pasos:
En Azure Portal, vaya a su perfil de Front Door.
En la lista de hosts de front-end, seleccione el dominio personalizado donde desea habilitar HTTPS para que contenga el dominio personalizado.
En la sección Custom domain HTTPS (HTTPS de dominio personalizado), seleccione Enabled (Habilitado) y Front Door managed (Front Door administrado) como origen del certificado.
Seleccione Guardar.
Continúe y valide el dominio.
Nota
- En el caso de los certificados administrados por Azure Front Door, se aplica el límite de 64 caracteres de DigiCert. Se producirá un error de validación si se supera ese límite.
- No se admite la habilitación de HTTPS mediante un certificado administrado por Front Door (por ejemplo: contoso.com) para los dominios apex o raíz. Puede usar su propio certificado para este escenario. Continúe con la opción 2 para obtener más detalles.
Opción 2: Usar su propio certificado
Puede usar su propio certificado para habilitar la característica HTTPS. Este proceso se realiza a través de una integración con Azure Key Vault, lo cual permite almacenar de forma segura los certificados. Azure Front Door usa este mecanismo de seguridad para obtener el certificado y requiere algunos pasos adicionales. Al crear el certificado TLS/SSL, tiene que crear una cadena de certificados completa con una entidad de certificación (CA) permitida que forme parte de la lista de CA de confianza de Microsoft. Si usa una CA no permitida, la solicitud se rechaza. Si se presenta un certificado sin una cadena completa, no se garantiza que las solicitudes que involucran ese certificado funcionen según lo previsto.
Preparación del almacén de claves y el certificado
Debe tener una cuenta de Key Vault en la misma suscripción de Azure que la puerta principal. Cree una cuenta de Key Vault si no tiene una.
Advertencia
Azure Front Door actualmente solo admite cuentas de Key Vault en la misma suscripción que la configuración de Front Door. Si elige un almacén de claves en una suscripción diferente que la de Front Door, obtendrá un error.
Si el almacén de claves tiene habilitadas restricciones de acceso a la red, debe configurar el almacén de claves para permitir que los servicios de Microsoft de confianza eludan el firewall.
El almacén de claves debe configurarse para usar el modelo de permisos de la directiva de acceso de Key Vault.
Si ya tiene un certificado, puede cargarlo directamente en el almacén de claves. De lo contrario, cree uno directamente mediante Azure Key Vault a partir de una de las entidades de certificación asociadas con las que se integra Azure Key Vault. Cargue el certificado como un objeto de certificado en lugar de como un secreto.
Nota
Front Door no admite certificados con algoritmos de criptografía de curva elíptica (EC). El certificado debe tener una cadena de certificados completa con certificados de hoja e intermedios, y la CA raíz debe formar parte de la lista de CA de confianza de Microsoft.
Registro en Azure Front Door
Registre la entidad de servicio para Azure Front Door como aplicación en Microsoft Entra ID mediante Azure PowerShell o la CLI de Azure.
Nota:
- Esta acción requiere al menos permisos de rol administrador de aplicaciones en Microsoft Entra ID. El registro solo debe realizarse una vez por inquilino de Microsoft Entra.
- Azure asigna el identificador de aplicación específicamente para Azure Front Door (clásico).
- Azure Front Door (clásico) tiene un Id. de aplicación diferente al nivel Estándar o Premium de Azure Front Door.
- El rol asignado solo es para la suscripción seleccionada a menos que defina un ámbito diferente.
Azure PowerShell
Si es necesario, instale Azure PowerShell en PowerShell en la máquina local.
En PowerShell, ejecute el siguiente comando:
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Azure CLI
Si es preciso, instale la CLI de Azure en el equipo local.
En CLI, ejecute el siguiente comando:
az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037
Concesión a Azure Front Door de acceso al almacén de claves
Conceda a Azure Front Door permisos para acceder a los certificados de la cuenta de Azure Key Vault.
En la cuenta del almacén de claves, seleccione Directivas de acceso.
Seleccione Crear para crear una directiva de acceso.
En Permisos de secretos, seleccione Obtener para permitir que Front Door recupere el certificado.
En Permisos de certificado, seleccione Obtener para permitir que Front Door recupere el certificado.
En Seleccionar la entidad de seguridad, busque ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 y elija Microsoft.Azure.Frontdoor. Seleccione Next (Siguiente).
En Aplicación, seleccione Siguiente.
En Revisar y crear, seleccione Crear.
Nota
Si el almacén de claves está protegido mediante restricciones de acceso a la red, asegúrese de permitir que los servicios Microsoft de confianza accedan a este.
Azure Front Door puede acceder ahora a este almacén de claves y a los certificados que contiene.
Selección del certificado de Azure Front Door que se va a implementar
Vuelva a su instancia de Front Door en el portal.
En la lista de dominios personalizados, seleccione el dominio personalizado para el que desea habilitar HTTPS.
Aparece la página Dominio personalizado.
En el tipo de administración de certificados, seleccione Use my own certificate (Usar mi propio certificado).
Azure Front Door requiere que la suscripción de la cuenta de Key Vault sea la misma que la de la puerta de entrada. Seleccione un almacén de claves, un secreto y una versión del secreto.
Azure Front Door muestra la siguiente información:
- Las cuentas del almacén de claves de su identificador de suscripción.
- Los secretos en el almacén de claves seleccionado.
- Las versiones de secreto disponibles.
Nota
Para que el certificado se rote automáticamente a la versión más reciente cuando haya disponible una versión más reciente del certificado en el Key Vault, establezca la versión del secreto en "latest". Si se selecciona una versión específica, tendrá que volver a seleccionar la nueva versión manualmente para la rotación de certificados. La nueva versión del certificado o el secreto tarda entre 72 y 96 horas en implementarse.
Advertencia
Se trata de una advertencia solo de Azure Portal. Debe configurar la entidad de servicio para que tenga un permiso GET en la instancia de Key Vault. Para que un usuario vea el certificado en la lista desplegable del portal, la cuenta de usuario debe tener permisos LIST y GET en Key Vault. Si un usuario no tiene estos permisos, verá un mensaje de error inaccesible en el portal. Un mensaje de error inaccesible no afecta a la rotación automática del certificado ni a ninguna función HTTPS. No se requieren acciones para este mensaje de error si no tiene previsto realizar cambios en el certificado o en la versión. Si quiere cambiar la información de esta página, consulte Proporcionar permiso para Key Vault para agregar su cuenta al permiso LIST y GET de Key Vault.
Si usa su propio certificado, no se requiere la validación del dominio. Continúe con Esperar a la propagación.
Validar el dominio
Si ya tiene un dominio personalizado en uso asignado a su punto de conexión personalizado con un registro CNAME o usa su propio certificado, continúe con El dominio personalizado está asignado a la instancia de Front Door mediante un registro CNAME. En caso contrario, si la entrada de registro CNAME para el dominio ya no existe o contiene el subdominio afdverify, continúe con El dominio personalizado no está asignado a su instancia de Front Door.
El dominio personalizado está asignado a la instancia de Front Door mediante un registro CNAME
Cuando agregó un dominio personalizado a los hosts de front-end de Front Door, creó un registro CNAME en la tabla DNS de su registrador de dominios para asignarlo al nombre de host .azurefd.net predeterminado de Front Door. Si ese registro CNAME todavía existe, pero no contiene el subdominio afdverify, la entidad de certificación DigiCert lo usa para validar la titularidad de su dominio personalizado.
Si usa su propio certificado, no se requiere la validación del dominio.
El registro CNAME debe tener el formato siguiente, donde Nombre es el nombre de dominio personalizado y Valor es el nombre de host .azurefd.net predeterminado de Front Door:
| Nombre | Tipo | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Para obtener más información sobre los registros CNAME, consulte Creación de los registros DNS de CNAME.
Si el registro CNAME tiene el formato correcto, DigiCert automáticamente comprueba su nombre de dominio personalizado y crea un certificado dedicado para el nombre de dominio. DigitCert no envía un correo electrónico de comprobación, y usted no tiene que aprobar la solicitud. El certificado tiene una validez de un año y se renueva automáticamente antes de expirar. Continúe con Esperar a la propagación.
La validación automática suele tarda unos minutos. Si no ve su dominio validado en una hora, abra una incidencia de soporte técnico.
Nota
Si tiene un registro de autorización de entidad de certificación (CAA) con el proveedor de DNS, debe incluir DigiCert como entidad de certificación válida. Un registro CAA permite que los propietarios de dominios especifiquen con sus proveedores de DNS qué entidades de certificación están autorizadas para emitir certificados para su dominio. Si una entidad de certificación recibe un pedido de un certificado para un dominio que posee un registro CAA y dicha entidad no figura como emisor autorizado, no se le permite emitir el certificado para ese dominio o subdominio. Para obtener información acerca de cómo administrar registros de CAA, consulte Manage CAA records (Administrar registros de CAA). Para obtener una herramienta de registros de CAA, consulte CAA Record Helper (Asistente de registros de CAA).
El dominio personalizado no está asignado a su instancia de Front Door
Si la entrada del registro CNAME para el punto de conexión ya no existe o contiene el subdominio afdverify, siga el resto de las instrucciones que aparecen en este paso.
Después de habilitar HTTPS en un dominio personalizado, la entidad de certificación DigiCert valida la propiedad del dominio, para lo que se pondrá en contacto con el usuario inscrito, según la información de WHOIS del dominio. El contacto se realiza a través de la dirección de correo electrónico (de forma predeterminada) o el número de teléfono que aparece en el registro WHOIS. Para que HTTPS pueda activarse en un dominio personalizado, antes es preciso completar la validación del dominio. Dispone de seis días laborables para aprobar el dominio. Se cancelarán automáticamente las solicitudes que no estén aprobadas en seis días laborables. La validación de dominios de DigiCert funciona en el nivel de subdominio. Debe demostrar la propiedad de cada subdominio por separado.
DigiCert también envía un correo electrónico de verificación a otras direcciones de correo. Si la información del usuario inscrito de WHOIS es privada, asegúrese de que puede realizar las aprobaciones directamente desde una de las direcciones siguientes:
admin@<your-domain-name.com> administrator@<your-domain-name.com> webmaster@<your-domain-name.com> hostmaster@<your-domain-name.com> postmaster@<your-domain-name.com>
Debería recibir un correo electrónico en unos minutos, de forma similar al ejemplo siguiente, solicitando que apruebe la solicitud. Si utiliza un filtro de correo no deseado, agregue no-reply@digitalcertvalidation.com a la lista de permitidos. En determinados escenarios, es posible que DigiCert no pueda capturar los contactos de dominio de la información del registrador de WHOIS para enviarle un correo electrónico. Si no recibe un correo electrónico en 24 horas, póngase en contacto con el equipo de soporte técnico de Microsoft.
Al seleccionar el vínculo de aprobación, se le conducirá al siguiente formulario de aprobación en línea: Siga las instrucciones que aparecen en el formulario; tiene dos opciones de comprobación:
Puede aprobar todos los pedidos futuros realizados a través de la misma cuenta del mismo dominio raíz, por ejemplo, contoso.com. Se recomienda este método si piensa agregar más dominios personalizados al mismo dominio raíz.
Puede aprobar solo el nombre de host específico usado en esta solicitud. Para las solicitudes posteriores se requiere una aprobación adicional.
Tras la aprobación, DigiCert completa la creación del certificados para el nombre de dominio personalizado. El certificado tiene una validez de un año y se renueva automáticamente antes de expirar.
Esperar a la propagación
Una vez que el nombre de dominio se valide, la característica HTTPS del dominio personalizado tarda entre 6 y 8 horas en estar activa. Una vez completado el proceso, el estado de HTTPS personalizado en Azure Portal se establece en Habilitado y los cuatro pasos de la operación en el cuadro de diálogo del dominio personalizado se marcan como completados. El dominio personalizado ahora está listo para usar HTTPS.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación que se produce cuando se habilita HTTPS. Después de habilitar HTTPS, los cuatro pasos de la operación aparecen en el cuadro de diálogo del dominio personalizado. A medida que se activa cada paso, aparecen más detalles de subpasos bajo el paso. No se producen todos estos subpasos. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.
| Paso de la operación | Detalles del subpaso de la operación |
|---|---|
| 1. Envío de la solicitud | Envío de la solicitud |
| Se está enviando la solicitud HTTPS. | |
| Se ha enviado correctamente la solicitud HTTPS. | |
| 2. Validación del dominio | El dominio se validará automáticamente si tiene una asignación CNAME al host de front-end .azurefd.net predeterminado de Front Door. En caso contrario, se envía una solicitud de verificación al correo electrónico que aparece en el registro de su dominio (registrante WHOIS). Compruebe el dominio lo antes posible. |
| La propiedad del dominio se ha validado correctamente. | |
| La solicitud de validación de la propiedad del dominio ha expirado (el cliente probablemente no respondió dentro del plazo de 6 días). HTTPS no se habilitará en el dominio. * | |
| El cliente rechazó la solicitud de validación de la propiedad del dominio. HTTPS no se habilitará en el dominio. * | |
| 3. Aprovisionamiento del certificado | La entidad de certificación está emitiendo actualmente el certificado necesario para habilitar HTTPS en el dominio. |
| El certificado se ha emitido y actualmente se está implementando en Front Door. Este proceso puede tardar de varios minutos a una hora en completarse. | |
| El certificado se ha implementado correctamente en Front Door. | |
| 4. Completar | Se habilitó correctamente HTTPS en el dominio. |
* Este mensaje no aparecerá a menos que se haya producido un error.
Si se produce un error antes de que se envíe la solicitud, verá el mensaje de error siguiente:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Preguntas más frecuentes
¿Quién es el proveedor de certificados y qué tipo de certificado se utiliza?
Se usa un certificado único o dedicado, proporcionado por Digicert, para el dominio personalizado.
¿Usa TLS/SSL basado en IP o SNI?
Azure Front Door usa SNI TLS/SSL.
¿Qué debo hacer si no recibo el correo electrónico de comprobación de dominio de DigiCert?
Si tiene una entrada CNAME para el dominio personalizado, que apunte directamente a su nombre de host del punto de conexión (y no utiliza el nombre del subdominio afdverify), no recibirá un correo electrónico de comprobación de dominio. La validación se produce automáticamente. En caso contrario, si no tiene una entrada CNAME y no ha recibido un correo electrónico en 24 horas, póngase en contacto con el servicio de soporte técnico de Microsoft.
¿Son menos seguros los certificados SAN que los certificados dedicados?
Los certificados SAN siguen los mismos estándares de cifrado y seguridad que los certificados dedicados. Todos los certificados TLS/SSL emitidos usan SHA-256 para mejorar la seguridad del servidor.
¿Necesito un registro de autorización de entidad de certificación con mi proveedor de DNS?
Actualmente no se requiere un registro de autorización de entidad de certificación. Pero si tiene uno, debe incluir DigiCert como entidad de certificación válida.
Limpieza de recursos
En los pasos anteriores, habilitó el protocolo HTTPS en su dominio personalizado. Si ya no desea usar su dominio personalizado con HTTPS, puede deshabilitar HTTPS mediante estos pasos:
Deshabilitación de la característica HTTPS
En Azure Portal, vaya a la configuración de Azure Front Door.
En la lista de hosts de front-end, haga clic en el dominio personalizado en el que desea deshabilitar HTTPS.
Seleccione Deshabilitado para deshabilitar HTTPS y, a continuación, seleccione Guardar.
Esperar a la propagación
Cuando se deshabilita la característica HTTPS del dominio personalizado, puede tardar hasta 6 a 8 horas para que surta efecto. Una vez completado el proceso, el estado de HTTPS personalizado en Azure Portal se establece en Deshabilitado y los tres pasos de la operación en el cuadro de diálogo del dominio personalizado se marcan como completados. El dominio personalizado ya no usa HTTPS.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación que se produce cuando se deshabilita HTTPS. Después de deshabilitar HTTPS, los tres pasos de la operación aparecen en el cuadro de diálogo del dominio personalizado. A medida que cada paso se activa, aparecen detalles adicionales bajo el paso. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.
| Progreso de la operación | Detalles de la operación |
|---|---|
| 1. Envío de la solicitud | Enviando la solicitud |
| 2. Desaprovisionamiento del certificado | Eliminando certificado |
| 3. Completar | Certificado eliminado |
Pasos siguientes
Para obtener información sobre cómo configurar una directiva de filtrado geográfico para Front Door, vaya al siguiente tutorial.