Tutorial: Configuración de HTTPS en un dominio personalizado de Azure CDN

En este tutorial se muestra cómo habilitar el protocolo HTTPS en un dominio personalizado asociado a un punto de conexión de Azure CDN.

El protocolo HTTPS en el dominio personalizado (por ejemplo, https://www.contoso.com), garantiza que los datos confidenciales se entreguen de manera segura mediante TLS/SSL. Cuando el explorador web se conecta a través de HTTPS, el explorador valida el certificado del sitio web. El explorador comprueba que está emitido por una entidad de certificación legítima. Este proceso aporta seguridad y protege las aplicaciones web de posibles ataques.

Azure CDN admite HTTPS en un punto de conexión de CDN de manera predeterminada. Por ejemplo, si crea un punto de conexión de CDN (como https://contoso.azureedge.net), HTTPS se habilita de manera automática.

Algunos de los atributos clave de la característica de HTTPS personalizado son:

  • Sin costo adicional: la adquisición o renovación de certificados no tiene costos y el tráfico HTTPS no supone un costo adicional. Solo es preciso pagar por los GB de salida de la red CDN.

  • Habilitación simple: el aprovisionamiento en un solo clic está disponible desde Azure Portal. También puede utilizar la API de REST u otras herramientas de desarrollo para habilitar la característica.

  • La administración completa de certificados está disponible:

    • toda la adquisición y administración de certificados se controla de manera automática.
    • Los certificados se aprovisionan y renuevan automáticamente antes de su expiración.

En este tutorial, aprenderá a:

  • Habilitar el protocolo HTTPS en su dominio personalizado
  • Usar un certificado administrado por CDN
  • Usar su propio certificado
  • Validar el dominio
  • Deshabilitar el protocolo HTTPS en su dominio personalizado

Prerrequisitos

Nota

Este artículo se ha actualizado para usar el módulo Az de Azure PowerShell. El módulo Az de PowerShell es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Para poder completar los pasos de este tutorial, cree un perfil de CDN y al menos un punto de conexión de CDN. Para más información, consulte Inicio rápido: Creación de un perfil y un punto de conexión de Azure CDN.

Asocie un dominio personalizado de Azure CDN en el punto de conexión de CDN. Para más información, consulte el Tutorial: Incorporación de un dominio personalizado a un punto de conexión de Azure CDN.

Importante

Los certificados administrados por CDN no están disponibles para dominios raíz o de Apex. Si el dominio personalizado de Azure CDN es un dominio raíz o de Apex, debe usar la característica Traiga su propio certificado.


Certificados TLS/SSL

Para habilitar HTTPS en un dominio personalizado de Azure CDN, use un certificado TLS/SSL. Puede usar un certificado que Azure CDN administre o usar su propio certificado.

Azure CDN controla las tareas de administración de certificados, como la adquisición y renovación. Después de habilitar la característica, el proceso se inicia inmediatamente.

Si el dominio personalizado ya está asignado al punto de conexión de CDN, no es necesario realizar ninguna otra acción. Azure CDN procesa los pasos y completa su solicitud automáticamente.

Si su dominio personalizado se asigna en otra parte, use el correo electrónico para validar la propiedad del dominio.

Para habilitar HTTPS en un dominio personalizado, siga estos pasos:

  1. Vaya a Azure Portal para buscar un certificado administrado por Azure CDN. Busque y seleccione Perfiles de CDN.

  2. Elija el perfil:

    • Azure CDN Estándar de Microsoft
    • Azure CDN Estándar de Akamai
    • Azure CDN estándar de Verizon
    • Azure CDN premium de Verizon
  3. En la lista de puntos de conexión de CDN, haga clic en el que contiene el dominio personalizado.

    Lista de puntos de conexión

    Aparece la página Punto de conexión.

  4. En la lista de dominios personalizados, seleccione el dominio personalizado para el que desea habilitar HTTPS.

    La captura de pantalla muestra la página de dominio personalizado, con la opción para usar un certificado propio.

    Aparece la página Dominio personalizado.

  5. En el tipo de administración de certificados, seleccione Certificate management type (Administrado por CDN).

  6. Seleccione On (Activado) para habilitar HTTPS.

    Estado de HTTPS de dominio personalizado

  7. Continúe y valide el dominio.

Validar el dominio

Si ya tiene un dominio personalizado en uso asignado a su punto de conexión personalizado con un registro CNAME o usa su propio certificado, continúe con El dominio personalizado está asignado al punto de conexión de CDN.

En caso contrario, si la entrada del registro CNAME del punto de conexión ya no existe o no contiene el subdominio cdnverify, continúe con El dominio personalizado no está asignado al punto de conexión de CDN.

El dominio personalizado está asignado al punto de conexión de CDN mediante un registro CNAME

Cuando agrega un dominio personalizado a su punto de conexión, crea un registro CNAME en el registrador de dominios de DNS asignado a su nombre de host del punto de conexión de CDN.

Si el registro CNAME aún existe, pero no contiene el subdominio cdnverify, la CA DigiCert lo usa para validar automáticamente la titularidad de su dominio personalizado.

Si usa su propio certificado, no se requiere la validación del dominio.

El registro CNAME debería tener el siguiente formato:

  • Nombre es el nombre del dominio personalizado.
  • Valor es el nombre de host del punto de conexión de CDN.
Nombre Tipo Value
<www.contoso.com> CNAME contoso.azureedge.net

Para obtener más información sobre los registros CNAME, consulte Creación de los registros DNS de CNAME.

Si el registro CNAME tiene el formato correcto, DigiCert automáticamente comprueba su nombre de dominio personalizado y crea un certificado para el dominio. DigitCert no enviará un correo electrónico de comprobación, y usted no tendrá que aprobar la solicitud. El certificado tiene una validez de un año y se renovará automáticamente antes de expirar. Continúe con Esperar a la propagación.

La validación automática suele tardar unas horas. Si no ve su dominio validado en 24 horas, abra una incidencia de soporte técnico.

Nota

Si tiene un registro de autorización de entidad de certificación (CAA) con el proveedor de DNS, debe incluir DigiCert como entidad de certificación válida. Un registro CAA permite que los propietarios de dominios especifiquen con sus proveedores de DNS qué entidades de certificación están autorizadas para emitir certificados para su dominio. Si una entidad de certificación recibe un pedido de un certificado para un dominio que posee un registro CAA y dicha entidad no figura como emisor autorizado, no se le permite emitir el certificado para ese dominio o subdominio. Para obtener información acerca de cómo administrar registros de CAA, consulte Manage CAA records (Administrar registros de CAA). Para obtener una herramienta de registros de CAA, consulte CAA Record Helper (Asistente de registros de CAA).

El dominio personalizado no está asignado al punto de conexión de CDN

Nota

Si usa Azure CDN de Akamai, debe configurar la entrada CNAME siguiente para habilitar la validación automatizada de dominios. "_acme-challenge.<host de dominio personalizado> -> CNAME -> <host de dominio personalizado>.ak-acme-challenge.azureedge.net"

Si la entrada del registro CNAME contiene el subdominio cdnverify, siga el resto de las instrucciones que aparecen en este paso.

DigiCert envía un correo electrónico de comprobación a las siguientes direcciones de correo electrónico. Compruebe que puede realizar las aprobaciones directamente desde una de las siguientes direcciones:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Debería recibir un correo electrónico en unos minutos para aprobar la solicitud. Si utiliza un filtro de correo no deseado, agregue verification@digicert.com a la lista de permitidos. Si no recibe un correo electrónico en 24 horas, póngase en contacto con el equipo de soporte técnico de Microsoft.

Correo electrónico de validación del dominio

Al seleccionar el vínculo de aprobación, se le conducirá al siguiente formulario de aprobación en línea:

Formulario de validación del dominio

Siga las instrucciones que aparecen en el formulario; tiene dos opciones de comprobación:

  • Puede aprobar todos los pedidos futuros realizados a través de la misma cuenta del mismo dominio raíz, por ejemplo, contoso.com. Se recomienda este método si piensa agregar más dominios personalizados al mismo dominio raíz.

  • Puede aprobar solo el nombre de host específico usado en esta solicitud. Se requiere otra aprobación para las solicitudes posteriores.

Tras la aprobación, DigiCert completa la creación del certificados para el nombre de dominio personalizado. El certificado tiene una validez de un año y se renovará automáticamente antes de expirar.

Esperar a la propagación

Una vez que el nombre de dominio se valide, la característica HTTPS del dominio personalizado tarda entre 6 y 8 horas en estar activa. Una vez completado el proceso, el estado en el cuadro de diálogo "Personalizar HTTPS" de Azure Portal cambia a Habilitado. Los cuatro pasos de la operación del cuadro de diálogo Dominio personalizado se marcan como completados. El dominio personalizado ahora está listo para usar HTTPS.

Cuadro de diálogo Habilitar HTTPS

Progreso de la operación

En la tabla siguiente se muestra el progreso de la operación que se produce cuando se habilita HTTPS. Después de habilitar HTTPS, los cuatro pasos de la operación aparecen en el cuadro de diálogo del dominio personalizado. A medida que se activa cada paso, aparecen detalles de subpasos adicionales bajo el paso. No se producirán todos estos subpasos. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.

Paso de la operación Detalles del subpaso de la operación
1 Envío de la solicitud Envío de la solicitud
Se está enviando la solicitud HTTPS.
Se ha enviado correctamente la solicitud HTTPS.
2 Validación del dominio El dominio se valida automáticamente si está asignado por CNAME al punto de conexión de CDN. En caso contrario, se enviará una solicitud de verificación al correo electrónico que aparece en el registro de su dominio (registrante WHOIS).
La propiedad del dominio se ha validado correctamente.
La solicitud de validación de la propiedad del dominio ha expirado (el cliente probablemente no respondió dentro del plazo de 6 días). HTTPS no se habilitará en el dominio. *
El cliente rechazó la solicitud de validación de la propiedad del dominio. HTTPS no se habilitará en el dominio. *
3 Aprovisionamiento del certificado La entidad de certificación está emitiendo actualmente el certificado necesario para habilitar HTTPS en el dominio.
El certificado se ha emitido y actualmente se está implementando en la red CDN. Esto puede tardar hasta 6 horas.
El certificado se ha implementado correctamente en la red CDN.
4 Finalizado Se habilitó correctamente HTTPS en el dominio.

* Este mensaje no aparecerá a menos que se haya producido un error.

Si se produce un error antes de que se envíe la solicitud, verá el mensaje de error siguiente:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Clean up resources - disable HTTPS (Limpiar recursos: deshabilitar HTTPS)

En esta sección, aprenderá a deshabilitar HTTPS para el dominio personalizado.

Deshabilitación de la característica HTTPS

  1. En Azure Portal, busque y seleccione Perfiles de CDN.

  2. Elija el perfil Azure CDN estándar de MIcrosoft, Azure CDN estándar de Verizon o Azure CDN prémium de Verizon.

  3. En la lista de puntos de conexión, escoja el que contenga el dominio personalizado.

  4. Elija el dominio personalizado en el que desea deshabilitar HTTPS.

    Lista de dominios personalizados

  5. Elija Desactivar para deshabilitar HTTPS y haga clic en Aplicar.

    Cuadro de diálogo Personalizar HTTPS

Esperar a la propagación

Cuando se deshabilita la característica HTTPS del dominio personalizado, puede tardar hasta 6 a 8 horas para que surta efecto. Una vez completado el proceso, el estado en el cuadro de diálogo "Personalizar HTTPS" de Azure Portal cambia a Deshabilitado. Los tres pasos de la operación del cuadro de diálogo Dominio personalizado se marcan como completados. El dominio personalizado ya no usa HTTPS.

Cuadro de diálogo Deshabilitar HTTPS

Progreso de la operación

En la tabla siguiente se muestra el progreso de la operación que se produce cuando se deshabilita HTTPS. Después de deshabilitar HTTPS, los tres pasos de la operación aparecen en el cuadro de diálogo Dominio personalizado. A medida que se activa cada paso, aparecen más detalles bajo el paso. Después de que un paso se completa correctamente, aparece una marca de verificación verde junto a él.

Progreso de la operación Detalles de la operación
1 Envío de la solicitud Enviando la solicitud
2 Desaprovisionamiento del certificado Eliminando certificado
3 Finalizado Certificado eliminado

Preguntas más frecuentes

  1. ¿Quién es el proveedor de certificados y qué tipo de certificado se utiliza?

    Se usa un certificado dedicado, que proporciona Digicert, para el dominio personalizado de:

    • Azure CDN de Verizon
    • Azure CDN de Microsoft
  2. ¿Usa TLS/SSL basado en IP o SNI?

    Tanto Azure CDN de Verizon como Azure CDN estándar de Microsoft usan TLS/SSL de SNI.

  3. ¿Qué debo hacer si no recibo el correo electrónico de comprobación de dominio de DigiCert?

    Si no usa el subdominio cdnverify y la entrada CNAME es para el nombre de host del punto de conexión, no recibirá un correo electrónico de comprobación de dominio.

    La validación se produce automáticamente. En caso contrario, si no tiene una entrada CNAME y no ha recibido un correo electrónico en 24 horas, póngase en contacto con el servicio de soporte técnico de Microsoft.

  4. ¿Son menos seguros los certificados SAN que los certificados dedicados?

    Los certificados SAN siguen los mismos estándares de cifrado y seguridad que los certificados dedicados. Todos los certificados TLS/SSL emitidos usan SHA-256 para mejorar la seguridad del servidor.

  5. ¿Necesito un registro de autorización de entidad de certificación con mi proveedor de DNS?

    Actualmente no se requiere un registro de autorización de entidad de certificación. Pero si tiene uno, debe incluir DigiCert como entidad de certificación válida.

  6. El 20 de junio de 2018, Azure CDN de Verizon comenzó a usar un certificado dedicado con TLS/SSL de SNI de forma predeterminada. ¿Qué sucede con los dominios personalizados existentes que usan certificados de nombre alternativo del firmante (SAN) TLS/SSL basado en IP?

    En los próximos meses, los dominios existentes se migrarán gradualmente a un único certificado si Microsoft analiza que solo se realizan solicitudes de cliente SNI a la aplicación.

    Si se detectan clientes que no son SNI, los dominios permanecen en el certificado SAN con TLS/SSL basado en IP. Las solicitudes al servicio o a los clientes que no sean SNI no se verán afectadas.

  7. Funcionamiento de la renovación de certificados con Bring Your Own Certificate

    Para asegurarse de que se implementa un certificado más reciente en la infraestructura de PoP, cargue el nuevo certificado en Azure Key Vault. En la configuración de TLS en Azure CDN, elija la versión más reciente del certificado y seleccione Guardar. Azure CDN propagará el nuevo certificado actualizado.

  8. ¿Es necesario volver a habilitar HTTPS después de reiniciar el punto de conexión?

    Sí. Si usa Azure CDN de Akamai, si el punto de conexión se detiene y se reinicia, debe volver a habilitar la configuración de HTTPS si el valor estaba activo antes.

Pasos siguientes

En este tutorial, ha aprendido a:

  • Habilitar el protocolo HTTPS en su dominio personalizado
  • Usar un certificado administrado por CDN
  • Usar su propio certificado
  • Validar el dominio
  • Deshabilitar el protocolo HTTPS en su dominio personalizado

Avance al siguiente tutorial para aprender a configurar el almacenamiento en caché en el punto de conexión de CDN.