Egyéni tartománynév konfigurálása az Azure API Management-példányhoz

A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint

Amikor létrehoz egy Azure API Management szolgáltatáspéldányt az Azure-felhőben, az Azure egy azure-api.net altartományt rendel hozzá (például apim-service-name.azure-api.net). Az API Management-végpontokat saját egyéni tartománynévvel is elérhetővé teheti, például contoso.com. Ez a cikk bemutatja, hogyan képezhet le meglévő egyéni DNS-nevet egy API Management-példány által közzétett végpontokra.

Fontos

Az API Management csak a gazdagép fejlécértékeivel egyező kéréseket fogad el:

• Az átjáró alapértelmezett tartományneve
• Az átjáró bármely konfigurált egyéni tartományneve

Előfeltételek

• EGY API Management-példány. További információ: Azure API Management-példány létrehozása.

• Egyéni tartománynév, amely Ön vagy a szervezete tulajdonában van. Ez a cikk nem tartalmaz útmutatást az egyéni tartománynév beszerzéséhez.

• Opcionálisan érvényes tanúsítvány nyilvános és titkos kulccsal (. PFX). A tulajdonos vagy tulajdonos alternatív nevének (SAN) meg kell egyeznie a tartománynévvel (így az API Management-példány biztonságosan elérhetővé teheti az URL-címeket a TLS-en keresztül).

  Lásd: Tartománytanúsítvány beállításai.

• A DNS-kiszolgálón tárolt DNS-rekordok az egyéni tartománynévnek az API Management-példány alapértelmezett tartománynevére való leképezéséhez. Ez a témakör nem nyújt útmutatást a DNS-rekordok üzemeltetéséhez.

  A szükséges rekordokról további információt a jelen cikk későbbi, DNS-konfigurációjában talál.

Végpontok egyéni tartományokhoz

Számos API Management-végponthoz rendelhet egyéni tartománynevet. Jelenleg a következő végpontok érhetők el:

Végpont	Alapértelmezett
Átjáró	Az alapértelmezett érték: <apim-service-name>.azure-api.net. Az átjáró az egyetlen elérhető végpont a használatszinten belüli konfigurációhoz. Az alapértelmezett átjáróvégpont-konfiguráció az egyéni átjárótartomány hozzáadása után is elérhető marad.
Fejlesztői portálon	Az alapértelmezett érték a következő: <apim-service-name>.developer.azure-api.net
Felügyelet	Az alapértelmezett érték a következő: <apim-service-name>.management.azure-api.net
Configuration API (v2)	Az alapértelmezett érték a következő: <apim-service-name>.configuration.azure-api.net
SCM	Az alapértelmezett érték a következő: <apim-service-name>.scm.azure-api.net

Megfontolások

• A szolgáltatási szintjén támogatott végpontok bármelyikét frissítheti. Az ügyfelek általában az átjárót (ezzel az URL-címmel hívhatja meg az API Managementen keresztül elérhető API-kat) és a fejlesztői portált (a fejlesztői portál URL-címe) frissítik.
• Az alapértelmezett átjáróvégpont az egyéni átjáró tartománynevének konfigurálása után is elérhető marad, és nem törölhető. Az egyéni tartománynévvel konfigurált egyéb API Management-végpontok (például fejlesztői portál) esetében az alapértelmezett végpont már nem érhető el.
• Felügyeleti és SCM-végpontokat belsőleg csak az API Management-példányok tulajdonosai használhatnak. A rendszer ezekhez a végpontokhoz ritkábban rendel hozzá egyéni tartománynevet.
• A Prémium és a Fejlesztői szintek támogatják a több gazdaeszköznév egy átjáróvégponthoz való beállítását.
• A helyettesítő karakterek tartománynevei, például *.contoso.coma Használat szint kivételével minden szinten támogatottak. Egy adott altartomány-tanúsítvány (például api.contoso.com) elsőbbséget élvez a helyettesítő (*.contoso.com) api.contoso.com kéréseinél.

Tartományi tanúsítvány beállításai

Az API Management támogatja az egyéni TLS-tanúsítványokat és az Azure Key Vaultból importált tanúsítványokat. Ingyenes, felügyelt tanúsítvány is engedélyezhető.

Figyelmeztetés

Ha tanúsítvány-rögzítést igényel, használjon egyéni tartománynevet és egyéni vagy Key Vault-tanúsítványt, ne az alapértelmezett tanúsítványt vagy az ingyenes, felügyelt tanúsítványt. Nem javasoljuk, hogy szigorú függőségben legyen egy olyan tanúsítványtól, amelyet nem Ön kezel.

Szokás

Ha már rendelkezik egy külső szolgáltatótól származó magántanúsítvánnyal, feltöltheti azt az API Management-példányba. Meg kell felelnie az alábbi követelményeknek. (Ha engedélyezi az API Management által felügyelt ingyenes tanúsítványt, az már megfelel ezeknek a követelményeknek.)

• Legyen PFX-fájlként exportált, háromszoros DES-sel titkosított, opcionálisan jelszavas védelemmel ellátott.
• Legalább 2048 bit hosszúságú titkos kulcsot kell tartalmaznia.
• Tartalmazza a tanúsítványláncban lévő összes köztes tanúsítványt és a főtanúsítványt.

Key Vault

Javasoljuk, hogy az Azure Key Vault használatával kezelje a tanúsítványokat , és állítsa őket a következőre autorenew: .

Ha az Azure Key Vaultot használja egy egyéni tartomány TLS-tanúsítványának kezeléséhez, győződjön meg arról, hogy a tanúsítvány tanúsítványként van beszúrva a Key Vaultba, nem titkos kulcsként.

Figyelemfelhívás

Ha key vault-tanúsítványt használ az API Managementben, ügyeljen arra, hogy ne törölje a kulcstartó eléréséhez használt tanúsítványt, kulcstartót vagy felügyelt identitást.

TLS/SSL-tanúsítvány lekéréséhez az API Managementnek rendelkeznie kell a listával, és titkos kódokra vonatkozó engedélyeket kell beszereznie a tanúsítványt tartalmazó Azure Key Vaultban.

• Amikor az Azure Portal használatával importálja a tanúsítványt, a rendszer automatikusan végrehajtja az összes szükséges konfigurációs lépést.

• Parancssori eszközök vagy felügyeleti API használata esetén ezeket az engedélyeket manuálisan kell megadni, két lépésben:

  1. Az API Management-példány Felügyelt identitások lapján engedélyezze a rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást. Jegyezze fel az oldalon található egyszerű azonosítót.
  2. Engedélyek hozzárendelése a felügyelt identitáshoz a kulcstartó eléréséhez. Kövesse az alábbi szakasz lépéseit.

  A Key Vaulthoz való hozzáférés konfigurálása

  1. A portálon keresse meg a kulcstartót.

  2. A bal oldali menüben válassza az Access-konfigurációt, és jegyezze fel a konfigurált engedélymodellt.

  3. Az engedélymodelltől függően konfiguráljon kulcstartó-hozzáférési szabályzatot vagy Azure RBAC-hozzáférést egy API Management által felügyelt identitáshoz.

     Kulcstartó hozzáférési szabályzatának hozzáadása:
     

     1. A bal oldali menüben válassza az Access-szabályzatok lehetőséget.
     2. Az Access-szabályzatok lapon válassza a + Létrehozás lehetőséget.
     3. Az Engedélyek lap Titkos engedélyek csoportjában válassza a Beolvasás és a Lista lehetőséget, majd a Tovább gombot.
     4. Az Egyszerű lapon válassza ki az egyszerű nevet, keresse meg a felügyelt identitás erőforrásnevét, majd válassza a Tovább gombot. Ha rendszer által hozzárendelt identitást használ, az egyszerű az API Management-példány neve.
     5. Kattintson ismét a Tovább gombra. A Véleményezés + létrehozás lapon válassza a Létrehozás lehetőséget.

     Az Azure RBAC-hozzáférés konfigurálása:
     

     1. A bal oldali menüben válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
     2. A Hozzáférés-vezérlés (IAM) lapon válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
     3. A Szerepkör lapon válassza a Key Vault titkos kulcsainak felhasználója lehetőséget.
     4. A Tagok lapon válassza a Felügyelt identitás>+ Tagok kijelölése lehetőséget.
     5. A Felügyelt identitás kiválasztása lapon válassza ki a rendszer által hozzárendelt felügyelt identitást vagy az API Management-példányhoz társított felhasználó által hozzárendelt felügyelt identitást, majd válassza a Kiválasztás lehetőséget.
     6. Válassza az Áttekintés + hozzárendelés lehetőséget.

Ha a tanúsítvány be van állítva autorenew , és az API Management szintje SLA-val rendelkezik (azaz a fejlesztői szint kivételével minden szinten), az API Management automatikusan felveszi a legújabb verziót, és nem áll le a szolgáltatásra.

További információ: Felügyelt identitások használata az Azure API Managementben.

Felügyelt

Az API Management ingyenes, felügyelt TLS-tanúsítványt kínál tartományához, ha nem szeretné megvásárolni és kezelni saját tanúsítványát. A tanúsítvány automatikusan újul meg.

Feljegyzés

Az ingyenes, felügyelt TLS-tanúsítvány előzetes verzióban érhető el. Jelenleg nem érhető el a v2 szolgáltatási szinteken.

Korlátozások

• Jelenleg csak az API Management szolgáltatás átjáróvégpontjával használható
• Nem támogatott a saját üzemeltetésű átjáró
• A következő Azure-régiókban nem támogatott: Dél-Franciaország és Dél-Afrika nyugati régiója
• Jelenleg csak az Azure-felhőben érhető el
• Nem támogatja a gyökértartományneveket (például contoso.com). Teljes névre van szükség, például api.contoso.com.
• Csak a nyilvános tartományneveket támogatja
• Csak meglévő API Management-példány frissítésekor konfigurálható, példány létrehozásakor nem

Egyéni tartománynév beállítása – portál

Válassza ki a használni kívánt tartománytanúsítványnak megfelelő lépéseket.

Szokás

1. Lépjen az API Management-példányra az Azure Portalon.
2. A bal oldali navigációs sávon válassza az Egyéni tartományok lehetőséget.
3. Válassza a +Hozzáadás lehetőséget, vagy válasszon ki egy frissíteni kívánt meglévő végpontot .
4. A jobb oldali ablakban válassza ki az egyéni tartomány végpontjának típusát .
5. A Gazdagépnév mezőben adja meg a használni kívánt nevet. Például: api.contoso.com.
6. A Tanúsítvány területen válassza az Egyéni
7. Tanúsítvány kiválasztásához és feltöltéséhez válassza ki a tanúsítványfájlt .
8. Töltsön fel érvényes . PFX-fájl, és adja meg a jelszavát, ha a tanúsítvány jelszóval van védve.
9. Átjáróvégpont konfigurálásakor szükség szerint válassza ki vagy törölje az egyéb lehetőségek kijelölését, beleértve az ügyféltanúsítvány egyeztetését vagy az alapértelmezett SSL-kötést.
10. Válassza a Hozzáadás lehetőséget, vagy válassza a Meglévő végpont frissítését .
11. Válassza a Mentés lehetőséget.

Key Vault

1. Lépjen az API Management-példányra az Azure Portalon.
2. A bal oldali navigációs sávon válassza az Egyéni tartományok lehetőséget.
3. Válassza a +Hozzáadás lehetőséget, vagy válasszon ki egy frissíteni kívánt meglévő végpontot .
4. A jobb oldali ablakban válassza ki az egyéni tartomány végpontjának típusát .
5. A Gazdagépnév mezőben adja meg a használni kívánt nevet. Például: api.contoso.com.
6. A Tanúsítvány területen válassza a Key Vault, majd a Kiválasztás lehetőséget.
   1. Válassza ki az előfizetést a legördülő listából.
   2. Válassza ki a Key Vaultot a legördülő listából.
   3. A tanúsítványok betöltése után válassza ki a tanúsítványt a legördülő listából. Kattintson a Kijelölés gombra.
   4. Az ügyfélidentitásban válasszon ki egy rendszer által hozzárendelt identitást vagy egy felhasználó által hozzárendelt felügyelt identitást , amely engedélyezve van a példányban a kulcstartó eléréséhez.
7. Átjáróvégpont konfigurálásakor szükség szerint válassza ki vagy törölje az egyéb lehetőségek kijelölését, beleértve az ügyféltanúsítvány egyeztetését vagy az alapértelmezett SSL-kötést.
8. Válassza a Hozzáadás lehetőséget, vagy válassza a Meglévő végpont frissítését .
9. Válassza a Mentés lehetőséget.

Felügyelt

1. Lépjen az API Management-példányra az Azure Portalon.
2. A bal oldali navigációs sávon válassza az Egyéni tartományok lehetőséget.
3. Válassza a +Hozzáadás lehetőséget, vagy válasszon ki egy frissíteni kívánt meglévő végpontot .
4. A jobb oldali ablakban válassza ki az egyéni tartomány végpontjának típusát .
5. A Gazdagépnév mezőben adja meg a használni kívánt nevet. Például: api.contoso.com.
6. A Tanúsítvány területen válassza a Felügyelt lehetőséget az API Management által felügyelt ingyenes tanúsítvány engedélyezéséhez. A felügyelt tanúsítvány csak az átjáróvégpont előzetes verziójában érhető el.
7. Másolja ki a következő értékeket, és használja őket a DNS konfigurálásához:
   • TXT rekord
   • CNAME rekord
8. Átjáróvégpont konfigurálásakor szükség szerint válassza ki vagy törölje az egyéb lehetőségek kijelölését, beleértve az ügyféltanúsítvány egyeztetését vagy az alapértelmezett SSL-kötést.
9. Válassza a Hozzáadás lehetőséget, vagy válassza a Meglévő végpont frissítését .
10. Válassza a Mentés parancsot.

Feljegyzés

A tanúsítvány hozzárendelésének folyamata az üzembe helyezés méretétől függően akár 15 percet is igénybe vehet. A fejlesztői szint állásidővel rendelkezik, míg az alapszintű és a magasabb szintek nem.

DNS-konfiguráció

• Konfiguráljon egy CNAME rekordot az egyéni tartományhoz.
• Ha az API Management ingyenes, felügyelt tanúsítványát használja, konfiguráljon egy TXT rekordot is a tartomány tulajdonjogának megállapításához.

Feljegyzés

Az ingyenes tanúsítványt a DigiCert állítja ki. Egyes tartományok esetében explicit módon engedélyeznie kell a DigiCert tanúsítványkibocsátóként egy CAA-tartományrekord létrehozását a következő értékkel: 0 issue digicert.com.

CNAME-rekord

Konfiguráljon egy CNAME rekordot, amely az egyéni tartománynévről (például api.contoso.com) az API Management szolgáltatás gazdagépnevére mutat (például <apim-service-name>.azure-api.net). A CNAME rekord stabilabb, mint az A-rekord, ha megváltozik az IP-cím. További információkért tekintse meg az Azure API Management IP-címeit és az API Managementtel kapcsolatos gyakori kérdéseket.

Feljegyzés

Egyes tartományregisztrálók csak akkor engedélyezik az altartományok leképezését, ha CNAME rekordot használ, például www.contoso.comnem gyökérneveket, például contoso.com. A CNAME rekordokról további információt a regisztráló vagy az IETF-tartománynevek – implementáció és specifikáció dokumentációjában talál.

Figyelemfelhívás

Ha az ingyenes, felügyelt tanúsítványt használja, és konfigurál egy CNAME rekordot a DNS-szolgáltatónál, győződjön meg arról, hogy az az ALAPÉRTELMEZETT API Management-szolgáltatás állomásneve (<apim-service-name>.azure-api.net) lesz. Az API Management jelenleg nem újítja meg automatikusan a tanúsítványt, ha a CNAME rekord nem oldja fel az alapértelmezett API Management-gazdagépnevet. Ha például az ingyenes, felügyelt tanúsítványt használja, és a Cloudflare-t használja DNS-szolgáltatóként, győződjön meg arról, hogy a DNS-proxy nincs engedélyezve a CNAME rekordon.

TXT rekord

Az API Management ingyenes, felügyelt tanúsítványának engedélyezésekor konfiguráljon egy TXT rekordot a DNS-zónában a tartománynév tulajdonjogának megállapításához.

• A rekord neve az egyéni tartománynév, amelyet apimuidelőtagként ad meg. Példa: apimuid.api.contoso.com
• Az érték az API Management-példány által megadott tartománytulajdon-azonosító.

Amikor a portál használatával konfigurálja az egyéni tartomány ingyenes, felügyelt tanúsítványát, a rendszer automatikusan megjeleníti a szükséges TXT rekord nevét és értékét.

A tartomány tulajdonjogi azonosítóját a Tartomány tulajdonjogának lekérése REST API meghívásával is lekérheti.

Hogyan válaszol az API Management proxykiszolgáló SSL-tanúsítványokkal a TLS-kézfogásban?

Ha egyéni tartományt konfigurál az átjáróvégponthoz, az ügyfélkéréstől függően további tulajdonságokat állíthat be, amelyek meghatározzák, hogy az API Management hogyan válaszol egy kiszolgálótanúsítvánnyal.

A kiszolgálónév-jelzés (SNI) fejlécével hívogató ügyfelek

Ha egy vagy több egyéni tartomány van konfigurálva az átjáróvégponthoz, az API Management az alábbi esetekben válaszolhat a HTTPS-kérelmekre:

• Egyéni tartomány (például contoso.com)
• Alapértelmezett tartomány (például apim-service-name.azure-api.net).

Az SNI-fejlécben található információk alapján az API Management a megfelelő kiszolgálótanúsítvánnyal válaszol.

SNI-fejléc nélkül hívogató ügyfelek

Ha olyan ügyfelet használ, amely nem küldI el az SNI-fejlécet, az API Management a következő logika alapján hoz létre válaszokat:

• Ha a szolgáltatásnak csak egy egyéni tartománya van konfigurálva az Átjáróhoz, az alapértelmezett tanúsítvány az átjáró egyéni tartománya számára kiadott tanúsítvány.

• Ha a szolgáltatás több egyéni tartományt konfigurált az Átjáróhoz (a fejlesztői és prémium szintű szinten támogatott), az alapértelmezettSslBinding tulajdonság true ("defaultSslBinding":"true") értékre állításával kijelölheti az alapértelmezett tanúsítványt. A portálon jelölje be az Alapértelmezett SSL-kötés jelölőnégyzetet.

  Ha nem állítja be a tulajdonságot, az alapértelmezett tanúsítvány a következő helyen üzemeltetett *.azure-api.netalapértelmezett átjárótartományhoz kiadott tanúsítvány.

A PUT/POST kérés támogatása nagy hasznos adatokkal

Az API Management proxykiszolgáló támogatja a nagy hasznos adatokkal (>40 KB) rendelkező kéréseket, ha ügyféloldali tanúsítványokat használ a HTTPS-ben. Ha meg szeretné akadályozni, hogy a kiszolgáló kérése lefagyjon, állítsa a negotiateClientCertificate tulajdonságot true ("negotiateClientCertificate": "true") értékre az Átjáró gazdagépnéven. A portálon jelölje be az Ügyféltanúsítvány egyeztetése jelölőnégyzetet.

Ha a tulajdonság értéke igaz, az ügyféltanúsítványt SSL-/TLS-kapcsolati időpontban kéri a rendszer a HTTP-kérések cseréje előtt. Mivel a beállítás az átjáró állomásnév szintjén érvényes, minden kapcsolatkérés az ügyféltanúsítványt kéri. Megkerülheti ezt a korlátozást, és legfeljebb 20 egyéni tartományt konfigurálhat az átjáróhoz (csak a Prémium szinten támogatott).

Következő lépések

A szolgáltatás frissítése és skálázása