Tutorial: Mengonfigurasikan HTTPS di domain kustom Azure CDN

Tutorial ini menunjukkan cara mengaktifkan protokol HTTPS untuk domain kustom yang terkait dengan titik akhir CDN Azure.

Protokol HTTPS di domain kustom Anda (misalnya, https://www.contoso.com), memastikan data sensitif Anda dikirimkan dengan aman melalui TLS/SSL. Ketika browser web Anda tersambung melalui HTTPS, browser memvalidasi sertifikat situs web. Browser memverifikasi bahwa itu dikeluarkan oleh otoritas sertifikat yang sah. Proses ini memberikan keamanan dan melindungi aplikasi web Anda dari serangan.

Azure CDN mendukung HTTPS pada nama host titik akhir CDN, secara default. Misalnya, jika Anda membuat titik akhir CDN (seperti https://contoso.azureedge.net), HTTPS diaktifkan secara otomatis.

Beberapa atribut kunci dari fitur HTTPS kustom adalah:

  • Tidak ada biaya tambahan: Tidak ada biaya untuk akuisisi atau perpanjangan sertifikat dan tidak ada biaya tambahan untuk lalu lintas HTTPS. Anda hanya dikenkan biaya untuk egress GB dari CDN.

  • Pengaktifkanan sederhana: Provisi satu klik tersedia dari portal Azure. Anda juga dapat menggunakan REST API atau alat pengembang lainnya untuk mengaktifkan fitur tersebut.

  • Manajemen sertifikat lengkap tersedia:

    • Semua pengadaan dan manajemen sertifikat ditangani untuk Anda.
    • Sertifikat secara otomatis disediakan dan diperpanjang sebelum kedaluwarsa.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Mengaktifkan protokol HTTPS pada domain kustom Anda.
  • Menggunakan sertifikat yang dikelola CDN
  • Menggunakan sertifikat Anda sendiri
  • Memvalidasi domain
  • Menonaktifkan protokol HTTPS pada domain kustom Anda.

Prasyarat

Catatan

Artikel ini menggunakan modul Azure Az PowerShell, yang merupakan modul PowerShell yang direkomendasikan untuk berinteraksi dengan Azure. Untuk mulai menggunakan modul Az PowerShell, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Sebelum Anda dapat menyelesaikan langkah-langkah dalam tutorial ini, buat profil CDN dan setidaknya satu titik akhir CDN. Untuk informasi selengkapnya, lihat Mulai cepat: Membuat profil dan titik akhir Azure CDN.

Kaitkan domain kustom Azure CDN di titik akhir CDN Anda. Untuk informasi selengkapnya, lihat Tutorial: Menambahkan domain kustom ke titik akhir Azure CDN Anda.

Penting

Sertifikat yang dikelola CDN tidak tersedia untuk domain root atau apex. Jika domain kustom Azure CDN Anda adalah domain root atau apex, Anda harus menggunakan fitur Bawa sertifikat Anda sendiri.


Sertifikat TLS/SSL

Untuk mengaktifkan HTTPS pada domain kustom Azure CDN, Anda menggunakan sertifikat TLS/SSL. Anda dapat memilih akan menggunakan sertifikat yang dikelola oleh Azure CDN atau menggunakan sertifikat Anda sendiri.

Azure CDN sepenuhnya menangani tugas manajemen sertifikat seperti pengadaan dan perpanjangan. Setelah Anda mengaktifkan fitur, proses segera dimulai.

Jika domain kustom sudah dipetakan ke titik akhir CDN, tidak diperlukan tindakan lebih lanjut. Azure CDN akan memproses langkah-langkah dan menyelesaikan permintaan Anda secara otomatis.

Namun, jika domain kustom Anda dipetakan di tempat lain, Anda harus menggunakan alamat email untuk memvalidasi kepemilikan domain Anda.

Untuk mengaktifkan HTTPS pada domain kustom, ikuti langkah-langkah berikut:

  1. Buka portal Azure untuk menemukan sertifikat yang dikelola oleh Azure CDN Anda. Cari dan pilih profil CDN.

  2. Pilih profil Anda:

    • Azure CDN Standar dari Microsoft
    • Azure CDN Standar dari Akamai
    • Azure CDN Standar dari Verizon
    • Azure CDN Premium dari Verizon
  3. Dalam daftar titik akhir CDN, pilih titik akhir yang berisi domain kustom Anda.

    Endpoints list

    Halaman Titik Akhir muncul.

  4. Dalam daftar domain kustom, pilih domain kustom yang HTTPS-nya ingin Anda aktifkan.

    Screenshot shows the Custom domain page with the option to Use my own certificate.

    Halaman Domain kustom muncul.

  5. Di bawah Jenis manajemen sertifikat, pilih CDN yang dikelola.

  6. Pilih Aktif untuk mengaktifkan HTTPS.

    Custom domain HTTPS status

  7. Lanjutkan Memvalidasi domain.

Memvalidasi domain

Jika sudah memiliki domain kustom yang digunakan untuk dipetakan ke titik akhir kustom Anda dengan data CNAME atau Anda menggunakan sertifikat milik Anda, lanjutkan ke Domain kustom dipetakan ke titik akhir CDN Anda.

Sebaliknya, jika entri data CNAME untuk titik akhir Anda tidak ada lagi atau berisi subdomain cdnverify, lanjutkan ke Domain kustom tidak dipetakan ke titik akhir CDN Anda.

Domain kustom dipetakan ke titik akhir CDN Anda dengan data CNAME

Saat Anda menambahkan domain kustom ke titik akhir, Anda membuat catatan CNAME di registrat domain DNS yang dipetakan ke nama host titik akhir CDN Anda.

Jika data CNAME masih ada dan tidak berisi subdomain cdnverify, OS DigiCert menggunakannya untuk memvalidasi kepemilikan domain kustom Anda secara otomatis.

Jika menggunakan sertifikat Anda, validasi domain tidak diperlukan.

Data CNAME Anda harus dalam format berikut:

  • Nama adalah nama domain kustom Anda.
  • Nilai adalah nama host titik akhir CDN Anda.
Nama Jenis Nilai
<www.contoso.com> CNAME contoso.azureedge.net

Untuk informasi selengkapnya tentang data CNAME, lihat Membuat data DNS CNAME.

Jika data CNAME Anda dalam format yang benar, DigiCert secara otomatis memverifikasi nama domain kustom Anda dan membuat sertifikat khusus untuk nama domain Anda. DigitCert tidak akan mengirimi Anda alamat email verifikasi dan Anda tidak perlu menyetujui permintaan Anda. Sertifikat ini berlaku selama satu tahun dan akan diperbaharui otomatis sebelum kedaluwarsa. Lanjutkan ke Menunggu penyebaran.

Validasi otomatis biasanya memakan waktu beberapa menit. Jika Anda tidak melihat domain Anda divalidasi dalam waktu 24 jam, buka tiket dukungan.

Catatan

Jika Anda memiliki data Sertifikat Otorisasi Otoritas (CAA) dengan penyedia DNS Anda, data tersebut harus menyertakan CA yang sesuai untuk otorisasi. DigiCert adalah CA untuk profil Microsoft dan Verizon. Profil Akamai mendapatkan sertifikat dari tiga CA: GeoTrust, Let's Encrypt, dan DigiCert. Jika OS menerima pesanan sertifikat untuk domain yang memiliki rekaman CAA dan OS tersebut tidak terdaftar sebagai penerbit yang berwenang, OS dilarang menerbitkan sertifikat ke domain atau subdomain tersebut. Untuk informasi tentang mengelola data CAA, lihat Mengelola data CAA. Untuk alat rekaman CAA, lihat Pendukung Rekaman CAA.

Domain kustom tidak dipetakan ke titik akhir CDN Anda

Catatan

Jika Anda menggunakan Azure CDN dari Akamai, data CNAME berikut harus disetel untuk mengaktifkan validasi domain otomatis. "_acme-challenge.<nama host domain kustom> -> CNAME -><nama host domain kustom>.ak-acme-challenge.azureedge.net"

Jika entri data CNAME berisi subdomain cdnverify, ikuti instruksi lainnya dalam langkah ini.

DigiCert mengirim email verifikasi ke alamat email berikut. Verifikasi bahwa Anda bisa menyetujui langsung dari salah satu alamat berikut:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Anda akan menerima email dalam beberapa menit agar Anda menyetujui permintaan tersebut. Jika Anda menggunakan filter spam, tambahkan verification@digicert.com ke daftar izinnya. Jika Anda tidak menerima alamat email dalam waktu 24 jam, hubungi dukungan Microsoft.

Domain validation email

Saat Anda memilih link persetujuan, Anda diarahkan ke formulir persetujuan online:

Domain validation form

Ikuti instruksi pada formulir; Anda memiliki dua opsi verifikasi:

  • Anda dapat menyetujui semua pesanan di masa mendatang yang ditempatkan melalui akun yang sama untuk domain root yang sama; misalnya, contoso.com. Pendekatan ini disarankan jika Anda berencana untuk menambahkan domain kustom lain untuk domain root yang sama.

  • Anda hanya dapat menyetujui nama host tertentu yang digunakan dalam permintaan ini. Persetujuan lain diperlukan untuk permintaan nanti.

Setelah disetujui, DigiCert menyelesaikan pembuatan sertifikat untuk nama domain kustom Anda. Sertifikat ini berlaku selama satu tahun dan akan diperbaharui otomatis sebelum kedaluwarsa.

Tunggu penyebaran

Setelah nama domain divalidasi, diperlukan waktu hingga 6-8 jam agar fitur HTTPS domain kustom diaktifkan. Ketika proses selesai, status HTTPS kustom di portal Azure diubah menjadi Diaktifkan. Empat langkah operasi dalam dialog domain kustom ditandai sebagai selesai. Domain kustom Anda sekarang siap menggunakan HTTPS.

Enable HTTPS dialog

Progres operasi

Tabel berikut ini memperlihatkan kemajuan operasi yang terjadi saat Anda mengaktifkan HTTPS. Setelah Anda mengaktifkan HTTPS, empat langkah operasi muncul dalam dialog domain kustom. Saat setiap langkah menjadi aktif, rincian substep lain muncul di bawah langkah saat berlangsung. Tidak semua substep ini akan terjadi. Setelah langkah berhasil diselesaikan, tanda centang hijau muncul di sampingnya.

Langkah operasi Detail substep operasi
1 Mengirim permintaan Mengirim permintaan
Permintaan HTTPS Anda sedang dikirim.
Permintaan HTTPS Anda berhasil dikirim.
2 Validasi domain Domain divalidasi secara otomatis jika CNAME dipetakan ke Titik Akhir CDN. Jika tidak, permintaan verifikasi akan dikirim ke email yang tercantum dalam catatan pendaftaran domain Anda (pendaftar WHOIS).
Kepemilikan domain Anda telah berhasil divalidasi.
Permintaan validasi kepemilikan domain kedaluwarsa (pelanggan kemungkinan tidak merespons dalam 6 hari). HTTPS tidak akan diaktifkan di domain Anda. *
Permintaan validasi kepemilikan domain ditolak oleh pelanggan. HTTPS tidak akan diaktifkan di domain Anda. *
3 Provisi sertifikat Otoritas sertifikat saat ini menerbitkan sertifikat yang diperlukan untuk mengaktifkan HTTPS di domain Anda.
Sertifikat telah diterbitkan dan saat ini sedang disebarkan untuk jaringan CDN Anda. Proses ini membutuhkan waktu hingga 6 jam.
Sertifikat berhasil disebarkan ke jaringan CDN.
4 Selesai HTTPS berhasil diaktifkan di domain Anda.

* Pesan ini tidak muncul kecuali jika terjadi kesalahan.

Jika kesalahan terjadi sebelum permintaan dikirim, pesan kesalahan berikut ditampilkan:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Membersihkan sumber daya - nonaktifkan HTTPS

Di bagian ini, Anda mempelajari cara menonaktifkan HTTPS untuk domain kustom Anda.

Menonaktifkan fitur HTTPS

  1. Di portal Azure, cari atau pilih Komputer virtual.

  2. Pilih Azure CDN Standard Anda dari Microsoft,Azure CDN Standard dari Verizon, atau Azure CDN Premium dari profil Verizon.

  3. Dalam daftar titik akhir CDN, pilih titik akhir yang berisi domain kustom Anda.

  4. Pilih domain kustom yang HTTPS-nya ingin Anda nonaktifkan.

    Custom domains list

  5. Pilih Nonaktif untuk menonaktifkan HTTPS, lalu pilih Terapkan.

    Custom HTTPS dialog

Tunggu penyebaran

Setelah fitur HTTPS domain kustom dinonaktifkan, bisa memakan waktu hingga 6-8 jam agar berlaku. Ketika proses selesai, status HTTPS kustom di portal Azure diubah menjadi Diaktifkan. Tiga langkah operasi dalam dialog domain kustom ditandai sebagai selesai. Domain kustom Anda tidak bisa lagi menggunakan HTTPS.

Disable HTTPS dialog

Progres operasi

Tabel berikut ini memperlihatkan kemajuan operasi yang terjadi saat Anda menonaktifkan HTTPS. Setelah Anda menonaktifkan HTTPS, tiga langkah operasi muncul dalam dialog domain kustom. Saat setiap langkah menjadi aktif, detail muncul di bawah langkah. Setelah langkah berhasil diselesaikan, tanda centang hijau muncul di sampingnya.

Progres operasi Detail operasi
1 Mengirim permintaan Mengirimkan permintaan Anda
2 Pencabutan sertifikat Menghapus sertifikat
3 Penyelesaian Sertifikat dihapus

Tanya jawab umum

  1. Siapa penyedia sertifikat dan jenis sertifikat apa yang digunakan?

    Sertifikat khusus, yang disediakan oleh Digicert digunakan untuk domain kustom Anda untuk:

    • Azure CDN dari Verizon
    • Azure CDN dari Microsoft
  2. Apakah Anda menggunakan TLS/SSL berbasis IP atau SNI?

    Azure CDN dari Verizon dan Standar Azure CDN dari Microsoft menggunakan SNI TLS/SSL.

  3. Bagaimana jika saya tidak menerima alamat email verifikasi domain dari DigiCert?

    Jika Anda tidak menggunakan subdomain cdnverify dan entri CNAME Anda adalah untuk nama host titik akhir Anda, Anda tidak akan menerima email verifikasi domain.

    Validasi terjadi secara otomatis. Jika tidak, jika Anda tidak memiliki entri data CNAME dan belum menerima alamat email dalam waktu 24 jam, hubungi dukungan Microsoft.

  4. Apakah menggunakan sertifikat SAN kurang aman daripada sertifikat khusus?

    Sertifikat SAN mengikuti standar enkripsi dan keamanan yang sama dengan sertifikat khusus. Semua sertifikat TLS/SSL yang diterbitkan menggunakan SHA-256 untuk meningkatkan keamanan server.

  5. Apakah saya memerlukan catatan Otorisasi Otoritas Sertifikat dengan penyedia DNS saya?

    Tidak, rekaman Otorisasi Otoritas Sertifikat saat ini tidak diperlukan. Namun, jika Anda memilikinya, rekaman Otorisasi Sertifikat harus menyertakan DigiCert sebagai OS yang valid.

  6. Pada 20 Juni 2018, Azure CDN dari Verizon mulai menggunakan sertifikat khusus dengan SNI TLS/SSL secara default. Apa yang terjadi pada domain kustom saya yang sudah ada menggunakan sertifikat Nama Alternatif Subjek (SAN) dan TLS/SSL berbasis IP?

    Domain Anda yang ada akan secara bertahap dimigrasikan ke sertifikat tunggal di bulan-bulan mendatang jika Microsoft menganalisis bahwa hanya permintaan klien SNI yang dibuat ke aplikasi Anda.

    Jika klien non-SNI terdeteksi, domain Anda tetap berada di sertifikat SAN dengan TLS/SSL berbasis IP. Permintaan ke layanan atau klien Anda yang non-SNI, tidak akan terpengaruh.

  7. Bagaimana cara kerja pembaruan sertifikasi dengan Bawa Sertifikat Anda Sendiri?

    Untuk memastikan sertifikat yang lebih baru diterapkan ke infrastruktur PoP, unggah sertifikat baru Anda ke Azure KeyVault. Di pengaturan TLS Anda di Azure CDN, pilih versi sertifikat terbaru dan pilih simpan. Azure CDN kemudian akan menyebarkan sertifikasi baru Anda yang telah diperbarui.

    Untuk profil Azure CDN dari Verizon, jika Anda menggunakan sertifikat Azure Key Vault yang sama pada beberapa domain kustom (misalnya sertifikat kartubebas), pastikan Anda memperbarui semua domain kustom yang menggunakan sertifikat yang sama ke versi sertifikat yang lebih baru.

  8. Apakah saya perlu mengaktifkan kembali HTTPS setelah titik akhir dimulai ulang?

    Ya. Jika Anda menggunakan Azure CDN dari Akamai, jika titik akhir berhenti dan dimulai ulang, Anda harus mengaktifkan kembali pengaturan HTTPS jika pengaturan aktif sebelumnya.

Langkah berikutnya

Di tutorial ini, Anda akan mempelajari cara:

  • Mengaktifkan protokol HTTPS pada domain kustom Anda.
  • Menggunakan sertifikat yang dikelola CDN
  • Menggunakan sertifikat Anda sendiri
  • Memvalidasi domain.
  • Menonaktifkan protokol HTTPS pada domain kustom Anda.

Lanjutkan ke tutorial berikutnya untuk mempelajari cara mengonfigurasikan penembolokan pada titik akhir CDN Anda.