Condividi tramite

Configurare un dominio personalizzato per il servizio Web PubSub di Azure

  • Articolo

Oltre al dominio predefinito fornito dal servizio Web PubSub di Azure, è anche possibile aggiungere un dominio personalizzato. Un dominio personalizzato è un nome di dominio di cui si è proprietari e gestiti. È possibile usare un dominio personalizzato per accedere alla risorsa del servizio Web PubSub di Azure. Ad esempio, è possibile usare contoso.example.com invece di accedere alla risorsa del servizio Web PubSub di contoso.webpubsub.azure.com Azure.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Se non si ha un account Azure, è possibile creare gratuitamente un account.
  • Un servizio Web PubSub di Azure (deve essere di livello Premium).
  • Una risorsa di Azure Key Vault.
  • Un certificato personalizzato che corrisponde a un dominio personalizzato archiviato in Azure Key Vault.

Aggiungere un certificato personalizzato

Prima di poter aggiungere un dominio personalizzato, è prima necessario aggiungere un certificato personalizzato corrispondente. Un certificato personalizzato è una risorsa del servizio Web PubSub di Azure. Fa riferimento a un certificato nell'insieme di credenziali delle chiavi di Azure. Per motivi di sicurezza e conformità, il servizio Web PubSub di Azure non archivia definitivamente il certificato. Recupera invece l'insieme di credenziali delle chiavi in tempo reale e lo mantiene in memoria.

Passaggio 1: Concedere all'insieme di credenziali delle chiavi l'accesso alle risorse del servizio Web PubSub di Azure

Il servizio Web PubSub di Azure usa l'identità gestita per accedere all'insieme di credenziali delle chiavi. Per autorizzare, è necessario concedere le autorizzazioni.

  1. Nella portale di Azure passare alla risorsa servizio Web PubSub di Azure.

  2. Nel riquadro dei menu selezionare Identità.

  3. È possibile selezionare Identità assegnata dal sistema o Assegnata dall'utente . Se si vuole usare l'identità assegnata dall'utente , è prima necessario crearne una.

    1. Per aggiungere un'identità assegnata dal sistema

      1. Selezionare Attivato.
      2. Seleziona per confermare.
      3. Seleziona Salva.

      Screenshot of enabling system assigned managed identity.

    2. Per aggiungere un'identità assegnata dall'utente;

      1. Selezionare Aggiungi identità gestita assegnata dall'utente.
      2. Selezionare un'identità esistente.
      3. Selezionare Aggiungi.

      Screenshot of enabling user assigned managed identity.

  4. Seleziona Salva.

A seconda della configurazione del modello di autorizzazione di Key Vault, potrebbe essere necessario concedere autorizzazioni in posizioni diverse.

Se si usano i criteri di accesso predefiniti di Key Vault come modello di autorizzazione di Key Vault:

Screenshot of built-in access policy selected as Key Vault permission model.

  1. Passare alla risorsa key vault.

  2. Nel riquadro dei menu selezionare Configurazione di accesso.

  3. Selezionare Criteri di accesso all'insieme di credenziali.

  4. Selezionare Vai ai criteri di accesso.

  5. Seleziona Crea.

  6. Selezionare l'autorizzazione Ottieni segreto.

  7. Selezionare l'autorizzazione Ottieni certificato.

  8. Selezionare Avanti.

    Screenshot of permissions selection in Key Vault.

  9. Cercare il nome della risorsa del servizio Web PubSub di Azure.

  10. Selezionare Avanti.

    Screenshot of principal selection in Key Vault.

  11. Selezionare Avanti nella scheda Applicazione .

  12. Seleziona Crea.

Passaggio 2: Creare un certificato personalizzato

  1. Nella portale di Azure passare alla risorsa servizio Web PubSub di Azure.

  2. Nel riquadro dei menu selezionare Dominio personalizzato.

  3. Nella sezione Certificato personalizzato selezionare Aggiungi.

    Screenshot of custom certificate management.

  4. Immettere un nome per il certificato personalizzato.

  5. Selezionare Seleziona dall'insieme di credenziali delle chiavi per scegliere un certificato di Key Vault . Dopo aver selezionato l'URI di base dell'insieme di credenziali delle chiavi seguente, il nome del segreto dell'insieme di credenziali delle chiavi verrà compilato automaticamente. In alternativa, è anche possibile compilare questi campi manualmente.

  6. Facoltativamente, è possibile specificare una versione privata dell'insieme di credenziali delle chiavi se si vuole aggiungere il certificato a una versione specifica.

  7. Selezionare Aggiungi.

    Screenshot of adding a custom certificate.

Il servizio Web PubSub di Azure recupera il certificato e ne convalida il contenuto. Al termine, lo stato di provisioning del certificato sarà Completato.

Screenshot of an added custom certificate.

Creare un dominio personalizzato CNAME

Per convalidare la proprietà del dominio personalizzato, è necessario creare un record CNAME per il dominio personalizzato e indirizzarlo al dominio predefinito del servizio Web PubSub di Azure.

Ad esempio, se il dominio predefinito è contoso.webpubsub.azure.come il dominio personalizzato è contoso.example.com, è necessario creare un record CNAME in example.com come segue:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com.

Se si usa la zona DNS di Azure, vedere Gestire i record DNS per informazioni su come aggiungere un record CNAME.

Screenshot of adding a CNAME record in Azure DNS Zone.

Se si usano altri provider DNS, seguire la guida del provider per creare un record CNAME.

Aggiungere un dominio personalizzato

Un dominio personalizzato è un'altra risorsa secondaria del servizio Web PubSub di Azure. Contiene tutte le configurazioni per un dominio personalizzato.

  1. Nella portale di Azure passare alla risorsa servizio Web PubSub di Azure.

  2. Nel riquadro dei menu selezionare Dominio personalizzato.

  3. In Dominio personalizzato selezionare Aggiungi.

    Screenshot of custom domain management.

  4. Immettere un nome per il dominio personalizzato. Si tratta del nome della risorsa secondaria.

  5. Immettere il nome di dominio. Si tratta del nome di dominio completo del dominio personalizzato, contoso.comad esempio .

  6. Selezionare un certificato personalizzato applicabile a questo dominio personalizzato.

  7. Selezionare Aggiungi.

    Screenshot of adding a custom domain.

Verificare un dominio personalizzato

È ora possibile accedere all'endpoint del servizio PubSub di Azure tramite il dominio personalizzato. Per verificarlo, è possibile accedere all'API di integrità.

Ecco un esempio che usa cURL:

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

L'API di integrità deve restituire 200 il codice di stato senza errori di certificato.

Key Vault nella rete privata

Se è stato configurato un endpoint privato nell'insieme di credenziali delle chiavi, il servizio Web PubSub di Azure non può accedere all'insieme di credenziali delle chiavi tramite la rete pubblica. È necessario configurare un endpoint privato condiviso per consentire al servizio Web PubSub di Azure di accedere all'insieme di credenziali delle chiavi tramite rete privata.

Dopo aver creato un endpoint privato condiviso, è possibile creare un certificato personalizzato come di consueto. Non è necessario modificare il dominio nell'URI di Key Vault. Ad esempio, se l'URI di base di Key Vault è https://contoso.vault.azure.net, si usa comunque questo URI per configurare un certificato personalizzato.

Non è necessario consentire in modo esplicito gli indirizzi IP del servizio Web PubSub di Azure nelle impostazioni del firewall di Key Vault. Per altre informazioni, vedere Diagnostica dei collegamenti privati di Key Vault.

Rotazione dei certificati

Se non si specifica una versione privata durante la creazione di un certificato personalizzato, il servizio Web PubSub di Azure controlla periodicamente la versione più recente in Key Vault. Quando viene osservata una nuova versione, viene applicata automaticamente. Il ritardo è in genere entro 1 ora.

In alternativa, è anche possibile aggiungere un certificato personalizzato a una versione privata specifica in Key Vault. Quando è necessario applicare un nuovo certificato, è possibile modificare la versione del segreto e quindi aggiornare in modo proattivo il certificato personalizzato.

Passaggi successivi