Esercitazione: Configurare HTTPS in un dominio personalizzato della rete CDN di Azure

Questa esercitazione illustra come abilitare il protocollo HTTPS per un dominio personalizzato associato a un endpoint Rete CDN di Azure.

Il protocollo HTTPS nel dominio personalizzato ,ad esempio https://www.contoso.com, garantisce che i dati sensibili vengano recapitati in modo sicuro tramite TLS/SSL. Quando il Web browser è connesso tramite HTTPS, il browser convalida il certificato del sito Web. Il browser verifica che sia emesso da un'autorità di certificazione legittima. Questo processo offre sicurezza e protezione delle applicazioni Web da attacchi.

Per impostazione predefinita, la rete CDN di Azure supporta il protocollo HTTPS in un nome host di endpoint della rete CDN. Ad esempio, se si crea un endpoint rete CDN (ad esempio https://contoso.azureedge.net), HTTPS viene abilitato automaticamente.

Di seguito sono riportati alcuni attributi chiave della funzionalità HTTPS personalizzato.

• Nessun costo aggiuntivo: non sono previsti costi per l'acquisizione o il rinnovo dei certificati e non sono previsti costi aggiuntivi per il traffico HTTPS. L'addebito è relativo solo ai GB in uscita dalla rete CDN.

• Abilitazione semplice: il provisioning è disponibile con un unico clic nel portale Azure. È possibile anche usare l'API REST o altri strumenti per sviluppatori per abilitare la funzionalità.

• Gestione completa dei certificati:

  • tutta la fase di approvvigionamento e gestione di certificati viene gestita automaticamente.
  • Il provisioning e il rinnovo dei certificati vengono automaticamente eseguiti prima della scadenza.

In questa esercitazione apprenderai a:

• Abilitare il protocollo HTTPS nel dominio personalizzato
• Usare un certificato gestito dalla rete CDN
• Usare un certificato personale
• Convalidare il dominio
• Disabilitare il protocollo HTTPS nel dominio personalizzato

Prerequisiti

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Prima di poter completare i passaggi di questa esercitazione, è necessario creare un profilo di rete CDN e almeno un endpoint della rete CDN. Per altre informazioni, vedere Guida introduttiva: Creare un profilo e un endpoint della rete CDN di Azure.

Associare un dominio personalizzato Rete CDN di Azure nell'endpoint rete CDN. Per altre informazioni, vedere Esercitazione: Aggiungere un dominio personalizzato all'endpoint Rete CDN di Azure.

Importante

I certificati gestiti da rete CDN non sono disponibili per i domini radice o apex. Se il dominio personalizzato della rete CDN di Azure è un dominio radice o apex, è necessario usare un certificato personale.

---

Certificati TLS/SSL

Per abilitare HTTPS in un dominio personalizzato Rete CDN di Azure, usare un certificato TLS/SSL. Si sceglie di usare un certificato gestito da Rete CDN di Azure o usare il certificato.

Opzione 1 (predefinita): Abilitare HTTPS con un certificato gestito dalla rete CDN

Rete CDN di Azure gestisce le attività di gestione dei certificati, ad esempio l'approvvigionamento e il rinnovo. Dopo l'abilitazione della funzionalità, il processo viene avviato immediatamente.

Se il dominio personalizzato è già mappato all'endpoint rete CDN, non sono necessarie altre azioni. Rete CDN di Azure elabora i passaggi e completa automaticamente la richiesta.

Se il dominio personalizzato è mappato altrove, usare la posta elettronica per convalidare la proprietà del dominio.

Per abilitare il protocollo HTTPS in un dominio personalizzato, seguire questa procedura:

1. Per trovare un certificato gestito dalla rete CDN di Azure, passare al portale di Azure. Cercare e selezionare Profili CDN.

2. Scegliere il profilo:

   • Rete CDN Standard di Azure offerta da Microsoft
   • Rete CDN di Azure Standard di Edgio
   • Rete CDN di Azure Premium di Edgio

3. Nell'elenco di endpoint della rete CDN selezionare l'endpoint contenente il dominio personalizzato.

   

   Viene visualizzata la pagina Endpoint.

4. Nell'elenco di domini personalizzati selezionare il dominio personalizzato per cui si vuole abilitare il protocollo HTTPS.

   

   Viene visualizzata la pagina Dominio personalizzato.

5. In Tipo di gestione dei certificati selezionare Gestito dalla rete CDN.

6. Selezionare Sì per abilitare HTTPS.

   

7. Continuare a Convalidare il dominio.

Opzione 2: Abilitare HTTPS con un certificato personale

Importante

Questa opzione è disponibile solo con Rete CDN di Azure da Microsoft e Rete CDN di Azure dai profili Edgio.

Per abilitare la funzionalità HTTPS, è possibile usare un certificato personale. Questo processo avviene tramite un'integrazione con Azure Key Vault, che consente di archiviare i certificati in modo sicuro. Rete CDN di Azure usa questo meccanismo sicuro per ottenere il certificato e richiede alcuni passaggi aggiuntivi. Quando si crea il certificato TLS/SSL, è necessario creare una catena di certificati completa con un'autorità di certificazione (CA) consentita che fa parte dell'elenco ca attendibile Microsoft. Se si usa una CA non consentita, la richiesta viene rifiutata. Se viene presentato un certificato senza catena completa, le richieste che implicano che il certificato non funzionerà come previsto. Per Rete CDN di Azure da Edgio, viene accettata qualsiasi CA valida.

Preparare l'account e il certificato di Azure Key Vault

1. Azure Key Vault: è necessario un account Azure Key Vault in esecuzione nella stessa sottoscrizione del profilo di rete CDN di Azure e degli endpoint della rete CDN in cui si vuole abilitare la funzionalità HTTPS personalizzato. Se non si ha un account Azure Key Vault, crearne uno.

2. Certificati di Azure Key Vault: se si ha un certificato, caricarlo direttamente nell'account azure Key Vault. Se non si ha un certificato, creare un nuovo certificato direttamente tramite Azure Key Vault.

Nota

• Azure rete per la distribuzione di contenuti supporta solo i certificati PFX.
• Il certificato deve avere una catena di certificati completa con certificati foglia e intermedi e l'autorità di certificazione radice deve far parte dell'elenco di autorità di certificazione attendibili Microsoft.

Registrare la rete CDN di Azure

Registrare Rete CDN di Azure come app nell'ID Microsoft Entra.

Nota

• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 è l'entità servizio per Microsoft.AzureFrontDoor-Cdn.
• Per eseguire questo comando, è necessario avere il ruolo global Amministrazione istrator.
• Il nome dell'entità servizio è stato modificato da Microsoft.Azure.Cdn a Microsoft.AzureFrontDoor-Cdn.

Azure PowerShell

1. Se necessario, installare Azure PowerShell nel computer locale.

2. In PowerShell eseguire questo comando:

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

   New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
   
   Secret                :
   ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8,
    			https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
   ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   ObjectType            : ServicePrincipal DisplayName           : Microsoft.AzureFrontDoor-Cdn Id                    : abcdef12-3456-7890-abcd-ef1234567890
   Type                  :
   

L’interfaccia della riga di comando di Azure

1. Se necessario, installare l'interfaccia della riga di comando di Azure nel computer locale.

2. Usare l'interfaccia della riga di comando di Azure per eseguire il comando seguente:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

Concedere alla rete CDN di Azure l'accesso all'insieme di credenziali delle chiavi

Concedere alla rete CDN di Azure l'autorizzazione ad accedere ai certificati (segreti) nell'account Azure Key Vault.

1. Nell'insieme di credenziali delle chiavi nella sezione Impostazioni selezionare Criteri di accesso. Nel riquadro di destra selezionare + Aggiungi criteri di accesso:

   

2. Nella pagina Aggiungi criteri di accesso selezionare Nessuno selezionato accanto a Seleziona entità. Nella pagina Principale immettere 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Selezionare Microsoft.AzureFrontdoor-Cdn. Scegliere Seleziona:

3. In Select principal (Seleziona entità) cercare 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 scegliere Microsoft.AzureFrontDoor-Cdn. Scegli Seleziona.

   

4. Selezionare Autorizzazioni certificato. Selezionare la casella di controllo Get per consentire rete CDN autorizzazioni per ottenere i certificati.

5. Selezionare Autorizzazioni segrete. Selezionare la casella di controllo Get per consentire rete CDN autorizzazioni per ottenere i segreti:

   

6. Seleziona Aggiungi.

Nota

La rete CDN di Azure può ora accedere a questo insieme di credenziali delle chiavi e ai certificati (segreti) in esso archiviati. Qualsiasi rete CDN istanza creata in questa sottoscrizione avrà accesso ai certificati in questo insieme di credenziali delle chiavi.

Selezionare il certificato da distribuire per la rete CDN di Azure

1. Tornare al portale della rete CDN di Azure e selezionare il profilo e l'endpoint della rete CDN in cui si vuole abilitare la funzionalità HTTPS personalizzato.

2. Nell'elenco di domini personalizzati selezionare il dominio personalizzato per cui si vuole abilitare il protocollo HTTPS.

   Viene visualizzata la pagina Dominio personalizzato.

3. In Tipo di gestione dei certificati selezionare Usa certificato personale.

   

4. Selezionare un insieme di credenziali delle chiavi, un certificato/segreto e una versione certificato/segreto.

   La rete CDN di Azure elenca le informazioni seguenti:

   • Account key vault per l'ID sottoscrizione.
   • Certificati/segreti nell'insieme di credenziali delle chiavi selezionato.
   • Versioni del certificato/segreto disponibili.

   Nota

   • Azure rete per la distribuzione di contenuti supporta solo i certificati PFX.
   • Affinché il certificato venga ruotato automaticamente alla versione più recente quando è disponibile una versione più recente del certificato nell'insieme di credenziali delle chiavi, impostare la versione del certificato/segreto su 'Latest'. Se è selezionata una versione specifica, è necessario selezionare nuovamente la nuova versione manualmente per la rotazione dei certificati. La distribuzione della nuova versione del certificato/segreto richiede fino a 72 ore. Solo lo SKU Microsoft Standard supporta la rotazione automatica dei certificati.

5. Selezionare Sì per abilitare HTTPS.

6. Quando si usa il certificato, la convalida del dominio non è necessaria. Continuare con Attendere la propagazione.

Convalidare il dominio

Se si dispone di un dominio personalizzato in uso mappato all'endpoint personalizzato con un record CNAME o si usa il proprio certificato, passare a Dominio personalizzato mappato all'endpoint rete per la distribuzione di contenuti.

In caso contrario, se la voce di record CNAME per l'endpoint non esiste più o contiene il sottodominio cdnverify, continuare a Dominio personalizzato non mappato all'endpoint rete CDN.

Il dominio personalizzato è mappato all'endpoint della rete CDN da un record CNAME

Quando è stato aggiunto un dominio personalizzato all'endpoint, è stato creato un record CNAME nel registrar DNS mappato al nome host dell'endpoint rete CDN.

Se il record CNAME esiste ancora e non contiene il sottodominio cdnverify, la CA DigiCert la usa per convalidare automaticamente la proprietà del dominio personalizzato.

Se si usa il proprio certificato, la convalida del dominio non è necessaria.

Il record CNAME deve essere nel formato seguente:

• Il nome è il nome di dominio personalizzato.
• Il valore è il nome host dell'endpoint di rete per la distribuzione di contenuti.

Nome	Type	Valore
<www.contoso.com>	CNAME	contoso.azureedge.net

Per altre informazioni sui record CNAME, vedere Create the CNAME DNS record (Creare un record DNS CNAME).

Se il record CNAME è nel formato corretto, DigiCert verifica automaticamente il nome di dominio personalizzato e crea un certificato per il dominio. DigitCert non invia un messaggio di posta elettronica di verifica e non è necessario approvare la richiesta. Il certificato è valido per un anno e verrà rinnovato automaticamente prima della scadenza. Continuare con Attendere la propagazione.

La convalida automatica richiede in genere qualche ora. Se il dominio non viene convalidato in 24 ore, aprire un ticket di supporto.

Nota

Se si dispone di un record CAA (Certificate Authority Authorization) con il provider DNS, deve includere le ca appropriate per l'autorizzazione. DigiCert è la CA per i profili Microsoft ed Edgio. Per informazioni sulla gestione dei record CAA, vedere l'argomento relativo alla gestione dei record CAA. Per informazioni su uno strumento per i record CAA, vedere Strumento di supporto per record CAA.

Il dominio personalizzato non è mappato all'endpoint rete CDN

Se la voce di record CNAME contiene il sottodominio cdnverify, seguire le istruzioni riportate in questo passaggio.

DigiCert invia un messaggio di verifica agli indirizzi di posta elettronica seguenti. Verificare di poter eseguire l'approvazione direttamente da uno degli indirizzi seguenti:

• admin@your-domain-name.com
• administrator@your-domain-name.com
• webmaster@your-domain-name.com
• hostmaster@your-domain-name.com
• postmaster@your-domain-name.com

Si dovrebbe ricevere un messaggio di posta elettronica in pochi minuti per approvare la richiesta. Nel caso in cui usi un filtro di posta indesiderata, aggiungi verification@digicert.com al relativo elenco di indirizzi consentiti. Se non si riceve un messaggio di posta elettronica entro 24 ore, contattare il supporto tecnico Microsoft.

Quando si seleziona il collegamento di approvazione, si viene indirizzati al modulo di approvazione online seguente:

Seguire le istruzioni nel modulo. Sono disponibili due opzioni di verifica:

• È possibile approvare tutti gli ordini futuri effettuati con lo stesso account per lo stesso dominio radice, ad esempio contoso.com. Questo approccio è consigliato se si prevede di aggiungere altri domini personalizzati per lo stesso dominio radice.

• È possibile approvare solo il nome host specifico usato in questa richiesta. Per le richieste successive è necessaria un'altra approvazione.

Dopo l'approvazione, DigiCert completa la creazione del certificato per il nome di dominio personalizzato. Il certificato è valido per un anno e verrà rinnovato automaticamente prima della scadenza.

Attendere la propagazione

Dopo la convalida del nome di dominio, per l'attivazione della funzionalità HTTPS per il dominio personalizzato possono essere necessarie 6-8 ore. Al termine del processo, lo stato HTTPS personalizzato nella portale di Azure viene modificato in Abilitato. I quattro passaggi dell'operazione nella finestra di dialogo del dominio personalizzato vengono contrassegnati come completi. Il dominio personalizzato è ora pronto per l'uso di HTTPS.

Avanzamento dell'operazione

La tabella seguente illustra l'avanzamento dell'operazione per l'abilitazione di HTTPS. Dopo l'abilitazione di HTTPS, i quattro passaggi dell'operazione vengono visualizzati nella finestra di dialogo del dominio personalizzato. Man mano che ogni passaggio diventa attivo, gli altri dettagli del passaggio vengono visualizzati sotto il passaggio man mano che procede. Non si verificano tutti questi passaggi secondari. Al completamento di un passaggio, accanto viene visualizzato un segno di spunta verde.

Passaggio dell'operazione	Dettagli del passaggio secondario dell'operazione
1 Invio della richiesta	Invio della richiesta
	La richiesta HTTPS è in fase di invio.
	La richiesta HTTPS è stata inviata.
2 Convalida del dominio	Il dominio viene convalidato automaticamente se è CNAME mappato all'endpoint rete CDN. In caso contrario, una richiesta di verifica viene inviata al messaggio di posta elettronica elencato nel record di registrazione del dominio (registrante WHOIS).
	La proprietà del dominio è stata convalidata.
	La richiesta di convalida della proprietà del dominio è scaduta (probabilmente perché il cliente non ha risposto entro 6 giorni). HTTPS non verrà abilitato nel dominio. *
	La richiesta di convalida della proprietà del dominio è stata rifiutata dal cliente. HTTPS non verrà abilitato nel dominio. *
3 Provisioning del certificato	L'autorità di certificazione sta per rilasciare il certificato necessario per abilitare HTTPS nel dominio.
	Il certificato è stato rilasciato ed è in fase di distribuzione nella rete CDN. Questa operazione potrebbe richiedere fino a 6 ore.
	Il certificato è stato distribuito nella rete CDN.
4 Operazione completata	HTTPS è stato abilitato nel dominio.

* Questo messaggio non viene visualizzato a meno che non si sia verificato un errore.

Se si verifica un errore prima dell'invio della richiesta, viene visualizzato il messaggio di errore seguente:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Pulire le risorse - Disabilitare il protocollo HTTPS

In questa sezione viene illustrato come disabilitare HTTPS per il dominio personalizzato.

Disabilitare la funzionalità HTTPS

1. Accedere al portale di Azure quindi cercare e selezionare Profili CDN.

2. Scegli il tuo Rete CDN di Azure Standard da Microsoft, Rete CDN di Azure Standard da Edgio o Rete CDN di Azure Premium dal profilo Edgio.

3. Nell'elenco di endpoint selezionare l'endpoint contenente il dominio personalizzato.

4. Scegliere il dominio personalizzato per cui si vuole disabilitare HTTPS.

   

5. Fare clic su No per disabilitare HTTPS e quindi su Applica.

   

Attendere la propagazione

Per rendere effettiva la disabilitazione della funzionalità HTTPS per il dominio personalizzato possono essere necessarie 6-8 ore. Al termine del processo, lo stato HTTPS personalizzato nella portale di Azure viene modificato in Disabilitato. I tre passaggi dell'operazione nella finestra di dialogo del dominio personalizzato vengono contrassegnati come completi. Il dominio personalizzato non può più usare HTTPS.

Avanzamento dell'operazione

La tabella seguente illustra l'avanzamento dell'operazione per la disabilitazione di HTTPS. Dopo aver disabilitato HTTPS, nella finestra di dialogo del dominio personalizzato vengono visualizzati tre passaggi dell'operazione. Quando un passaggio diventa attivo, i dettagli vengono visualizzati sotto il passaggio. Al completamento di un passaggio, accanto viene visualizzato un segno di spunta verde.

Avanzamento dell'operazione	Dettagli dell'operazione
1 Invio della richiesta	Invio della richiesta
2 Deprovisioning del certificato	Eliminazione del certificato
3 Operazione completata	Il certificato è stato eliminato

Rotazione automatica dei certificati con Rete CDN di Azure da Edgio

I certificati gestiti da Azure Key Vault possono usare la funzionalità di autorotate del certificato, consentendo Rete CDN di Azure da Edgio per recuperare automaticamente i certificati aggiornati e propagarli alla piattaforma Edgio rete CDN. Per abilitare questa funzionalità:

1. Registrare Rete CDN di Azure come applicazione all'interno dell'ID Microsoft Entra.

2. Autorizzare il servizio Rete CDN di Azure ad accedere ai segreti nell'insieme di credenziali delle chiavi. Passare a "Criteri di accesso" all'interno dell'insieme di credenziali delle chiavi per aggiungere un nuovo criterio, quindi concedere all'entità servizio Microsoft.AzureFrontDoor-Cdn un'autorizzazione Recupera segreti.

3. Impostare la versione del certificato su Più recente nel tipo di gestione certificati nel menu Dominio personalizzato. Se è selezionata una versione specifica del certificato, sono necessari aggiornamenti manuali.

Nota

• Tenere presente che la rotazione automatica del certificato può richiedere fino a 24 ore per completare completamente la propagazione del nuovo certificato.
• Se un certificato viene utilizzato per coprire più domini personalizzati, è fondamentale abilitare la rotazione automatica dei certificati in tutti i domini personalizzati che condividono questo certificato per garantire un'operazione corretta. In caso contrario, è possibile che la piattaforma Edgio gestisca una versione non corretta del certificato per il dominio personalizzato che non dispone di questa funzionalità abilitata."

Domande frequenti

1. Chi è il provider di certificati e quale tipo di certificato viene usato?

   Un certificato dedicato fornito da Digicert viene usato per il dominio personalizzato per:

   • Azure rete per la distribuzione di contenuti da Edgio
   • Azure rete per la distribuzione di contenuti da Microsoft

2. Si usa TLS/SSL (SNI) basato su IP o server?

   Entrambe le Rete CDN di Azure di Edgio e Rete CDN di Azure Standard di Microsoft usano TLS/SSL SNI.

3. Cosa accade se non si riceve il messaggio di verifica del dominio da DigiCert?

   Se non si usa il sottodominio cdnverify e la voce CNAME è per il nome host dell'endpoint, non si riceverà un messaggio di posta elettronica di verifica del dominio.

   La convalida viene eseguita automaticamente. In caso contrario, se non è disponibile alcuna voce CNAME e non è stato ricevuto alcun messaggio di posta elettronica entro 24 ore, contattare il supporto tecnico Microsoft.

4. L'uso di un certificato SAN è meno sicuro rispetto a un certificato dedicato?

   Un certificato SAN applica gli stessi standard di crittografia e sicurezza di un certificato dedicato. Tutti i certificati TLS/SSL emessi usano l'algoritmo SHA-256 per la protezione avanzata dei server.

5. È necessario avere un record di autorizzazione dell'autorità di certificazione presso il provider DNS?

   Il record di autorizzazione dell'autorità di certificazione non è attualmente necessario. Se tuttavia se ne ha uno, deve includere DigiCert come CA valida.

6. Il 20 giugno 2018, Rete CDN di Azure da Edgio ha iniziato a usare un certificato dedicato con TLS/SSL SNI per impostazione predefinita. Cosa accade ai miei domini personalizzati che utilizzano un certificato SAN (nome alternativo del soggetto) e una configurazione TLS/SSL basata su IP?

   I domini esistenti vengono gradualmente migrati a un singolo certificato nei prossimi mesi se Microsoft analizza che vengono effettuate solo richieste client SNI all'applicazione.

   Se vengono rilevati client non SNI, i domini rimangono nel certificato SAN con TLS/SSL basato su IP. Le richieste al servizio o ai client non SNI non sono interessate.

7. Come funzionano i rinnovi di certificati con il programma Bring Your Own Certificate?

   Per assicurarsi che un certificato più recente venga distribuito nell'infrastruttura POP, caricare il nuovo certificato in Azure Key Vault. Nelle impostazioni TLS in Azure rete per la distribuzione di contenuti scegliere la versione del certificato più recente e selezionare Salva. Azure rete per la distribuzione di contenuti propaga quindi il nuovo certificato aggiornato.

   Per Rete CDN di Azure dai profili Edgio, se si usa lo stesso certificato di Azure Key Vault in diversi domini personalizzati (ad esempio un certificato con caratteri jolly), assicurarsi di aggiornare tutti i domini personalizzati che usano lo stesso certificato alla versione più recente del certificato.

Passaggi successivi

Questa esercitazione ha descritto come:

• Abilitare il protocollo HTTPS nel dominio personalizzato
• Usare un certificato gestito dalla rete CDN
• Usare un certificato personale
• Convalidare il dominio
• Disabilitare il protocollo HTTPS nel dominio personalizzato

Passare all'esercitazione successiva per informazioni su come configurare la memorizzazione nella cache nell'endpoint della rete CDN.

Esercitazione: Impostare le regole di memorizzazione nella cache della rete CDN di Azure