이 문서에서는 Front Door(클래식)와 연결된 사용자 지정 도메인에 대해 HTTPS를 사용하도록 설정하는 방법을 설명합니다. 사용자 지정 도메인(예 https://www.contoso.com: )에서 HTTPS를 사용하면 TLS/SSL 암호화를 통한 안전한 데이터 전송이 보장됩니다. 웹 브라우저가 HTTPS를 사용하여 웹 사이트에 연결하는 경우 웹 사이트의 보안 인증서의 유효성을 검사하고 정당성을 확인하여 보안을 제공하고 악의적인 공격으로부터 웹 애플리케이션을 보호합니다.
Azure Front Door는 기본적으로 기본 호스트 이름(예: https://contoso.azurefd.net)에서 HTTPS를 지원합니다. 그러나 다음과 같은 www.contoso.com사용자 지정 도메인에 대해 별도로 HTTPS를 사용하도록 설정해야 합니다.
Front Door(클래식) 사용자 지정 도메인에서 HTTPS를 사용하도록 설정하려면 TLS/SSL 인증서가 필요합니다. Azure Front Door에서 관리하는 인증서 또는 사용자 고유의 인증서를 사용할 수 있습니다.
옵션 1(기본값): Front Door에서 관리되는 인증서 사용
Azure Front Door에서 관리하는 인증서를 사용하면 몇 가지 설정을 변경하여 HTTPS를 사용하도록 설정할 수 있습니다. Azure Front Door는 조달 및 갱신을 포함한 모든 인증서 관리 작업을 처리합니다. 사용자 지정 도메인이 이미 Front Door의 기본 프런트 엔드 호스트(){hostname}.azurefd.net에 매핑된 경우 추가 작업이 필요하지 않습니다. 그렇지 않으면 이메일을 통해 도메인 소유권의 유효성을 검사해야 합니다.
CNAME 레코드가 올바른 경우 DigiCert는 자동으로 사용자 지정 도메인을 확인하고 전용 인증서를 만듭니다. 인증서는 1년 동안 유효하며 만료되기 전에 자동으로 갱신됩니다. 계속해서 전파 대기를 진행합니다.
참고
DNS 공급자가 포함된 CAA(Certificate Authority Authorization) 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다. 자세한 내용은 CAA 레코드 관리를 참조 하세요.
사용자 지정 도메인이 Front Door에 매핑되지 않음
엔드포인트에 대한 CNAME 레코드 항목이 더 이상 없거나 afdverify 하위 도메인을 포함하는 경우 다음 지침을 따릅니다.
사용자 지정 도메인에서 HTTPS를 사용하도록 설정한 후 DigiCert는 WHOIS 등록에 나열된 전자 메일 또는 전화를 통해 도메인 등록 기관에 문의하여 소유권의 유효성을 검사합니다. 영업일 기준 6일 이내에 도메인 유효성 검사를 완료해야 합니다. DigiCert 도메인 유효성 검사는 하위 도메인 수준에서 작동합니다.
또한 DIGiCert는 WHOIS 등록자 정보가 비공개인 경우 다음 주소로 확인 이메일을 보냅니다.
<admin@your-domain-name.com>
<administrator@your-domain-name.com>
<webmaster@your-domain-name.com>
<hostmaster@your-domain-name.com>
postmaster@<your-domain-name.com>
요청을 승인하라는 전자 메일을 받아야 합니다. 24시간 이내에 전자 메일을 받지 못하면 Microsoft 지원에 문의하세요.
승인 후 DigiCert는 인증서 만들기를 완료합니다. 인증서는 1년 동안 유효하며 CNAME 레코드가 Azure Front Door의 기본 호스트 이름에 매핑된 경우 autorenews입니다.
참고
관리되는 인증서 autorenewal을 사용하려면 사용자 지정 도메인을 CNAME 레코드로 Front Door의 기본 .azurefd.net 호스트 이름에 직접 매핑해야 합니다.
전파 대기
도메인 유효성 검사 후에는 사용자 지정 도메인 HTTPS 기능을 활성화하는 데 최대 6~8시간이 걸릴 수 있습니다. 완료되면 Azure Portal의 사용자 지정 HTTPS 상태가 사용으로 설정됩니다.
작업 진행 상태
다음 표에서는 HTTPS를 사용하도록 설정할 때의 작업 진행률을 보여 줍니다.
작업 단계
작업 하위 단계 정보
1. 요청 제출
요청 제출
HTTPS 요청을 제출하는 중입니다.
HTTPS 요청이 성공적으로 제출되었습니다.
2. 도메인 유효성 검사
CNAME이 기본 .azurefd.net 프런트 엔드 호스트에 매핑되면 도메인의 유효성이 자동으로 검사됩니다. 그렇지 않으면 도메인의 등록 레코드(WHOIS 등록자)에 나열된 이메일로 확인 요청이 발송됩니다. 최대한 신속하게 도메인을 확인하세요.
도메인 소유권의 유효성이 성공적으로 검사되었습니다.
도메인 소유권 유효성 검사 요청이 만료되었습니다(고객이 6일 이내에 응답하지 않았을 가능성이 높임). 도메인에서 HTTPS를 사용할 수 없습니다. *
고객에 의해 도메인 소유권 유효성 검사 요청이 거부되었습니다. 도메인에서 HTTPS를 사용할 수 없습니다. *
3. 인증서 프로비저닝
인증 기관에서 도메인에서 HTTPS를 사용하도록 설정하는 데 필요한 인증서를 발급하고 있습니다.
인증서가 발급되었으며 Front Door용으로 배포되고 있습니다. 이 프로세스는 몇 분에서 1시간 정도 걸릴 수 있습니다.
인증서가 Front Door에 성공적으로 배포되었습니다.
4. 완료
도메인에서 HTTPS를 사용하도록 설정했습니다.
* 이 메시지는 오류가 발생한 경우에만 표시됩니다.
요청을 제출하기 전에 오류가 발생하는 경우 다음과 같은 오류 메시지가 표시됩니다.
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
자주 묻는 질문
인증서 공급자는 누구이며 어떤 유형의 인증서가 사용되나요?
DigiCert에서 제공하는 전용/단일 인증서는 사용자 지정 도메인에 사용됩니다.
IP 기반 또는 SNI TLS/SSL을 사용하나요?
Azure Front Door는 SNI TLS/SSL을 사용합니다.
DigiCert로부터 도메인 확인 메일을 받지 못한 경우 어떻게 하나요?
엔드포인트 호스트 이름을 직접 가리키는 사용자 지정 도메인에 대한 CNAME 항목이 있고 afdverify 하위 도메인 이름을 사용하지 않는 경우 도메인 확인 이메일을 받지 못합니다. 유효성 검사가 자동으로 수행됩니다. 그렇지 않은 경우 CNAME 항목이 없고 24시간 이내에 전자 메일을 받지 못한 경우 Microsoft 지원에 문의하세요.
SAN 인증서를 사용하는 것보다 전용 인증서를 사용하는 것이 더 안전한가요?
SAN 인증서는 전용 인증서와 동일한 암호화 및 보안 표준을 따릅니다. 발급된 모든 TLS/SSL 인증서는 향상된 서버 보안을 위해 SHA-256을 사용합니다.
내 DNS 공급자에게 CAA(Certificate Authority Authorization) 레코드가 필요합니까?
아니요, CAA 레코드는 현재 필요하지 않습니다. 그러나 이 레코드가 있으면 DigiCert가 유효한 CA로 포함되어야 합니다.