Zelfstudie: HTTPS op een aangepast Azure CDN-domein configureren

Artikel
11/04/2021
13 minuten om te lezen

In deze zelfstudie ziet u hoe u het HTTPS-protocol inschakelt voor een aangepast domein dat is gekoppeld aan een Azure CDN-eindpunt.

Het HTTPS-protocol in uw aangepaste domein (bijvoorbeeld https: /www.contoso.com) zorgt ervoor dat uw gevoelige gegevens veilig worden geleverd / via TLS/SSL. Wanneer uw webbrowser is verbonden via HTTPS, valideert de browser het certificaat van de website. De browser controleert of deze is uitgegeven door een legitieme certificeringsinstantie. Via dit proces zijn uw webtoepassingen beveiligd tegen aanvallen.

Azure CDN biedt standaard ondersteuning voor HTTPS voor een hostnaam van een CDN-eindpunt. Als u een CDN-eindpunt maakt (bijvoorbeeld https://contoso.azureedge.net), wordt HTTPS automatisch ingeschakeld.

Enkele belangrijke kenmerken van de aangepaste HTTPS-functie zijn:

Geen extra kosten: er zijn geen kosten voor het verkrijgen of vernieuwen van certificaten en geen extra kosten voor HTTPS-verkeer. U betaalt alleen voor de uitgaande GB van het CDN.
Eenvoudig inschakelen: inrichten met één klik is beschikbaar in Azure Portal. U kunt ook REST API of andere hulpprogramma’s voor ontwikkelaars gebruiken om de functie in te schakelen.
Volledig certificaatbeheer is beschikbaar:
- alle aanschaf en beheer van certificaten wordt voor u afgehandeld.
- Certificaten worden automatisch ingericht en vernieuwd voordat ze verlopen.

In deze zelfstudie leert u het volgende:

Het HTTPS-protocol inschakelen in uw aangepast domein
Een CDN-beheerd certificaat gebruiken
Uw eigen certificaat gebruiken
Het domein valideren
Het HTTPS-protocol uitschakelen in uw aangepast domein.

Vereisten

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Voordat u de stappen in deze zelfstudie kunt voltooien, moet u eerst een CDN-profiel en ten minste één CDN-eindpunt maken. Zie voor meer informatie Snelstartgids: Een Azure CDN-profiel en een eindpunt maken.

Koppel een Azure CDN aangepast domein aan uw CDN eindpunt. Zie Zelfstudie: Een aangepast domein toevoegen aan uw Azure CDN-eindpunt.

Belangrijk

CDN-beheerde certificaten zijn niet beschikbaar voor root-of apex-domeinen. Als uw Azure CDN aangepast domein een root- of apex-domein is, moet u de functie Uw eigen certificaat gebruiken.

TLS/SSL-certificaten

Als u HTTPS wilt inschakelen Azure CDN aangepast domein, gebruikt u een TLS/SSL-certificaat. U kiest ervoor om een certificaat te gebruiken dat wordt beheerd door Azure CDN of uw certificaat te gebruiken.

Optie 1 (standaard): HTTPS met een door CDN beheerd certificaat inschakelen
Optie 2: HTTPS met uw eigen certificaat inschakelen

Azure CDN verwerkt certificaatbeheertaken zoals inkoop en verlenging. Zodra u de functie hebt ingeschakeld, wordt de procedure onmiddellijk gestart.

Als het aangepaste domein al is CDN eindpunt, is er geen verdere actie nodig. Azure CDN verwerkt de stappen en voltooit uw aanvraag automatisch.

Als uw aangepaste domein elders is in kaart gebracht, gebruikt u e-mail om het eigendom van uw domein te valideren.

Volg deze stappen om HTTPS in te schakelen in een aangepast domein:

Ga naar het Azure Portal om een certificaat te vinden dat wordt beheerd door uw Azure CDN. Zoek en selecteer CDN-profielen.
Kies uw profiel:
- Azure CDN Standard van Microsoft
- Azure CDN Standard van Akamai
- Azure CDN Standard van Verizon
- Azure CDN Premium van Verizon
Selecteer in de lijst met CDN-eindpunten het eindpunt met het aangepaste domein.

De pagina Eindpunt wordt weergegeven.
Selecteer in de lijst met aangepaste domeinen het aangepaste domein waarvoor u HTTPS wilt inschakelen.

De pagina Aangepast domein wordt weergegeven.
Kies onder Certificaatbeheertype CDN-beheerd.
Selecteer Aan om HTTPS in te schakelen.
Ga door met Het domein valideren.

Belangrijk

Deze optie is alleen beschikbaar bij Azure CDN van Microsoft en Azure CDN van Verizon -profielen.

U kunt uw eigen certificaat gebruiken voor het inschakelen van de HTTPS-functie. Dit proces verloopt via een integratie met Azure Key Vault, waarmee u uw certificaten veilig kunt opslaan. Azure Front Door gebruikt dit beveiligde mechanisme om uw certificaat op te halen. Hiervoor zijn enkele extra stappen vereist. Wanneer u uw TLS/SSL-certificaat maakt, moet u een volledige certificaatketen maken met een toegestane certificeringsinstantie (CA) die deel uitmaakt van de lijst met vertrouwde Microsoft-CA's. Als u een niet-toegestane CA gebruikt, wordt uw aanvraag geweigerd. Als een certificaat zonder volledige keten wordt weergegeven, werken de aanvragen die betrekking hebben op dat certificaat niet gegarandeerd zoals verwacht. Voor Azure CDN van Verizon wordt elke geldige CA geaccepteerd.

Voorbereiden van uw Azure Key Vault-account en -certificaat

Azure Key Vault: u moet een Azure Key Vault-account hebben onder hetzelfde abonnement als het Azure CDN-profiel en de CDN-eindpunten die u wilt inschakelen voor aangepaste HTTPS. Maak een Azure Key Vault-account, als u dit niet hebt.
Azure Key Vault certificaten: als u een certificaat hebt, uploadt u het rechtstreeks naar uw Azure Key Vault account. Als u geen certificaat hebt, maakt u een nieuw certificaat rechtstreeks via Azure Key Vault.

Notitie

Het certificaat moet een volledige certificaatketen met leaf- en tussencertificaten hebben en de basis-CA moet deel uitmaken van de lijst met vertrouwde Microsoft-CA's.

Azure CDN registreren

Registreer Azure CDN als een app in Azure Active Directory via PowerShell.

Installeer zo nodig Azure PowerShell op uw lokale computer.

Voer in PowerShell de volgende opdracht uit:

New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

Notitie

205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 is de service-principal voor Microsoft.AzureFrontDoor-Cdn.

New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"

Secret                : 
ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, 
                            https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8}
ApplicationId         : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
ObjectType            : ServicePrincipal
DisplayName           : Microsoft.AzureFrontDoor-Cdn
Id                    : c87be08f-686a-4d9f-8ef8-64707dbd413e
Type                  :

Azure CDN toegang verlenen tot uw sleutelkluis

Geef Azure CDN toegang tot de certificaten (geheimen) in uw Azure Key Vault-account.

Selecteer in uw sleutelkluis in Instellingen sectie Toegangsbeleid. Selecteer + Toegangsbeleid toevoegen in het rechterdeelvenster:
Selecteer op de pagina Toegangsbeleid toevoegen de optie Geen geselecteerd naast Principal selecteren. Voer op de pagina Principal 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 in. Selecteer Microsoft.AzureFrontdoor-Cdn. Kies Selecteren:
Zoek in Principal selecteren naar 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 en kies Microsoft.AzureFrontDoor-Cdn. Kies Selecteren.
Selecteer Certificaatmachtigingen. Schakel de selectievakjes voor Get en List in om de CDN certificaten op te halen en weer te geven.
Selecteer Geheime machtigingen. Schakel de selectievakjes voor Get en List in om CDN machtigingen toe te staan om de geheimen op te halen en weer te geven:
Selecteer Toevoegen.

Notitie

Azure CDN heeft nu toegang tot deze sleutelkluis en de certificaten (geheimen) die in deze sleutelkluis zijn opgeslagen. Elk CDN dat in dit abonnement is gemaakt, heeft toegang tot de certificaten in deze sleutelkluis.

Het certificaat voor implementatie door Azure CDN selecteren

Ga terug naar de Azure CDN-portal en selecteer het profiel en CDN-eindpunt voor het inschakelen van aangepaste HTTPS.
Selecteer in de lijst met aangepaste domeinen het aangepaste domein waarvoor u HTTPS wilt inschakelen.

De pagina Aangepast domein wordt weergegeven.
Kies onder Certificaatbeheertype Mijn eigen certificaat gebruiken.
Selecteer een sleutelkluis, certificaat/geheim en versie van certificaat/geheim.

Azure CDN noemt de volgende informatie:
- De sleutelkluis-accounts voor uw abonnement-ID.
- De certificaten/geheimen onder de geselecteerde sleutelkluis.
- De beschikbare certificaat-/geheime versies.
Notitie

Als u wilt dat het certificaat automatisch wordt geroteerd naar de nieuwste versie wanneer er een nieuwere versie van het certificaat beschikbaar is in uw Key Vault, stelt u de versie van het certificaat/geheim in op Nieuwste. Als er een specifieke versie is geselecteerd, moet u de nieuwe versie handmatig opnieuw selecteren voor certificaatrotatie. Het duurt maximaal 24 uur voordat de nieuwe versie van het certificaat/geheim is geïmplementeerd.
Selecteer Aan om HTTPS in te schakelen.
Wanneer u uw certificaat gebruikt, is domeinvalidatie niet vereist. Ga door naar Wachten op door doorgegeven.

Het domein valideren

Als u een aangepast domein in gebruik hebt dat is CDN uw aangepaste eindpunt met een CNAME-record of als u uw eigen certificaat gebruikt, gaat u verder met Aangepast domein dat is CDN eindpunt .

Als de CNAME-record voor uw eindpunt niet meer bestaat of als deze het subdomein cdnverify bevat, gaat u verder met Aangepast domein dat niet is CDN eindpunt .

Er is een aangepast domein toegewezen aan uw CDN-eindpunt met een CNAME-record

Toen u een aangepast domein aan uw eindpunt hebt toegevoegd, hebt u een CNAME-record gemaakt in de DNS-domeinregistrar die is CDN hostnaam van uw eindpunt.

Als deze CNAME-record nog steeds bestaat en niet het subdomein cdnverify bevat, gebruikt de DigiCert-CA deze om automatisch het eigendom van uw aangepaste domein te valideren.

Als u uw eigen certificaat gebruikt, is domeinvalidatie niet vereist.

Uw CNAME-record moet de volgende indeling hebben:

Naam is uw aangepaste domeinnaam.
Waarde is de hostnaam CDN eindpunt.

Naam	Type	Waarde
<www.contoso.com>	CNAME	contoso.azureedge.net

Zie Create the CNAME DNS record (De CNAME DNS-record maken) voor meer informatie over CNAME-records.

Als uw CNAME-record de juiste indeling heeft, verifieert DigiCert automatisch uw aangepaste domeinnaam en maakt een certificaat voor uw domein. U ontvangt via DigiCert geen verificatie-e-mail en u hoeft uw aanvraag niet goed te keuren. Het certificaat is één jaar geldig en wordt, vóórdat het verloopt, automatisch vernieuwd. Ga door naar Wachten op door doorgegeven.

Automatische validatie duurt meestal een paar minuten. Als het domein na 24 uur nog niet is gevalideerd, opent u een ondersteuningsticket.

Notitie

Als u beschikt over een CAA-record (Certificate Authority Authorization) bij uw DNS-provider, moet deze DigiCert bevatten als een geldige CA. Met een CAA-record kunnen domeineigenaars bij hun DNS-provider opgeven welke CA’s zijn geautoriseerd om certificaten te verlenen voor hun domein. Als een CA een bestelling ontvangt voor een certificaat voor een domein met een CAA-record, en deze CA wordt niet vermeld als een geautoriseerde verlener, mag de CA het certificaat niet verlenen aan dit domein of subdomein. Zie CAA-records beheren voor meer informatie over het beheren van CAA-records. Zie CAA-record Helper voor een hulpprogramma voor CAA-records.

Aangepast domein is niet aan uw CDN-eindpunt

Notitie

Als u Azure CDN van Akamai gebruikt, moet de volgende CNAME worden ingesteld om automatische domeinvalidatie in te schakelen. "_acme-challenge.<custom domain hostname> -> CNAME -> <custom domain hostname>.ak-acme-challenge.azureedge.net"

Als de CNAME-recordvermelding voor uw eindpunt niet meer bestaat of als deze het subdomein cdnverify bevat, volgt u de rest van de instructies in deze stap.

Via DigiCert wordt ook een verificatie-e-mail verzonden naar de volgende e-mailadressen. Verifieer of u direct kunt goedkeuren vanaf een van de volgende adressen:

admin@your-domain-name.com
administrator@your-domain-name.com
webmaster@your-domain-name.com
hostmaster@your-domain-name.com
postmaster@your-domain-name.com

U ontvangt binnen een paar minuten een e-mailbericht om de aanvraag goed te keuren. Als u een spamfilter gebruikt, voegt u toe verification@digicert.com aan de toegestane lijst. Als u na 24 uur nog geen e-mailbericht hebt ontvangen, neemt u contact op met Microsoft Ondersteuning.

E-mailbericht voor domeinvalidatie

Wanneer u de goedkeuringskoppeling selecteert, wordt u omgeleid naar het volgende onlinegoedkeuringsformulier:

Formulier voor domeinvalidatie

Volg de instructies op het formulier. U hebt twee verificatieopties:

U kunt alle toekomstige bestellingen goedkeuren die met hetzelfde account zijn geplaatst voor hetzelfde hoofddomein, bijvoorbeeld contoso.com. Deze aanpak wordt aanbevolen als u van plan bent om andere aangepaste domeinen toe te voegen voor hetzelfde hoofddomein.
U kunt alleen de specifieke hostnaam goedkeuren die wordt gebruikt in deze aanvraag. Een andere goedkeuring is vereist voor latere aanvragen.

Na goedkeuring wordt het certificaat voor de naam van het aangepaste domein met DigiCert voltooid. Het certificaat is één jaar geldig en wordt, vóórdat het verloopt, automatisch vernieuwd.

Wachten op doorgifte

Nadat de domeinnaam is gevalideerd, duurt het maximaal 6 tot 8 uur voordat de HTTPS-functie van het aangepaste domein is geactiveerd. Wanneer het proces is voltooid, wordt de aangepaste HTTPS-status in Azure Portal gewijzigd in Ingeschakeld. De vier bewerkingsstappen in het dialoogvenster Aangepast domein zijn gemarkeerd als voltooid. Het aangepaste domein is nu klaar voor gebruik van HTTPS.

Dialoogvenster HTTPS inschakelen

Bewerkingsvoortgang

In de volgende tabel wordt de bewerkingsvoortgang weergegeven die plaatsvindt nadat u HTTPS hebt ingeschakeld. Als u HTTPS hebt ingeschakeld, worden vier bewerkingsstappen weergegeven in het dialoogvenster Aangepast domein. Wanneer elke stap actief wordt, worden andere substapdetails weergegeven onder de stap terwijl deze wordt uitgevoerd. Niet al deze substappen worden uitgevoerd. Nadat een stap is voltooid, wordt naast deze stap een groen vinkje weergegeven.

Bewerkingsstap	Details van bewerkingssubstap
1 Aanvraag verzenden	Aanvraag verzenden
	De HTTPS-aanvraag wordt verzonden.
	De HTTPS-aanvraag is verzonden.
2 Domeinvalidatie	Het domein wordt automatisch gevalideerd als het CNAME is CDN eindpunt. In andere gevallen wordt een verificatieaanvraag verzonden naar het e-mailadres dat wordt vermeld in de registratierecord (WHOIS-registrator) van uw domein.
	Uw domeineigendom is gevalideerd.
	Validatieaanvraag voor eigendom van het domein is verlopen (de klant heeft waarschijnlijk niet binnen zes dagen gereageerd). HTTPS wordt niet ingeschakeld in uw domein. *
	Validatieaanvraag voor eigendom van het domein is geweigerd door de klant. HTTPS wordt niet ingeschakeld in uw domein. *
3 Certificaat inrichten	De certificeringsinstantie verleent momenteel het certificaat dat nodig is om HTTPS in te schakelen in uw domein.
	Het certificaat is verleend en wordt momenteel geïmplementeerd in het CDN-netwerk. Dit duurt maximaal 6 uur.
	Het certificaat is geïmplementeerd in het CDN-netwerk.
4 Voltooien	HTTPS is ingeschakeld in uw domein.

* Dit bericht wordt niet weergegeven tenzij er een fout is opgetreden.

Als er een fout optreedt voordat de aanvraag is verzonden, wordt het volgende foutbericht weergegeven:


We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Resources opschonen - HTTPS uitschakelen

In deze sectie leert u hoe u HTTPS kunt uitschakelen voor uw aangepaste domein.

De HTTPS-functie uitschakelen

Zoek en selecteer CDN-profielen in het Azure Portal.
Kies uw Azure CDN Standard van Microsoft, Azure CDN Standard van Verizon of Azure CDN Premium van Verizon-profiel.
Klik in de lijst met eindpunten op het eindpunt met uw aangepaste domein.
Klik op het aangepaste domein waarvoor u HTTPS wilt uitschakelen.
Klik op Uit om HTTPS uit te schakelen, klik vervolgens op Toepassen.

Wachten op doorgifte

Nadat de HTTPS-functie voor aangepaste domeinen is uitgeschakeld, duurt het maximaal 6 tot 8 uur voordat dit is doorgevoerd. Wanneer het proces is voltooid, wordt de aangepaste HTTPS-status in Azure Portal gewijzigd in Uitgeschakeld. De drie bewerkingsstappen in het dialoogvenster Aangepast domein zijn gemarkeerd als voltooid. Het aangepaste domein kan niet meer gebruikmaken van HTTPS.

Dialoogvenster HTTPS uitschakelen

Bewerkingsvoortgang

In de volgende tabel wordt de bewerkingsvoortgang weergegeven die plaatsvindt nadat u HTTPS hebt uitgeschakeld. Nadat u HTTPS hebt uitgeschakeld, worden er drie bewerkingsstappen weergegeven in het dialoogvenster Aangepast domein. Wanneer een stap actief wordt, worden details weergegeven onder de stap. Nadat een stap is voltooid, wordt naast deze stap een groen vinkje weergegeven.

Bewerkingsvoortgang	Bewerkingsdetails
1 Aanvraag verzenden	De aanvraag verzenden
2 Inrichting van het certificaat ongedaan maken	Certificaat verwijderen
3 Voltooien	Certificaat is verwijderd

Veelgestelde vragen

Wie is de certificaatprovider en welk type certificaat is gebruikt?

Er wordt een toegewezen certificaat van Digicert gebruikt voor uw aangepaste domein voor:
- Azure CDN van Verizon
- Azure CDN van Microsoft
Gebruikt u IP of SNI TLS/SSL?

Zowel Azure CDN van Verizon als Azure CDN Standard van Microsoft gebruikt SNI TLS/SSL.
Wat moet ik doen als ik geen verificatie-e-mail voor het domein heb ontvangen van DigiCert?

Als u het subdomein cdnverify niet gebruikt en uw CNAME-vermelding is voor de hostnaam van uw eindpunt, ontvangt u geen e-mail over domeinverificatie.

Validatie wordt dan automatisch uitgevoerd. In andere gevallen waarbij u geen CNAME-vermelding hebt en binnen 24 uur geen e-mail hebt ontvangen, neemt u contact op met Microsoft Ondersteuning.
Is het gebruik van een SAN-certificaat minder veilig dan wanneer ik een toegewezen certificaat gebruik?

Voor een SAN-certificaat gelden dezelfde standaarden voor versleuteling en beveiliging als voor een toegewezen certificaat. Alle verleende TLS/SSL-certificaten maken gebruik van SHA-256 voor verbeterde serverbeveiliging.
Heb ik een CAA-record nodig bij mijn DNS-provider?

De record Autorisatie van certificeringsinstantie is momenteel niet vereist. Als u er echter wel een hebt, moet deze DigiCert bevatten als een geldige CA.
Vanaf 20 juni 2018 gebruikt Azure CDN van Verizon standaard een toegewezen certificaat met SNI TLS/SSL. Wat gebeurt er met mijn bestaande aangepaste domeinen die gebruik maken van een SAN-certificaat (Subject Alternative Names) en TLS/SSL op basis van IP?

Uw bestaande domeinen worden de komende maanden geleidelijk gemigreerd naar één certificaat, als Microsoft analyseert dat alleen SNI-clientaanvragen aan uw toepassing worden gericht.

Als niet-SNI-clients worden gedetecteerd, blijven uw domeinen in het SAN-certificaat met TLS/SSL op basis van IP. Aanvragen naar uw service of clients die niet van SNI zijn, worden niet beïnvloed.
Hoe werkt het vernieuwen van certificaten met Bring Your Own Certificate?

Upload uw nieuwe certificaat naar Azure KeyVault om ervoor te zorgen dat er een nieuwer certificaat wordt geïmplementeerd in de PoP-infrastructuur. Kies in uw TLS-instellingen Azure CDN nieuwste certificaatversie en selecteer Opslaan. Azure CDN zal vervolgens uw nieuwe bijgewerkte certificaat doorgeven.
Moet ik HTTPS opnieuw inschakelen nadat het eindpunt opnieuw is opgestart?

Ja. Als u Azure CDN van Akamai gebruikt, als het eindpunt stopt en opnieuw wordt opgestart, moet u de HTTPS-instelling opnieuw inschakelen als de instelling eerder actief was.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

Het HTTPS-protocol inschakelen in uw aangepast domein
Een CDN-beheerd certificaat gebruiken
Uw eigen certificaat gebruiken
Het domein valideren
Het HTTPS-protocol uitschakelen in uw aangepast domein.

Ga naar de volgende zelfstudie voor meer informatie over het configureren van caching op het CDN-eindpunt.

Zelfstudie: Azure CDN-regels voor opslaan in cache instellen

Zelfstudie: HTTPS op een aangepast Azure CDN-domein configureren

Beoordeel uw ervaring

Vereisten

TLS/SSL-certificaten

Het domein valideren

Er is een aangepast domein toegewezen aan uw CDN-eindpunt met een CNAME-record

Aangepast domein is niet aan uw CDN-eindpunt

Wachten op doorgifte

Bewerkingsvoortgang

Resources opschonen - HTTPS uitschakelen

De HTTPS-functie uitschakelen

Wachten op doorgifte

Bewerkingsvoortgang

Veelgestelde vragen

Volgende stappen