Zelfstudie: HTTPS configureren in een aangepast Front Door-domein

  • Artikel
  • 13 minuten om te lezen

In deze zelfstudie ziet u hoe u het HTTPS-protocol inschakelt voor een aangepast domein dat onder de sectie Front-endhosts is gekoppeld aan Front Door. Door het HTTPS-protocol te gebruiken in uw aangepaste domein (bijvoorbeeld https: /www.contoso.com), zorgt u ervoor dat uw gevoelige gegevens veilig worden geleverd via TLS/SSL-versleuteling wanneer deze via internet worden / verzonden. Wanneer uw webbrowser is verbonden met een website via HTTPS, wordt het beveiligingscertificaat van de website gevalideerd en wordt er gecontroleerd of het certificaat is uitgegeven door een legitieme certificeringsinstantie. Via dit proces zijn uw webtoepassingen beveiligd tegen aanvallen.

Azure Front Door ondersteunt HTTPS voor een standaardhostnaam van Front Door, zonder dat er aanpassingen nodig zijn. Als u bijvoorbeeld een Front Door maakt (zoals https:https://contoso.azurefd.net), wordt HTTPS automatisch ingeschakeld voor aanvragen naar https://contoso.azurefd.net. Wanneer u echter het aangepaste domein 'www.contoso.com' onboardt, moet u https voor deze front-endhost inschakelen.

Enkele belangrijke kenmerken van de aangepaste HTTPS-functie zijn:

  • Geen extra kosten: er zijn geen kosten voor het verkrijgen of vernieuwen van certificaten en geen extra kosten voor HTTPS-verkeer.

  • Eenvoudig inschakelen: inrichten met één klik is beschikbaar in Azure Portal. U kunt ook REST API of andere hulpprogramma’s voor ontwikkelaars gebruiken om de functie in te schakelen.

  • Volledig certificaatbeheer is beschikbaar: alle aanschaf en beheer van certificaten wordt voor u afgehandeld. Certificaten worden automatisch ingericht en vernieuwd vóór de vervaldatum, waardoor de kans op onderbreking van de service als gevolg van het verlopen van een certificaat wordt geëlimineerd.

In deze zelfstudie leert u het volgende:

  • Het HTTPS-protocol inschakelen in uw aangepast domein
  • Een met AFD beheerd certificaat gebruiken
  • Uw eigen certificaat gebruiken, dat wil zeggen, een aangepast TLS/SSL-certificaat
  • Het domein valideren
  • Het HTTPS-protocol uitschakelen in uw aangepast domein

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Vereisten

Voordat u de stappen in deze zelfstudie kunt voltooien, moet u een Front Door maken waaraan ten minste één aangepast domein is toegevoegd. Zie Zelfstudie: Een aangepast domein toevoegen aan uw Front Door voor meer informatie.

TLS/SSL-certificaten

Als u het HTTPS-protocol wilt inschakelen voor het veilig leveren van inhoud aan een aangepast Front Door-domein, moet u een TLS/SSL-certificaat gebruiken. U kunt ervoor kiezen om een certificaat te gebruiken dat wordt beheerd door Azure Front Door, maar u kunt ook uw eigen certificaat gebruiken.

Optie 1 (standaard): gebruik een certificaat dat wordt beheerd door Front Door

Wanneer u een certificaat gebruikt dat wordt beheerd door Azure Front Door, kan de HTTPS-functie met een paar muisklikken worden ingeschakeld. Azure Front Door verwerkt certificaatbeheertaken van begin tot eind. Denk hierbij aan taken zoals het kopen en vernieuwen van certificaten. Zodra u de functie hebt ingeschakeld, wordt de procedure onmiddellijk gestart. Als het aangepaste domein al is toegewezen aan de standaardfront-endhost van Front Door ({hostname}.azurefd.net), is geen verdere actie vereist. Front Door verwerkt de stappen en voltooit uw aanvraag automatisch. Als uw aangepaste domein echter elders is toegewezen, moet u e-mail gebruiken om uw domeinbezit te valideren.

Volg deze stappen om HTTPS in te schakelen in een aangepast domein:

  1. Blader in de Azure-portal naar uw profiel van Front Door.

  2. Selecteer in de lijst met front-endhosts de host met het aangepaste domein waarvoor u HTTPS wilt inschakelen.

  3. Selecteer in de sectie Https voor aangepast domein de optie Ingeschakeld en selecteer Front Door beheerd als de certificaatbron.

  4. Selecteer Opslaan.

  5. Ga door met Het domein valideren.

Notitie

  • Voor door AFD beheerde certificaten geldt de limiet van 64 tekens van DigiCert. De validatie mislukt als deze limiet wordt overschreden.
  • Https inschakelen via Front Door beheerd certificaat wordt niet ondersteund voor apex-/root-domeinen (bijvoorbeeld: contoso.com). U kunt uw eigen certificaat gebruiken voor dit scenario. Ga verder met optie 2 voor meer informatie.

Optie 2: gebruik uw eigen certificaat

U kunt uw eigen certificaat gebruiken voor het inschakelen van de HTTPS-functie. Dit proces verloopt via een integratie met Azure Key Vault, waarmee u uw certificaten veilig kunt opslaan. Azure Front Door maakt gebruik van dit beveiligde mechanisme om uw certificaat op te halen. Hiervoor zijn enkele extra stappen vereist. Wanneer u uw TLS/SSL-certificaat maakt, moet u een volledige certificaatketen maken met een toegestane certificeringsinstantie (CA) die deel uitmaakt van de lijst met vertrouwde Microsoft-CA's. Als u een niet-toegestane CA gebruikt, wordt uw aanvraag geweigerd. Als een certificaat zonder volledige keten wordt weergegeven, werken de aanvragen die betrekking hebben op dat certificaat niet gegarandeerd zoals verwacht.

Voorbereiden van uw Azure Key Vault-account en -certificaat

  1. Azure Key Vault: u moet een Azure Key Vault-account hebben onder hetzelfde abonnement als de Front Door die u wilt inschakelen voor aangepaste HTTPS. Maak een Azure Key Vault-account als u er nog geen hebt.

Waarschuwing

Azure Front Door ondersteunt momenteel alleen Key Vault-accounts in hetzelfde abonnement als de Front Door-configuratie. Als u een sleutelkluis kiest van een ander abonnement dan de Front Door, treedt er een fout op.

  1. Azure Key Vault-certificaten: als u al in het bezit bent van een certificaat, kunt u dit rechtstreeks uploaden naar uw Azure Key Vault-account of u kunt via Azure Key Vault direct een certificaat maken bij een van de partnercertificeringsinstanties waarmee Azure Key Vault is geïntegreerd. Upload uw certificaat als een certificaat-object in plaats van een geheim.

Notitie

Voor uw eigen TLS/SSL-certificaat biedt Front Door geen ondersteuning voor certificaten met EC-cryptografie-algoritmen. Het certificaat moet een volledige certificaatketen met leaf- en tussencertificaten hebben en de basis-CA moet deel uitmaken van de lijst met vertrouwde Microsoft-CA's.

Azure Front Door registreren

Registreer de service-principal voor Azure Front Door als een app in uw Azure Active Directory via PowerShell.

Notitie

Voor deze actie zijn globale beheerdersmachtigingen vereist en de actie moet maar eenmaal per tenant worden uitgevoerd.

  1. Installeer zo nodig Azure PowerShell in PowerShell op uw lokale computer.

  2. Voer in PowerShell de volgende opdracht uit:

    New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"

Azure Front Door toegang verlenen tot uw sleutelkluis

Geef Azure Front Door toegang tot de certificaten in uw Azure Key Vault-account.

  1. Selecteer in uw Key Vault-account onder instellingen Toegangsbeleid, selecteer daarna Nieuwe toevoegen om een nieuw beleid te maken.

  2. Zoek bij Principal selecteren naar ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 en kies Microsoft.Azure.Frontdoor. Klik op Selecteren.

  3. Selecteer in Geheime machtigingen de optie Ophalen om Front Door het certificaat te laten ophalen.

  4. Selecteer in Certificaatmachtigingen de optie Ophalen om Front Door het certificaat te laten ophalen.

  5. Selecteer OK.

    Azure Front Door heeft nu toegang tot deze sleutelkluis en de certificaten die in deze sleutelkluis zijn opgeslagen.

Het certificaat voor implementatie door Azure Front Door selecteren

  1. Ga terug naar uw Front Door in de portal.

  2. Selecteer in de lijst met aangepaste domeinen het aangepaste domein waarvoor u HTTPS wilt inschakelen.

    De pagina Aangepast domein wordt weergegeven.

  3. Kies onder Certificaatbeheertype Mijn eigen certificaat gebruiken.

  4. Azure Front Door vereist dat het abonnement van het Key Vault-account hetzelfde is als dat van uw Front Door. Selecteer een sleutelkluis, geheim en geheime versie.

    Azure Front Door geeft de volgende gegevens weer:

    • De sleutelkluis-accounts voor uw abonnement-ID.
    • De geheimen onder de geselecteerde sleutelkluis.
    • De beschikbare geheime versies.

    Notitie

    Als u wilt dat het certificaat automatisch wordt geroteerd naar de nieuwste versie wanneer er een nieuwere versie van het certificaat beschikbaar is in uw Key Vault, stelt u de geheime versie in op Nieuwste. Als er een specifieke versie is geselecteerd, moet u de nieuwe versie handmatig opnieuw selecteren voor certificaatrotatie. Het duurt maximaal 24 uur voordat de nieuwe versie van het certificaat/geheim is geïmplementeerd.

    Schermopname van het selecteren van een geheime versie op de pagina Aangepast domein bijwerken.

  5. Wanneer u uw eigen certificaat gebruikt, is domeinvalidatie niet vereist. Ga door naar Wachten op door doorgegeven.

Het domein valideren

Als u al een aangepast domein in gebruik hebt dat met een CNAME-record wordt aan uw aangepaste eindpunt wordt toegesneden of als u uw eigen certificaat gebruikt, gaat u verder met Aangepast domein dat isFront Door . Als de CNAME-record voor uw domein niet meer bestaat of als deze het subdomein afdverify bevat, gaat u verder naar Aangepast domein isniet aan uw Front Door .

Er is geen aangepast domein toegewezen aan uw Front Door met een CNAME-record

Toen u een aangepast domein toevoegde aan de front-endhosts van uw Front Door, hebt u een CNAME-record gemaakt in de DNS-tabel van uw domeinregistrar om het domein toe te wijzen aan de standaardhostnaam .azurefd.net van uw Front Door. Als deze CNAME-record nog steeds bestaat en niet het subdomein afdverify bevat, gebruikt de DigiCert-certificeringsinstantie deze om automatisch het eigendom van uw aangepaste domein te valideren.

Als u uw eigen certificaat gebruikt, is domeinvalidatie niet vereist.

Uw CNAME-record moet de volgende indeling hebben, waarbij Naam de naam van het aangepaste domein is en Waarde de standaardhostnaam .azurefd.net van uw Front Door:

Naam Type Waarde
<www.contoso.com> CNAME contoso.azurefd.net

Zie Create the CNAME DNS record (De CNAME DNS-record maken) voor meer informatie over CNAME-records.

Als de CNAME-record de juiste indeling heeft, wordt de naam van het aangepaste domein automatisch geverifieerd met DigiCert en wordt er een toegewezen certificaat voor uw domeinnaam gemaakt. U ontvangt via DigiCert geen verificatie-e-mail en u hoeft uw aanvraag niet goed te keuren. Het certificaat is één jaar geldig en wordt, vóórdat het verloopt, automatisch vernieuwd. Ga verder met Wachten op door doorgegeven.

Automatische validatie duurt meestal een paar minuten. Als het domein na een uur nog niet is gevalideerd, opent u een ondersteuningsticket.

Notitie

Als u beschikt over een CAA-record (Certificate Authority Authorization) bij uw DNS-provider, moet deze DigiCert bevatten als een geldige CA. Met een CAA-record kunnen domeineigenaars bij hun DNS-provider opgeven welke CA’s zijn geautoriseerd om certificaten te verlenen voor hun domein. Als een CA een bestelling ontvangt voor een certificaat voor een domein met een CAA-record, en deze CA wordt niet vermeld als een geautoriseerde verlener, mag de CA het certificaat niet verlenen aan dit domein of subdomein. Zie CAA-records beheren voor meer informatie over het beheren van CAA-records. Zie CAA-record Helper voor een hulpprogramma voor CAA-records.

Het aangepaste domein is niet toegewezen aan uw Front Door

Als de CNAME-record voor uw eindpunt niet meer bestaat of als deze het subdomein afdverify bevat, volgt u de rest van de instructies in deze stap.

Nadat u HTTPS hebt ingeschakeld voor uw aangepaste domein, wordt met de DigiCert-CA het eigendom van het domein gevalideerd door contact op te nemen met de bijbehorende registrator, op basis van de WHOIS-registratiegegevens van het domein. Contact verloopt via het e-mailadres (standaard) of het telefoonnummer dat staat vermeld in de WHOIS-registratie. U moet de domeinvalidatie voltooien voordat HTTPS actief is voor uw aangepaste domein. U hebt zes werkdagen de tijd om het domein goed te keuren. Aanvragen die niet binnen zes werkdagen zijn goedgekeurd, worden automatisch geannuleerd. DigiCert-domeinvalidatie werkt op subdomeinniveau. U moet het eigendom van elk subdomein afzonderlijk bewijzen.

WHOIS-record

DigiCert verzendt ook een verificatie-e-mail naar andere e-mailadressen. Als de WHOIS-registratiegegevens privé zijn, verifieert u dat u direct kunt goedkeuren vanaf een van de volgende adressen:

admin@<uw-domeinnaam.com>
administrator@<uw-domeinnaam.com>
webmaster@<uw-domeinnaam.com>
hostmaster@<uw-domeinnaam.com>
postmaster@<uw-domeinnaam.com>

U ontvangt binnen enkele minuten een e-mailbericht, vergelijkbaar met het bericht in het volgende voorbeeld, waarin u wordt gevraagd om de aanvraag goed te keuren. Als u een spamfilter gebruikt, voegt u toe no-reply@digitalcertvalidation.com aan de toegestane lijst. In bepaalde scenario's kan DigiCert de domeincontacten mogelijk niet ophalen uit de WHOIS-registratiegegevens om u een e-mail te sturen. Als u na 24 uur nog geen e-mailbericht hebt ontvangen, neemt u contact op met Microsoft Ondersteuning.

Wanneer u de goedkeuringskoppeling selecteert, wordt u omgeleid naar een onlinegoedkeuringsformulier. Volg de instructies op het formulier. U hebt twee verificatieopties:

  • U kunt alle toekomstige bestellingen goedkeuren die met hetzelfde account zijn geplaatst voor hetzelfde hoofddomein, bijvoorbeeld contoso.com. Deze aanpak wordt aanbevolen als u van plan bent om meer aangepaste domeinen toe te voegen voor hetzelfde hoofddomein.

  • U kunt alleen de specifieke hostnaam goedkeuren die wordt gebruikt in deze aanvraag. Extra goedkeuring is vereist voor volgende aanvragen.

Na goedkeuring wordt het certificaat voor de naam van het aangepaste domein met DigiCert voltooid. Het certificaat is één jaar geldig en wordt, vóórdat het verloopt, automatisch vernieuwd.

Wachten op doorgifte

Nadat de domeinnaam is gevalideerd, duurt het maximaal 6 tot 8 uur voordat de HTTPS-functie van het aangepaste domein is geactiveerd. Wanneer het proces is voltooid, is de aangepaste HTTPS-status in Azure Portal ingesteld op Ingeschakeld en zijn de vier bewerkingsstappen in het dialoogvenster Aangepast domein gemarkeerd als Voltooid. Het aangepaste domein is nu klaar voor gebruik van HTTPS.

Bewerkingsvoortgang

In de volgende tabel wordt de bewerkingsvoortgang weergegeven die plaatsvindt nadat u HTTPS hebt ingeschakeld. Als u HTTPS hebt ingeschakeld, worden vier bewerkingsstappen weergegeven in het dialoogvenster Aangepast domein. Wanneer elke stap actief wordt, worden er meer substapdetails weergegeven onder de stap terwijl deze wordt uitgevoerd. Niet al deze substappen worden uitgevoerd. Nadat een stap is voltooid, wordt naast deze stap een groen vinkje weergegeven.

Bewerkingsstap Details van bewerkingssubstap
1 Aanvraag verzenden Aanvraag verzenden
De HTTPS-aanvraag wordt verzonden.
De HTTPS-aanvraag is verzonden.
2 Domeinvalidatie Het domein wordt automatisch gevalideerd als het CNAME is dat is azurefd.net .azurefd.net host van uw Front Door. In alle andere gevallen wordt er een verificatieaanvraag verzonden naar het e-mailadres dat wordt vermeld in de registratierecord (WHOIS-registrator) van uw domein. Verifieer het domein zo snel mogelijk.
Uw domeineigendom is gevalideerd.
Validatieaanvraag voor eigendom van het domein is verlopen (de klant heeft waarschijnlijk niet binnen zes dagen gereageerd). HTTPS wordt niet ingeschakeld in uw domein. *
Validatieaanvraag voor eigendom van het domein is geweigerd door de klant. HTTPS wordt niet ingeschakeld in uw domein. *
3 Certificaat inrichten De certificeringsinstantie verleent momenteel het certificaat dat nodig is om HTTPS in te schakelen in uw domein.
Het certificaat is verleend en wordt momenteel geïmplementeerd naar uw Front Door. Dit proces kan enkele minuten tot een uur duren.
Het certificaat is geïmplementeerd naar uw Front Door.
4 Voltooien HTTPS is ingeschakeld in uw domein.

* Dit bericht wordt niet weergegeven tenzij er een fout is opgetreden.

Als er een fout optreedt voordat de aanvraag is verzonden, wordt het volgende foutbericht weergegeven:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Veelgestelde vragen

  1. Wie is de certificaatprovider en welk type certificaat is gebruikt?

    Er wordt een gereserveerd/specifiek certificaat, geleverd via Digicert, gebruikt voor uw aangepaste domein.

  2. Gebruikt u IP of SNI TLS/SSL?

    Azure Front Door maakt gebruik van SNI TLS/SSL.

  3. Wat moet ik doen als ik geen verificatie-e-mail voor het domein heb ontvangen van DigiCert?

    Als u een CNAME-vermelding voor uw aangepaste domein hebt die rechtstreeks naar de hostnaam van uw eindpunt wijst (en u niet de naam van het afdverify-subdomein gebruikt), ontvangt u geen e-mail over domeinverificatie. Validatie wordt dan automatisch uitgevoerd. In andere gevallen waarbij u geen CNAME-vermelding hebt en binnen 24 uur geen e-mail hebt ontvangen, neemt u contact op met Microsoft Ondersteuning.

  4. Is het gebruik van een SAN-certificaat minder veilig dan wanneer ik een toegewezen certificaat gebruik?

    Voor een SAN-certificaat gelden dezelfde standaarden voor versleuteling en beveiliging als voor een toegewezen certificaat. Alle verleende TLS/SSL-certificaten maken gebruik van SHA-256 voor verbeterde serverbeveiliging.

  5. Heb ik een CAA-record nodig bij mijn DNS-provider?

    Nee, een autorisatierecord van de certificeringsinstantie is momenteel niet vereist. Als u er echter wel een hebt, moet deze DigiCert bevatten als een geldige CA.

Resources opschonen

In de voorgaande stappen hebt u het HTTPS-protocol in uw aangepaste domein ingeschakeld. Als u uw aangepaste domein niet meer wilt gebruiken met HTTPS, kunt u HTTPS uitschakelen door de volgende stappen uit te voeren:

De HTTPS-functie uitschakelen

  1. Blader in Azure Portal naar de configuratie van Azure Front Door.

  2. Selecteer in de lijst met front-endhosts het aangepaste domein waarvoor u HTTPS wilt uitschakelen.

  3. Klik op Uitgeschakeld om HTTPS uit te schakelen. Klik vervolgens op Opslaan.

Wachten op doorgifte

Nadat de HTTPS-functie voor aangepaste domeinen is uitgeschakeld, duurt het maximaal 6 tot 8 uur voordat dit is doorgevoerd. Wanneer het proces is voltooid, wordt de aangepaste HTTPS-status in de Azure Portal ingesteld op Uitgeschakeld en worden de drie bewerkingsstappen in het dialoogvenster Aangepast domein gemarkeerd als voltooid. Het aangepaste domein kan niet meer gebruikmaken van HTTPS.

Bewerkingsvoortgang

In de volgende tabel wordt de bewerkingsvoortgang weergegeven die plaatsvindt nadat u HTTPS hebt uitgeschakeld. Als u HTTPS hebt uitgeschakeld, worden drie bewerkingsstappen weergegeven in het dialoogvenster Aangepast domein. Wanneer elke stap actief wordt, worden er meer details weergegeven onder de stap. Nadat een stap is voltooid, wordt naast deze stap een groen vinkje weergegeven.

Bewerkingsvoortgang Bewerkingsdetails
1 Aanvraag verzenden De aanvraag verzenden
2 Inrichting van het certificaat ongedaan maken Certificaat verwijderen
3 Voltooien Certificaat is verwijderd

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

  • Een certificaat uploaden naar Key Vault.
  • Een domein valideren.
  • Schakel HTTPS in voor uw aangepaste domein.

Ga verder met de volgende zelfstudie voor meer informatie over het instellen van een geofilterbeleid voor uw Front Door.

Een geofilteringsbeleid instellen