Руководство. Защита приложения службы приложение Azure с помощью личного домена и управляемого сертификата

  • Статья

Доменное имя по умолчанию, которое поставляется с приложением <app-name>.azurewebsites.net , может не представлять свой бренд так, как вы хотите. В этом руководстве описано, как настроить Служба приложений с доменомwww, которым вы владеете, напримерwww.contoso.com, и защитить личный домен с помощью управляемого сертификата Служба приложений.

Имя <app-name>.azurewebsites.net уже защищено диким сертификатом карта для всех приложений Служба приложений, но ваш личный домен должен быть защищен с помощью отдельного сертификата. Самый простой способ — использовать управляемый сертификат из Служба приложений. Это бесплатно и легко использовать, и он предоставляет основные функции защиты личного домена в Служба приложений. Дополнительные сведения см. в статье "Добавление сертификата TLS в Служба приложений".

Предварительные условия для сценария

  • Создайте приложение службы приложений.
  • Убедитесь, что вы можете изменять записи DNS для личного домена. Чтобы редактировать записи DNS, вам потребуется доступ к реестру DNS используемого поставщика доменов, например GoDaddy. Например, чтобы добавить записи DNS для www.contoso.com, необходимо настроить параметры DNS для корневого contoso.com домена. Личные домены должны находиться в общедоступной зоне DNS. Частная зона DNS поддерживается только для Среды службы приложений (ASE) внутренней подсистемы балансировки нагрузки (ILB).
  • Если у вас еще нет личного домена, вы можете приобрести домен Службы приложений.

А. Масштабируйте приложение

Вам нужно масштабировать приложение до уровня "Базовый ". Базовый уровень соответствует минимальному требованию ценовой категории для пользовательских доменов (общие) и сертификатов (Базовый).

Шаг 1. В портал Azure:

  1. Введите имя приложения в строке поиска в верхней части.
  2. Выберите именованный ресурс с типом Служба приложений.

A screenshot showing how to use the search box in the top tool bar to open your App Service app's management page.

Шаг 2. На странице управления приложения:

  1. В области навигации слева выберите "Увеличить масштаб" (Служба приложений план).
  2. Выберите проверка box для Basic B1.
  3. Выберите Выбрать. После завершения обновления приложения появится всплывающее уведомление.

A screenshot showing how to scale up an App Service app to Basic B1 tier.

Дополнительные сведения о масштабировании приложений см. в статье "Масштабирование приложения" в службе приложение Azure.

B. Настройка личного домена

Шаг 1. На странице управления приложения:

  1. В меню слева выберите "Личные домены".
  2. Нажмите кнопку Добавить личный домен.

A screenshot showing how to add a custom domain.

Шаг 2. В диалоговом окне добавления личного домена :

  1. Для поставщика домена выберите "Все остальные доменные службы".
  2. Для TLS/SSL-сертификата выберите Служба приложений Управляемый сертификат.
  3. Для домена укажите полное доменное имя, которое вы хотите использовать в зависимости от того домена, который вы владеете. Например, если вы владеете contoso.com, можно использовать www.contoso.com.
  4. Пока не нажимайте кнопку "Проверить ".

A screenshot showing how to configure a new custom domain, along with a managed certificate.

Для каждого личного домена в Служба приложений требуется две записи DNS с поставщиком домена. В разделе проверки домена показаны две записи DNS, которые необходимо добавить с поставщиком домена. Нажмите соответствующую кнопку "Копировать ", чтобы помочь вам в следующем шаге.

C. Создание записей DNS

Войдите на веб-сайт своего поставщика домена.

  1. Найдите страницу для управления записями DNS, доменным именем, DNS или управлением сервера имен (точной страницей отличается поставщик домена).
  2. Выберите " Добавить " или соответствующее мини-приложение, чтобы создать запись DNS.
  3. Выберите тип записи DNS на основе раздела проверки домена в портал Azure (CNAME, A или TXT).
  4. Настройте запись DNS на основе столбцов узла и значения из раздела проверки домена в портал Azure.
  5. Обязательно добавьте две разные записи для личного домена.
  6. Для определенных поставщиков изменения записей DNS не становятся эффективными, пока не выберите отдельную ссылку "Сохранить изменения ". Снимок экрана показывает, как должны выглядеть записи DNS для www поддомена после завершения работы.

A screenshot showing an example of what your domain provider's website should look like after you add a CNAME record and a TXT record for a www subdomain.

D. Проверка и завершение

Шаг 1. Вернитесь в диалоговое окно "Добавление личного домена" в портал Azure выберите "Проверить".

A screenshot showing how to validate your DNS record settings in the Add a custom domain dialog.

Шаг 2. Если в разделе проверки домена отображаются зеленые проверка метки для обеих записей домена, вы правильно настроили их. Выберите Добавить. Если отображается красный X, исправьте ошибки в параметрах записи DNS на веб-сайте поставщика домена.

A screenshot showing the Add button activated after validation.

Шаг 3. Вы увидите личный домен, добавленный в список. Вы также можете увидеть красный X с привязкой No. Подождите несколько минут, пока Служба приложений создайте управляемый сертификат для личного домена. По завершении процесса красный X становится зеленым проверка пометкой secured.

A screenshot showing the custom domains page with the new secured custom domain.

Д. Проверка в браузере

Перейдите к DNS-именам, настроенным ранее (например www.contoso.com). Теперь в адресной строке должен отображаться значок блокировки безопасности для URL-адреса приложения, указывающий, что он защищен TLS.

A screenshot that shows navigation to the App Service app with a custom domain and TLS security.

Если при переходе по URL-адресу личного домена возникает ошибка HTTP 404 (не найдена), клиент браузера может кэшировать старый IP-адрес личного домена. Очистите кэш и повторите переход к URL-адресу. На компьютере Windows кэш можно очистить с помощью команды ipconfig /flushdns.

Часто задаваемые вопросы

Что делать, если у меня еще нет личного домена?

Имя <app-name>.azurewebsites.net всегда назначается приложению, пока вы не удаляете его. Если вы хотите, вы можете приобрести домен Служба приложений. Домен Служба приложений управляется Azure и интегрирован с Служба приложений, что упрощает управление вместе с приложениями.

Истекает ли срок действия этого управляемого сертификата?

Срок действия управляемого сертификата Служба приложений не истекает до тех пор, пока он настроен для личного домена в приложении Служба приложений.

Что еще можно сделать с управляемым сертификатом Служба приложений для приложения?

Управляемый сертификат предоставляется бесплатно для защиты настраиваемого личного домена приложения. Он поставляется с рядом ограничений. Чтобы сделать больше, например скачать сертификат или использовать его в коде приложения, вы можете отправить собственный сертификат, приобрести сертификат Служба приложений или импортировать сертификат Key Vault. Дополнительные сведения см. в статье "Добавление частного сертификата в приложение".

Разделы справки использовать сертификат, который я уже должен защитить личный домен?

См. статью "Добавление частного сертификата в приложение и защита пользовательского DNS-имени с помощью привязки TLS/SSL" в службе приложение Azure.

Следующие шаги