Включение и отключение протокола HTTPS в личном домене сети доставки содержимого Azure

Важно!

Эта функция доступна для продуктов Azure CDN из Verizon (уровней "Стандартный" и "Премиум"). Недоступно в Azure CDN из Akamai. Сравнение возможностей CDN в статье Общие сведения о сети доставки содержимого(CDN) Azure.

Поддержка HTTPS для личных доменов сети доставки содержимого Microsoft Azure позволяет доставлять защищенное содержимое через SSL, используя собственное имя домена для повышения безопасности данных в процессе передачи. Включение одним щелчком и полноценное управление сертификатами без дополнительных затрат упрощает комплексный рабочий процесс включения поддержки протокола HTTPS для личного домена.

Крайне важно обеспечить неприкосновенность и целостность всех конфиденциальных данных веб-приложения в процессе их передачи. С помощью протокола HTTPS обеспечивается шифрование конфиденциальных данных при их передаче через Интернет. Он обеспечивает доверие, проверку подлинности и защиту веб-приложений от атак. В настоящее время Azure CDN поддерживает HTTPS в конечной точке CDN. К примеру, при создании конечной точки CDN из Azure CDN (например, https://contoso.azureedge.net) протокол HTTPS включен по умолчанию. Теперь благодаря поддержке HTTPS для личных доменов (например, https://www.contoso.com) для них можно включить безопасную доставку.

Ниже приведены некоторые ключевые характеристики компонента HTTPS.

  • Никаких дополнительных затрат: вам не придется оплачивать приобретение или продление сертификата или платить за трафик, переданный по протоколу HTTPS. Вы оплачиваете только исходящий трафик из сети CDN.

  • Простое включение: на портале Azure доступна подготовка одним щелчком. Для включения этого компонента можно также использовать REST API или другие средства разработки.

  • Полноценное управление сертификатами: закупка всех сертификатов и управление ими осуществляется без вашего участия. Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия. Это полностью устраняет риски прерывания работы службы в результате истечения срока действия сертификата.

Примечание

Перед включением поддержки протокола HTTPS необходимо установить личный домен Azure CDN.

Включение протокола HTTPS

Чтобы включить протокол HTTPS, выполните приведенные ниже действия.

Шаг 1. Включение компонента

  1. На портале Azure перейдите к профилю CDN категории "Стандартный" или "Премиум" от Verizon.

  2. В списке конечных точек щелкните ту из них, которая содержит личный домен.

  3. Щелкните личный домен, для которого требуется включить HTTPS.

    Колонка "Конечная точка"

  4. Щелкните Вкл., чтобы включить HTTPS, а затем нажмите кнопку Применить.

    Диалоговое окно "Настраиваемый HTTPS"

Шаг 2. Проверка домена

Важно!

Чтобы поддержка HTTPS стала активной для личного домена, необходимо выполнить его проверку. Для подтверждения домена у вас есть шесть рабочих дней. Запросы, которые не утверждены в течение шести рабочих дней, будут автоматически отменены.

После включения HTTPS для личного домена наш поставщик сертификата HTTPS DigiCert проверит владельца домена, обратившись к тому, кто его зарегистрировал, в соответствии со сведениями о зарегистрировавшихся пользователях в базе данных WHOIS. Контакт осуществляется по электронной почте (по умолчанию) или телефону, указанному в базе данных WHOIS.

Запись WHOIS

Кроме того, DigiCert отправляет проверочное электронное сообщение по следующим адресам. Если сведения о регистрируемом пользователе WHOIS являются частными, убедитесь, что возможно утверждение непосредственно с одного из этих адресов:

admin@<имя_вашего_домена.com>
administrator@<имя_вашего_домена.com>
webmaster@<имя_вашего_домена.com>
hostmaster@<имя_вашего_домена.com>
postmaster@<имя_вашего_домена.com>

Через несколько минут должно появиться электронное сообщение, как показано в следующем примере, с просьбой подтвердить запрос. При использовании фильтра нежелательной почты добавьте admin@digicert.com в список разрешений. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.

Диалоговое окно "Настраиваемый HTTPS"

При щелчке ссылки утверждения откроется следующая форма онлайн-утверждения:

Диалоговое окно "Настраиваемый HTTPS"

Следуйте инструкциям в форме. Есть два варианта проверки:

  • Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например contoso.com. Это рекомендуется, если в будущем для корневого домена планируется добавить другие личные домены.

  • Можно просто утвердить конкретное имя узла, которое используется в данном запросе. Для последующих запросов потребуются дополнительные утверждения.

После утверждения DigiCert добавит имя личного домена в сертификат альтернативного имени субъекта (SAN). Сертификат будет действителен в течение года и автоматически продлен до истечения его срока действия.

Шаг 3. Ожидание распространения

Активация компонента HTTPS для личного домена после проверки доменного имени может занять до 6–8 часов. По завершении процесса состояние "Настраиваемый HTTPS" на портале Azure будет иметь значение "Вкл.", а четыре шага в колонке "HTTPS для личного домена" будут помечены как завершенные. Личный домен готов для использования протокола HTTPS.

Диалоговое окно "Включить HTTPS"

Ход выполнения операции

В следующей таблице показан ход операции, возникающей при включении HTTPS. После включения HTTPS в колонке "Настраиваемый HTTPS" отобразятся четыре шага операции. По мере того, как каждый шаг становится активным, под ним появляются дополнительные сведения о ходе выполнения. После успешного завершения шага рядом с ним появится зеленый флажок.

Шаг операции Сведения о шаге операции
1. Отправка запроса Отправка запроса
Отправляется HTTP-запрос.
HTTPS-запрос успешно отправлен.
2. Проверка домена Мы отправили вам электронное сообщение с просьбой подтвердить право собственности на домен. Ожидание подтверждения.
Владение доменом успешно подтверждено.
Истек срок действия запроса на подтверждение прав владения доменом (клиент, скорее всего, не ответил в течение 6 дней). HTTPS не будет включен в вашем домене. *
Клиент отклонил запрос на подтверждение прав собственности на домен. HTTPS не будет включен в вашем домене. *
3. Подготовка сертификата В настоящее время центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене.
Сертификат был выдан и в настоящее время развертывается в сеть доставки содержимого. Это может занять до 6 часов.
Сертификат успешно развернут в сети доставки содержимого.
4. Завершение HTTPS успешно включен для вашего домена.

*Это сообщение отображается, только если произошла ошибка.

Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Отключение HTTPS

После включения протокола HTTPS позже его можно отключить. Чтобы отключить протокол HTTPS, выполните приведенные ниже действия.

Шаг 1. Отключение компонента

  1. На портале Azure перейдите к профилю CDN категории "Стандартный" или "Премиум" от Verizon.

  2. В списке конечных точек щелкните ту из них, которая содержит личный домен.

  3. Щелкните личный домен, для которого требуется отключить HTTPS.

    Колонка "Конечная точка"

  4. Щелкните Выкл., чтобы отключить HTTPS, а затем нажмите кнопку Применить.

    Диалоговое окно "Настраиваемый HTTPS"

Шаг 2. Ожидание распространения

После отключения компонента HTTPS личного домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении процесса состояние "Настраиваемый HTTPS" на портале Azure будет иметь значение "Выкл.", а три шага в колонке "HTTPS для личного домена" будут помечены как завершенные. Личный домен больше не сможет использовать HTTPS.

Диалоговое окно "Отключить HTTPS"

Ход выполнения операции

В следующей таблице показан ход операции, возникающей при отключении HTTPS. После отключения HTTPS в колонке "Настраиваемый HTTPS" отобразятся три шага. По мере того, как каждый шаг становится активным, под ним появляются дополнительные сведения. После успешного завершения шага рядом с ним появится зеленый флажок.

Ход выполнения операции Сведения об операции
1. Отправка запроса Отправка запроса
2. Отзыв сертификата Удаление сертификата
3. Завершение Сертификат удален

Часто задаваемые вопросы

  1. Кто является поставщиком сертификата и какой тип сертификата используется?

    Мы используем сертификат альтернативного имени субъекта (SAN), предоставленный DigiCert. С помощью одного сертификата SAN можно защитить несколько полных доменных имен.

  2. Могу ли я использовать выделенный сертификат?

    Сейчас это невозможно, но мы планируем добавить такую возможность.

  3. Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?

    Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.

  4. Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?

    Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных сертификатов SSL используется алгоритм SHA-256.

  5. Можно ли использовать личный домен HTTPS с Azure CDN от Akamai?

    На данный момент этот компонент доступен только для Azure CDN от Verizon. Мы работаем над тем, чтобы в ближайшие месяцы обеспечить его поддержку в Azure CDN от Akamai.

Дальнейшие действия