Включение протокола HTTPS для личного домена Azure CDN

Важно!

Эта функция доступна для продуктов Azure CDN из Verizon (уровней "Стандартный" и "Премиум"). Недоступно в Azure CDN из Akamai. Сравнение возможностей CDN в статье Общие сведения о сети доставки содержимого(CDN) Azure.

Поддержка HTTPS для личных доменов Azure CDN позволяет доставлять защищенное содержимое через SSL, используя собственное имя домена для повышения безопасности данных в процессе передачи. Включение одним щелчком и полноценное управление сертификатами без дополнительных затрат упрощает комплексный рабочий процесс включения поддержки протокола HTTPS для личного домена.

Крайне важно обеспечить неприкосновенность и целостность всех конфиденциальных данных веб-приложения в процессе их передачи. С помощью протокола HTTPS обеспечивается шифрование конфиденциальных данных при их передаче через Интернет. Он обеспечивает доверие, аутентификацию и защиту веб-приложений от атак. В настоящее время Azure CDN поддерживает HTTPS в конечной точке CDN. Например, при создании конечной точки CDN из Azure CDN (например, https://contoso.azureedge.net) протокол HTTPS включен по умолчанию. Теперь благодаря поддержке HTTPS для личных доменов (например, https://www.contoso.com) вы можете также включить для них безопасную доставку.

Ниже приведены некоторые ключевые характеристики компонента HTTPS.

  • Никаких дополнительных затрат: вам не придется оплачивать приобретение или продление сертификата или платить за трафик, переданный по протоколу HTTPS. Вы оплачиваете только исходящий трафик из сети CDN.

  • Простое включение: на портале Azure доступна подготовка одним щелчком. Для включения этого компонента можно также использовать REST API или другие средства разработки.

  • Полноценное управление сертификатами: закупка всех сертификатов и управление ими осуществляется без вашего участия. Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия. Это полностью устраняет риски прерывания работы службы в результате истечения срока действия сертификата.

Примечание

Перед включением поддержки протокола HTTPS необходимо установить личный домен Azure CDN.

Шаг 1. Включение компонента

  1. На портале Azure перейдите к профилю CDN категории "Стандартный" или "Премиум" от Verizon.

  2. В списке конечных точек щелкните ту из них, которая содержит личный домен.

  3. Щелкните личный домен, для которого требуется включить HTTPS.

    Колонка "Конечная точка"

  4. Щелкните Включить, чтоб включить поддержку протокола HTTPS и сохранить изменения.

    Диалоговое окно "Настраиваемый HTTPS"

Шаг 2. Проверка домена

Важно!

Чтобы поддержка HTTPS стала активной для личного домена, необходимо выполнить его проверку. Для подтверждения домена у вас есть 6 рабочих дней. Если подтверждение не поступит в течение этого срока, запрос будет отменен.

После включения HTTPS для личного домена наш поставщик сертификата HTTPS DigiCert проверит владельца домена, обратившись к тому, кто его зарегистрировал, по электронной почте (по умолчанию) или по телефону в соответствии со сведениями о зарегистрировавшихся пользователях в базе данных WHOIS. DigiCert также отправляет проверочное электронное сообщение на приведенные ниже адреса. Если сведения о регистрируемом пользователе Whois являются частными, убедитесь, что возможно утверждение непосредственно с одного из этих адресов.

admin@<доменное_имя.com> administrator@<доменное_имя.com>
webmaster@<доменное_имя.com>
hostmaster@<доменное_имя.com>
postmaster@<доменное_имя.com>

При получении сообщения электронной почты, возможны два варианта проверки:

  1. Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например consoto.com. Это рекомендуется, если в будущем для корневого домена планируется добавить другие личные домены.

  2. Можно просто утвердить конкретное имя узла, которое используется в данном запросе. Для последующих запросов потребуются дополнительные утверждения.

    Пример сообщения электронной почты:

    Диалоговое окно "Настраиваемый HTTPS"

После утверждения DigiCert добавит имя личного домена в сертификат SAN. Сертификат будет действителен в течение года, и будет автоматически продлен до истечения его срока действия.

Шаг 3. Начало использования компонента после распространения данных

Активация компонента HTTPS для личного домена после проверки доменного имени займет не больше 6–8 часов. По завершении процесса для состояния "Настраиваемый HTTPS" на портале Azure будет установлено значение "Включено". Теперь компонент HTTPS можно использовать для личного домена.

Часто задаваемые вопросы

  1. Кто является поставщиком сертификата и какой тип сертификата используется?

    Мы используем сертификат альтернативного имени субъекта (SAN), предоставленный DigiCert. С помощью одного сертификата SAN можно защитить несколько полных доменных имен.

  2. Могу ли я использовать выделенный сертификат?

    Сейчас это невозможно, но мы планируем добавить такую возможность.

  3. Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?

    Если вы не получите электронное сообщение в течение 24 часов, обратитесь в корпорацию Майкрософт.

  4. Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?

    Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных сертификатов SSL используется алгоритм SHA-256.

  5. Можно ли использовать личный домен HTTPS с Azure CDN от Akamai?

    На данный момент этот компонент доступен только для Azure CDN от Verizon. Мы работаем над тем, чтобы в ближайшие месяцы обеспечить его поддержку в Azure CDN от Akamai.

Дальнейшие действия