Настройка протокола HTTPS для личного домена в сети доставки содержимого AzureConfigure HTTPS on an Azure Content Delivery Network custom domain

Важно!

Эта функция доступна для продуктов Azure CDN из Verizon (уровней "Стандартный" и "Премиум").This feature is available with Azure CDN from Verizon products (Standard and Premium). Недоступно в Azure CDN из Akamai.It is not supported on Azure CDN from Akamai. Сравнение возможностей CDN в статье Общие сведения о сети доставки содержимого(CDN) Azure.For a comparison of CDN features, see Azure CDN Overview.

Майкрософт поддерживает протокол HTTPS для личных доменов в сети доставки содержимого (CDN) Azure.Microsoft supports the HTTPS protocol for custom domains on Azure Content Delivery Network (CDN). Благодаря этому вы можете доставлять защищенное содержимое через протокол SSL, используя собственное имя домена для повышения безопасности данных в процессе передачи.With HTTPS custom domain support, you can deliver secure content via SSL by using your own domain name to improve the security of data while in transit. Включение HTTPS-подключение сведено к нажатию всего лишь одной кнопки. Кроме того, вы получаете в свое распоряжение полноценное управление сертификатами. И все это без дополнительных затрат с вашей стороны.The workflow to enable HTTPS for your custom domain is simplified via one-click enablement and complete certificate management, all with no additional cost.

Крайне важно обеспечить неприкосновенность и целостность конфиденциальных данных веб-приложения в процессе их передачи.It's critical to ensure the privacy and data integrity of your web application's sensitive data while it is in transit. Протокол HTTPS обеспечивает шифрование конфиденциальных данных при их передаче через Интернет.By using the HTTPS protocol, you ensure that your sensitive data is encrypted when it is sent across the internet. Он обеспечивает доверие, проверку подлинности и защиту веб-приложений от атак.It provides trust, authentication, and protects your web applications from attacks. По умолчанию Azure CDN поддерживает HTTPS в конечных точках CDN.By default, Azure CDN supports HTTPS on a CDN endpoint. Например, если создать конечную точку CDN из сети доставки содержимого Azure (допустим, https://contoso.azureedge.net), протокол HTTPS будет включен автоматически.For example, if you create a CDN endpoint from Azure CDN (such as https://contoso.azureedge.net), HTTPS is automatically enabled. Кроме того, благодаря возможности использования HTTPS в личном домене для такого домена (например, https://www.contoso.com) можно также включить безопасную доставку.In addition, with custom domain HTTPS support, you can also enable secure delivery for a custom domain (for example, https://www.contoso.com).

Ниже приведены некоторые ключевые характеристики компонента HTTPS.Some of the key attributes of the HTTPS feature are:

  • Никаких дополнительных затрат: вам не придется оплачивать приобретение или продление сертификата или платить за трафик, переданный по протоколу HTTPS.No additional cost: There are no costs for certificate acquisition or renewal and no additional cost for HTTPS traffic. Вы платите только за исходящий трафик из CDN.You pay only for GB egress from the CDN.

  • Простое включение: на портале Azure доступна подготовка одним щелчком.Simple enablement: One-click provisioning is available from the Azure portal. Для включения этого компонента можно также использовать REST API или другие средства разработки.You can also use REST API or other developer tools to enable the feature.

  • Полноценное управление сертификатами: закупка всех сертификатов и управление ими осуществляется без вашего участия.Complete certificate management: All certificate procurement and management is handled for you. Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия, что устраняет риски прерывания работы службы в связи с истечением срока действия сертификата.Certificates are automatically provisioned and renewed prior to expiration, which removes the risks of service interruption due to a certificate expiring.

Примечание

Перед включением поддержки протокола HTTPS необходимо установить личный домен Azure CDN.Prior to enabling HTTPS support, you must have already established an Azure CDN custom domain.

Включение протокола HTTPSEnabling HTTPS

Ниже описана процедура включения протокола HTTPS для личного домена.To enable HTTPS on a custom domain, follow these steps:

Шаг 1. Включение компонентаStep 1: Enable the feature

  1. На портале Azure перейдите к профилю CDN категории "Стандартный" или "Премиум" от Verizon.In the Azure portal, browse to your Verizon standard or premium CDN profile.

  2. В списке конечных точек щелкните ту из них, которая содержит личный домен.In the list of endpoints, click the endpoint containing your custom domain.

  3. Щелкните личный домен, для которого требуется включить HTTPS.Click the custom domain for which you want to enable HTTPS.

    Список личных доменов

  4. Щелкните Вкл., чтобы включить HTTPS, а затем нажмите кнопку Применить.Click On to enable HTTPS, then click Apply.

    Состояние HTTPS для личного домена

Шаг 2. Проверка доменаStep 2: Validate domain

Важно!

Чтобы поддержка HTTPS стала активной для личного домена, необходимо выполнить его проверку.You must complete domain validation before HTTPS will be active on your custom domain. Для подтверждения домена у вас есть шесть рабочих дней.You have six business days to approve the domain. Запросы, которые не утверждены в течение шести рабочих дней, будут автоматически отменены.Requests that are not approved within six business days are automatically canceled.

При включении HTTPS для личного домена центр сертификации DigiCert (ЦС) проверяет право собственности на ваш домен, связавшись с пользователем, выполнившим регистрацию, в соответствии с информацией в базе данных WHOIS для домена.After you enable HTTPS on your custom domain, the DigiCert certificate authority (CA) validates ownership of your domain by contacting its registrant, according to the domain's WHOIS registrant information. Контакт осуществляется по электронной почте (по умолчанию) или телефону, указанному в базе данных WHOIS.Contact is made via the email address (by default) or the phone number listed in the WHOIS registration.

Примечание

Если у поставщика DNS имеется запись авторизации центра сертификации, то она должна включать DigiCert как допустимый ЦС.If you have a Certificate Authority Authorization (CAA) record with your DNS provider, it must include DigiCert as a valid CA. Запись авторизации ЦС позволяет владельцам доменов указывать своим поставщикам DNS, какие ЦС уполномочены выдавать сертификаты безопасности для их домена.A CAA record allows domain owners to specify with their DNS providers which CAs are authorized to issue certificates for their domain. Если ЦС получает заказ на сертификат для домена, который имеет запись авторизации ЦС, и этот ЦС не указан как уполномоченный издатель, тогда этому домену или поддомену запрещается выдавать сертификат безопасности.If a CA receives an order for a certificate for a domain that has a CAA record and that CA is not listed as an authorized issuer, it is prohibited from issuing the certificate to that domain or subdomain. Сведения об управлении записями авторизации ЦС см. в этой статье.For information about managing CAA records, see Manage CAA records. Средство для работы с записями авторизации ЦС доступно здесь.For a CAA record tool, see CAA Record Helper.

Запись WHOIS

DigiCert также отправляет письмо для подтверждения на дополнительные адреса электронной почты.DigiCert also sends a verification email to additional email addresses. Если сведения о регистрируемом пользователе в базе данных WHOIS являются частными, убедитесь, что возможно утверждение непосредственно с одного из этих адресов:If the WHOIS registrant information is private, verify that you can approve directly from one of the following addresses:

admin@<имя_вашего_домена.com>admin@<your-domain-name.com>
administrator@<имя_вашего_домена.com>administrator@<your-domain-name.com>
webmaster@<имя_вашего_домена.com>webmaster@<your-domain-name.com>
hostmaster@<имя_вашего_домена.com>hostmaster@<your-domain-name.com>
postmaster@<имя_вашего_домена.com>postmaster@<your-domain-name.com>

Через несколько минут должно появиться электронное сообщение, как показано в следующем примере, с просьбой подтвердить запрос.You should receive an email in a few minutes, similar to the following example, asking you to approve the request. При использовании фильтра нежелательной почты добавьте admin@digicert.com в список разрешений.If you are using a spam filter, add admin@digicert.com to its whitelist. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.If you don't receive an email within 24 hours, contact Microsoft support.

Письмо для подтверждения заказа на сертификат

При щелчке ссылки для подтверждения запроса откроется следующая онлайн-форма:When you click on the approval link, you are directed to the following online approval form:

Форма подтверждения для домена

Следуйте инструкциям в форме. Есть два варианта проверки:Follow the instructions on the form; you have two verification options:

  • Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например contoso.com.You can approve all future orders placed through the same account for the same root domain; for example, contoso.com. Этот подход рекомендуется, если планируется добавлять дополнительные пользовательские домены для одного корневого домена.This approach is recommended if you plan to add additional custom domains for the same root domain.

  • Можно просто утвердить конкретное имя узла, которое используется в данном запросе.You can approve just the specific host name used in this request. Для последующих запросов требуются дополнительные утверждения.Additional approval is required for subsequent requests.

После утверждения DigiCert добавит имя личного домена в сертификат альтернативного имени субъекта (SAN).After approval, DigiCert adds your custom domain name to the Subject Alternative Names (SAN) certificate. Сертификат будет действителен в течение года и автоматически продлен до истечения его срока действия.The certificate is valid for one year and will be auto-renewed before it's expired.

Шаг 3. Ожидание распространенияStep 3: Wait for propagation

Активация компонента HTTPS для личного домена после проверки доменного имени может занять до 6–8 часов.After the domain name is validated, it can take up to 6-8 hours for the custom domain HTTPS feature to be activated. Когда процесс будет завершен, состояние пользовательского HTTPS на портале Azure будет иметь значение Вкл., а четыре шага в диалоговом окне пользовательского домена будут отмечены как завершенные.When the process is complete, the custom HTTPS status in the Azure portal is set to Enabled and the four operation steps in the custom domain dialog are marked as complete. Личный домен готов для использования протокола HTTPS.Your custom domain is now ready to use HTTPS.

Диалоговое окно "Включить HTTPS"

Ход выполнения операцииOperation progress

В следующей таблице показан ход операции, возникающей при включении HTTPS.The following table shows the operation progress that occurs when you enable HTTPS. После включения HTTPS в диалоговом окне личного домена отобразятся четыре шага операции.After you enable HTTPS, four operation steps appear in the custom domain dialog. По мере того, как каждый шаг становится активным, под ним появляются дополнительные сведения о ходе выполнения.As each step becomes active, additional details appear under the step as it progresses. После успешного завершения шага рядом с ним появится зеленый флажок.After a step successfully completes, a green check mark appears next to it.

Шаг операцииOperation step Сведения о шаге операцииOperation step details
1. Отправка запроса1 Submitting request Отправка запросаSubmitting request
Отправляется HTTP-запрос.Your HTTPS request is being submitted.
HTTPS-запрос успешно отправлен.Your HTTPS request has been submitted successfully.
2. Проверка домена2 Domain validation Мы отправили вам электронное сообщение с просьбой подтвердить право собственности на домен.We have sent you an email asking you to validate the domain ownership. Ожидание подтверждения.Waiting for your confirmation.
Владение доменом успешно подтверждено.Your domain ownership has been successfully validated.
Истек срок действия запроса на подтверждение прав владения доменом (клиент, скорее всего, не ответил в течение 6 дней).Domain ownership validation request expired (customer likely didn't respond within 6 days). HTTPS не будет включен в вашем домене.HTTPS will not be enabled on your domain. *
Клиент отклонил запрос на подтверждение прав собственности на домен.Domain ownership validation request was rejected by the customer. HTTPS не будет включен в вашем домене.HTTPS will not be enabled on your domain. *
3. Подготовка сертификата3 Certificate provisioning В настоящее время центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене.The certificate authority is currently issuing the certificate needed to enable HTTPS on your domain.
Сертификат был выдан и в настоящее время развертывается в сеть доставки содержимого.The certificate has been issued and is currently being deployed to CDN network. Это может занять до 6 часов.This could take up to 6 hours.
Сертификат успешно развернут в сети доставки содержимого.The certificate has been successfully deployed to CDN network.
4. Завершение4 Complete HTTPS успешно включен для вашего домена.HTTPS has been successfully enabled on your domain.

* Это сообщение отображается, только если произошла ошибка.* This message does not appear unless an error has occurred.

Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:If an error occurs before the request is submitted, the following error message is displayed:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Отключение HTTPSDisabling HTTPS

Включенный протокол HTTPS в личном домене можно отключить.After you have enabled HTTPS on a custom domain, you can later disable it. Чтобы отключить протокол HTTPS, выполните приведенные ниже действия.To disable HTTPS, follow these steps:

Шаг 1. Отключение компонентаStep 1: Disable the feature

  1. На портале Azure перейдите к профилю CDN категории "Стандартный" или "Премиум" от Verizon.In the Azure portal, browse to your Verizon standard or premium CDN profile.

  2. В списке конечных точек щелкните ту из них, которая содержит личный домен.In the list of endpoints, click the endpoint containing your custom domain.

  3. Щелкните личный домен, для которого требуется отключить HTTPS.Click the custom domain for which you want to disable HTTPS.

    Список личных доменов

  4. Щелкните Выкл., чтобы отключить HTTPS, а затем нажмите кнопку Применить.Click Off to disable HTTPS, then click Apply.

    Диалоговое окно "Настраиваемый HTTPS"

Шаг 2. Ожидание распространенияStep 2: Wait for propagation

После отключения компонента HTTPS личного домена для вступления изменений в силу может потребоваться до 6–8 часов.After the custom domain HTTPS feature is disabled, it can take up to 6-8 hours for it to take effect. Когда процесс будет завершен, состояние пользовательского HTTPS на портале Azure будет иметь значение Выкл., а три шага в диалоговом окне пользовательского домена будут отмечены как завершенные.When the process is complete, the custom HTTPS status in the Azure portal is set to Disabled and the three operation steps in the custom domain dialog are marked as complete. Личный домен больше не сможет использовать HTTPS.Your custom domain can no longer use HTTPS.

Диалоговое окно "Отключить HTTPS"

Ход выполнения операцииOperation progress

В следующей таблице показан ход операции, возникающей при отключении HTTPS.The following table shows the operation progress that occurs when you disable HTTPS. После отключения HTTPS в диалоговом окне личного домена отобразятся три шага.After you disable HTTPS, three operation steps appear in the Custom domain dialog. По мере того, как каждый шаг становится активным, под ним появляются дополнительные сведения.As each step becomes active, additional details appear under the step. После успешного завершения шага рядом с ним появится зеленый флажок.After a step successfully completes, a green check mark appears next to it.

Ход выполнения операцииOperation progress Сведения об операцииOperation details
1. Отправка запроса1 Submitting request Отправка запросаSubmitting your request
2. Отзыв сертификата2 Certificate deprovisioning Удаление сертификатаDeleting certificate
3. Завершение3 Complete Сертификат удаленCertificate deleted

Часто задаваемые вопросыFrequently asked questions

  1. Кто является поставщиком сертификата и какой тип сертификата используется?Who is the certificate provider and what type of certificate is used?

    Корпорация Майкрософт использует сертификат альтернативного имени субъекта (SAN), предоставленный DigiCert.Microsoft uses a Subject Alternative Names (SAN) certificate provided by DigiCert. С помощью одного сертификата SAN можно защитить несколько полных доменных имен.A SAN certificate can secure multiple fully qualified domain names with one certificate.

  2. Могу ли я использовать выделенный сертификат?Can I use my dedicated certificate?

    Сейчас это невозможно, но мы планируем добавить такую возможность.Not currently, but it's on the roadmap.

  3. Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?What if I don't receive the domain verification email from DigiCert?

    Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.Contact Microsoft support if you don't receive an email within 24 hours.

  4. Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?Is using a SAN certificate less secure than a dedicated certificate?

    Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата.A SAN certificate follows the same encryption and security standards as a dedicated certificate. Чтобы дополнительно обезопасить сервер, для всех выданных сертификатов SSL используется алгоритм SHA-256.All issued SSL certificates use SHA-256 for enhanced server security.

  5. Можно ли использовать HTTPS для личного домена с Azure CDN от Akamai?Can I use a custom domain HTTPS with Azure CDN from Akamai?

    На данный момент этот компонент доступен только для Azure CDN от Verizon.Currently, this feature is only available with Azure CDN from Verizon. Мы работаем над тем, чтобы в ближайшие месяцы обеспечить его поддержку в Azure CDN от Akamai.Microsoft is working on supporting this feature with Azure CDN from Akamai in the coming months.

  6. Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?Do I need a Certificate Authority Authorization record with my DNS provider? Нет, в настоящее время не требуется запись авторизации центра сертификации.No, a Certificate Authority Authorization record is not currently required. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.However, if you do have one, it must include DigiCert as a valid CA.

Дальнейшие действияNext steps