Azure portalını kullanarak Azure Front Door özel etki alanında HTTPS yapılandırma

Azure Front Door, kendi özel etki alanlarınızı kullandığınızda uygulamalarınıza varsayılan olarak güvenli Aktarım Katmanı Güvenliği (TLS) teslimi sağlar. Özel etki alanlarının HTTPS ile nasıl çalıştığı da dahil olmak üzere özel etki alanları hakkında daha fazla bilgi edinmek için bkz . Azure Front Door'ta etki alanları.

Azure Front Door, Azure tarafından yönetilen sertifikaları ve müşteri tarafından yönetilen sertifikaları destekler. Bu makalede, Azure Front Door özel etki alanlarınız için her iki sertifika türünü de yapılandırmayı öğreneceksiniz.

Önkoşullar

• Özel etki alanınız için HTTPS'yi yapılandırabilmeniz için önce bir Azure Front Door profili oluşturmanız gerekir. Daha fazla bilgi için bkz . Azure Front Door profili oluşturma.
• Henüz özel bir etki alanınız yoksa, önce bir etki alanı sağlayıcısıyla bir etki alanı satın almalısınız. Örneğin bkz. Özel etki alanı adı satın alma.
• DNS etki alanlarınızı barındırmak için Azure kullanıyorsanız, etki alanı sağlayıcısının etki alanı adı sistemini (DNS) bir Azure DNS'ye devretmeniz gerekir. Daha fazla bilgi için bkz. Bir etki alanını Azure DNS'ye devretme. Aksi takdirde, DNS etki alanınızı işlemek için bir etki alanı sağlayıcısı kullanıyorsanız, istemli DNS TXT kayıtlarını girerek etki alanını el ile doğrulamanız gerekir.

Azure ön tanımlı olmayan etki alanları için Azure Front Door tarafından yönetilen sertifikalar

Kendi etki alanınız varsa ve etki alanı, Azure Front Door için etki alanlarını önceden yayınlayan başka bir Azure hizmetiyle ilişkili değilse şu adımları izleyin:

1. Ayarlar altında Azure Front Door profiliniz için Etki Alanları'nı seçin. Ardından + Ekle'yi seçerek yeni bir etki alanı ekleyin.

   

2. Etki alanı ekle bölmesinde aşağıdaki bilgileri girin veya seçin. Ardından Özel etki alanını eklemek için Ekle'yi seçin.

   

   Ayar	Value
   Etki alanı türü	Azure'da önceden doğrulanmış olmayan etki alanı'yı seçin.
   DNS yönetimi	Azure tarafından yönetilen DNS (Önerilen) öğesini seçin.
   DNS bölgesi	Özel etki alanını barındıran Azure DNS bölgesini seçin.
   Özel etki alanı	Mevcut bir etki alanını seçin veya yeni bir etki alanı ekleyin.
   HTTPS	AFD yönetilen (Önerilen) seçeneğini belirleyin.

3. Özel etki alanını etkinleştirme adımlarını izleyerek özel etki alanını doğrulayın ve bir uç noktayla ilişkilendirin.

4. Özel etki alanı bir uç noktayla başarıyla ilişkilendirildikten sonra Azure Front Door bir sertifika oluşturur ve bunu dağıtır. Bu işlemin tamamlanması birkaç dakika ile bir saat arasında sürebilir.

Azure'da yaygın olarak karşılanan etki alanları için Azure tarafından yönetilen sertifikalar

Kendi etki alanınız varsa ve etki alanı, Azure Front Door için etki alanlarını önceden düzenleyen başka bir Azure hizmetiyle ilişkiliyse şu adımları izleyin:

1. Ayarlar altında Azure Front Door profiliniz için Etki Alanları'nı seçin. Ardından + Ekle'yi seçerek yeni bir etki alanı ekleyin.

   

2. Etki alanı ekle bölmesinde aşağıdaki bilgileri girin veya seçin. Ardından Özel etki alanını eklemek için Ekle'yi seçin.

   

   Ayar	Value
   Etki alanı türü	Azure önceden doğrulanmış etki alanını seçin.
   Önceden doğrulanmış özel etki alanları	Azure hizmetlerinin açılan listesinden özel bir etki alanı adı seçin.
   HTTPS	Azure tarafından yönetilen'i seçin.

3. Özel etki alanını etkinleştirme adımlarını izleyerek özel etki alanını doğrulayın ve bir uç noktayla ilişkilendirin.

4. Özel etki alanı bir uç noktayla başarıyla ilişkilendirildikten sonra Azure Front Door tarafından yönetilen bir sertifika Azure Front Door'a dağıtılır. Bu işlemin tamamlanması birkaç dakika ile bir saat arasında sürebilir.

Kendi sertifikanızı kullanma

Kendi TLS sertifikanızı kullanmayı da seçebilirsiniz. TLS sertifikanızın belirli gereksinimleri karşılaması gerekir. Daha fazla bilgi için bkz . Sertifika gereksinimleri.

Anahtar kasanızı ve sertifikanızı hazırlama

Azure Front Door TLS sertifikalarınızı depoladığınız ayrı bir Azure Key Vault örneği oluşturun. Daha fazla bilgi için bkz . Key Vault örneği oluşturma. Zaten bir sertifikanız varsa, sertifikayı yeni Key Vault örneğine yükleyebilirsiniz. Aksi takdirde, sertifika yetkilisi (CA) iş ortaklarından birinden Key Vault aracılığıyla yeni bir sertifika oluşturabilirsiniz.

Uyarı

Azure Front Door şu anda yalnızca aynı abonelikteki Key Vault'a destek veriyor. Farklı bir abonelik altında Key Vault'un seçilmesi hataya neden olur.

Sertifikalar hakkında dikkate almak istediğiniz diğer noktalar:

• Azure Front Door, üç nokta eğrisi şifreleme algoritmalarına sahip sertifikaları desteklemez. Ayrıca, sertifikanızın yaprak ve ara sertifikalarla eksiksiz bir sertifika zincirine sahip olması gerekir. Kök CA ayrıca Microsoft Güvenilen CA Listesi'nin bir parçası olmalıdır.
• Uygulama kaydı gelecekte kullanımdan kaldırılacağından, Key Vault sertifikalarınıza erişime izin vermek için yönetilen kimlik kullanmanızı öneririz.

Azure Front Door’u kaydetme

Microsoft Graph PowerShell'i veya Azure CLI'yi kullanarak Azure Front Door hizmet sorumlusunu Microsoft Entra Id'nize bir uygulama olarak kaydedin.

Not

• Bu eylem, Microsoft Entra Id'de Genel Yönetici istrator izinlerine sahip olmanız gerekir. Kaydın Microsoft Entra kiracısı başına yalnızca bir kez gerçekleştirilmesi gerekir.
• 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 ve d4631ece-daab-479b-be77-ccb713491fc0 uygulama kimlikleri, tüm Azure kiracıları ve abonelikleri genelinde Azure Front Door Standard ve Premium için Azure tarafından önceden tanımlanmıştır. Azure Front Door (klasik) farklı bir uygulama kimliğine sahiptir.

Microsoft Graph PowerShell

1. Gerekirse yerel makinenize PowerShell'de Microsoft Graph PowerShell'i yükleyin.

2. Aşağıdaki komutu çalıştırmak için PowerShell'i kullanın:

   Azure genel bulutu:

   New-MgServicePrincipal -ApplicationId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
   

   Azure kamu bulutu:

    New-MgServicePrincipal -ApplicationId 'd4631ece-daab-479b-be77-ccb713491fc0'
   

Azure CLI

1. Gerekirse Azure CLI'yı yerel makinenize yükleyin.

2. Aşağıdaki komutu çalıştırmak için Azure CLI'yi kullanın:

   Azure genel bulutu:

   az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8
   

   Azure kamu bulutu:

    az ad sp create --id d4631ece-daab-479b-be77-ccb713491fc0
   

Anahtar kasanıza Azure Front Door erişimi verme

Azure Front Door için özel olarak oluşturduğunuz yeni Key Vault hesabındaki sertifikalara erişmek için Azure Front Door izni verin. Azure Front Door'un sertifikayı alması için yalnızca sertifikaya ve gizli diziye izin vermeniz GET gerekir.

1. Key Vault hesabınızda Erişim ilkeleri'ni seçin.

2. Yeni bir erişim ilkesi oluşturmak için Yeni ekle'yi veya Oluştur'u seçin.

3. Azure Front Door'un sertifikayı almasına izin vermek için Gizli dizi izinlerinde Al'ı seçin.

4. Sertifika izinleri bölümünde, Azure Front Door'un sertifikayı almasına izin vermek için Al'ı seçin.

5. Sorumlu seçin bölümünde 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 için arama yapın ve Microsoft.AzureFrontDoor-Cdn öğesini seçin. İleri'yi seçin.

6. Uygulama bölümünde İleri'yi seçin.

7. Gözden geçir + oluştur bölümünde Oluştur'u seçin.

Not

Anahtar kasanız ağ erişim kısıtlamalarıyla korunuyorsa, güvenilir Microsoft hizmetleri anahtar kasanıza erişmesine izin verin.

Azure Front Door artık bu anahtar kasasına ve içerdiği sertifikalara erişebilir.

Dağıtım için Azure Front Door sertifikasını seçin

1. Portalda Azure Front Door Standard/Premium örneğinize dönün.

2. Ayarlar altında Gizli Diziler'egidin ve + Sertifika ekle'yi seçin.

   

3. Sertifika ekle bölmesinde, Azure Front Door Standard/Premium'a eklemek istediğiniz sertifikanın onay kutusunu seçin.

4. Sertifika seçerken sertifika sürümünü seçmeniz gerekir. En Son'ı seçerseniz, sertifika her döndürüldüğünde (yenilendiğinde) Azure Front Door otomatik olarak güncelleştirilir. Sertifika döndürmeyi kendiniz yönetmeyi tercih ediyorsanız belirli bir sertifika sürümünü de seçebilirsiniz.

   Sürüm seçimini En Son olarak bırakın ve Ekle'yi seçin.

   

5. Sertifika başarıyla sağlandıktan sonra, yeni bir özel etki alanı eklerken bunu kullanabilirsiniz.

   

6. Ayarlar altında, Etki Alanları'na gidin ve + Ekle'yi seçerek yeni bir özel etki alanı ekleyin. Etki alanı ekle bölmesinde, HTTPS için Kendi Sertifikanızı Getir (BYOC) seçeneğini belirleyin. Gizli Dizi için, açılan listeden kullanmak istediğiniz sertifikayı seçin.

   Not

   Seçili sertifikanın ortak adı, eklenen özel etki alanıyla eşleşmelidir.

   

7. Sertifikayı doğrulamak için ekrandaki adımları izleyin. Ardından yeni oluşturulan özel etki alanını, Özel etki alanı yapılandırma bölümünde açıklandığı gibi bir uç noktayla ilişkilendirin.

Sertifika türleri arasında geçiş yapma

Etki alanının Azure Front Door tarafından yönetilen sertifikayı kullanma ile müşteri tarafından yönetilen sertifikayı kullanma arasında geçiş yapmasını sağlayabilirsiniz. Daha fazla bilgi için bkz . Azure Front Door'da etki alanları.

1. Sertifika ayrıntıları bölmesini açmak için sertifika durumunu seçin.

   

2. Sertifika ayrıntıları bölmesinde, Azure Front Door tarafından yönetilen ile Kendi Sertifikanızı Getir (BYOC) arasında değişiklik yapabilirsiniz.

   Kendi Sertifikanızı Getir 'i (BYOC) seçerseniz, bir sertifika seçmek için önceki adımları izleyin.

3. Etki alanıyla ilişkilendirilmiş sertifikayı değiştirmek için Güncelleştir'i seçin.

   

Sonraki adımlar

• Azure Front Door Standard/Premium ile önbelleğe alma hakkında bilgi edinin.
• Azure Front Door'daki özel etki alanlarını anlama.
• Azure Front Door ile uçtan uca TLS hakkında bilgi edinin.