Öğretici: Azure CDN özel etki alanı üzerinde HTTPS yapılandırma
Bu öğreticide bir Azure CDN uç noktası ile ilişkili özel bir etki alanı için HTTPS protokolünün nasıl etkinleştirileceği gösterilir.
Özel etki alanınız üzerinde HTTPS protokolü (örneğin, https: /www.contoso.com), hassas verilerinizin TLS/SSL üzerinden güvenli bir şekilde / teslim edilir. Web tarayıcınız HTTPS üzerinden bağlandığında, tarayıcı web sitesi sertifikasını doğrular. Tarayıcı, geçerli bir sertifika yetkilisi tarafından olduğunu doğrular. Bu işlem güvenlik sağlar ve web uygulamalarınızı saldırılara karşı korur.
Azure CDN varsayılan olarak CDN uç noktası ana bilgisayar adı üzerinde HTTPS’yi destekler. Örneğin, bir CDN uç noktası (https://contoso.azureedge.net gibi) oluşturursanız HTTPS otomatik olarak etkinleştirilir.
Özel HTTPS özelliğinin en önemli niteliklerinden bazıları şunlardır:
Ek maliyet yoktur: Sertifika alma veya yenileme maliyetleri yoktur ve HTTPS trafiği için ek maliyet yoktur. Yalnızca CDN’den GB çıkışı için ücret ödersiniz.
Basit etkinleştirme: Tek tıklamayla sağlama özelliği Azure portalından kullanılabilir. Özelliği etkinleştirmek için REST API’yi veya diğer geliştirici araçlarını kullanabilirsiniz.
Tam sertifika yönetimi kullanılabilir:
- Tüm sertifika tedariki ve yönetimi sizin için ele almalı.
- Sertifikalar süresi dolmadan önce otomatik olarak sağlandı ve yenilenir.
Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:
- Özel etki alanınızda HTTPS protokolünü etkinleştirme.
- Yönetilen CDN sertifikasını kullanma
- Kendi sertifikanızı kullanma
- Etki alanını doğrulama
- Özel etki alanınızda HTTPS protokolünü devre dışı bırakma.
Önkoşullar
Not
Bu makalede, Azure ile etkileşim kurmak için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Bu öğreticide yer alan adımları tamamlaymadan önce bir CDN profili ve en az bir uç CDN oluşturun. Daha fazla bilgi için bkz. Hızlı Başlangıç: Azure CDN profili ve uç noktası oluşturma.
Etki Azure CDN özel etki alanını CDN ilişkilendirme. Daha fazla bilgi için bkz. Öğretici: Uygulama uç noktanıza özel Azure CDN ekleme.
Önemli
CDN yönetilen sertifikalar kök veya apex etki alanları için kullanılamaz. Özel Azure CDN etki alanınız kök veya apex etki alanı ise Kendi sertifikanızı getirin özelliğini kullansanız gerekir.
TLS/SSL sertifikaları
Özel bir etki alanında HTTPS Azure CDN etkinleştirmek için TLS/SSL sertifikası kullanırsiniz. Sertifikanız tarafından yönetilen bir sertifika kullanmayı Azure CDN sertifikanızı kullanın.
- 1. Seçenek (varsayılan): Yönetilen CDN sertifikasıyla HTTPS’yi etkinleştirme
- 2. Seçenek: Kendi sertifikanızla HTTPS’yi etkinleştirme
Azure CDN, tedarik ve yenileme gibi sertifika yönetimi görevlerini işler. Özelliği etkinleştirmenizin ardından işlem hemen başlar.
Özel etki alanı daha önce CDN eşlenmişse başka bir eylem gerekmez. Azure CDN, adımları işler ve isteğinizi otomatik olarak tamamlar.
Özel etki alanınız başka bir yerde eşleniyorsa, etki alanı sahipliğinizi doğrulamak için e-posta kullanın.
Özel bir etki alanı üzerinde HTTPS'yi etkinleştirmek için aşağıdaki adımları uygulayın:
Azure portal tarafından yönetilen bir sertifika bulmak için Azure CDN. Profiller için arama CDN seçin.
Profilinizi seçin:
- Azure CDN Microsoft'tan Standart
- Azure CDN Akamai'den Standart
- Azure CDN Verizon'dan Standart
- Azure CDN Premium verizon'dan
CDN uç noktaları listesinde özel etki alanınızı içeren uç noktayı seçin.
Uç Nokta sayfası görünür.
Özel etki alanları listesinde, HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.
Özel etki alanı sayfası görünür.
Sertifika yönetimi türü bölümünde Yönetilen CDN’yi seçin.
HTTPS’yi etkinleştirmek için Açık seçeneğini belirleyin.
Etki alanını doğrulamaya devam eder.
Etki alanını doğrulama
CNAME kaydıyla özel uç noktanıza eşlenmiş bir özel etki alanınız varsa veya kendi sertifikanızı kullanıyorsanız, etki alanı uç noktanıza eşlenen özel etki alanı CDN devam eder.
Aksi takdirde, uç noktanız için CNAME kayıt girdisi artık yoksa veya cdnverify alt etki alanını içeriyorsa, Özel etki alanı uç noktanız ile eşlenmemiş CDN devam eder.
Özel etki alanı bir CNAME kaydı kullanılarak CDN uç noktanızla eşlendi
Uç noktanıza özel bir etki alanı eklediniz, DNS etki alanı kayıt şirketinde uç nokta ana bilgisayar adı ile eşlenmiş bir CNAME CDN oluşturdunız.
Bu CNAME kaydı hala mevcutsa ve cdnverify alt etki alanını içeriyorsa, DigiCert CA özel etki alanınız sahipliğini otomatik olarak doğrulamak için bu kaydı kullanır.
Kendi sertifikanızı kullanıyorsanız etki alanı doğrulaması gerekmez.
CNAME kaydınız aşağıdaki biçimde olmalıdır:
- Ad, özel etki alanı adınızdır.
- Değer, uç nokta CDN adıdır.
| Ad | Tür | Değer |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azureedge.net |
CNAME kayıtları hakkında daha fazla bilgi için bkz. CNAME DNS kaydı oluşturma.
CNAME kaydınız doğru biçimde ise, DigiCert özel etki alanı adınızı otomatik olarak doğrular ve etki alanınız için bir sertifika oluşturur. DigitCert size doğrulama e-postası göndermez ve isteğinizi onaylamanız gerekmez. Sertifika bir yıl boyunca geçerlidir ve süresi dolmadan önce otomatik olarak yeniden yeniler. Yayma için beklemeye devam eder.
Otomatik doğrulama genellikle birkaç saat sürer. Etki alanınız 24 saat içinde doğrulanmış olarak görmüyorsanız bir destek bileti açın.
Not
DNS sağlayıcınız ile bir Sertifika Yetkilisi Yetkilendirme (CAA) kaydınız varsa bunun geçerli CA olarak DigiCert‘i içermesi gerekir. CAA kaydı; etki alanı sahiplerinin DNS sağlayıcıları ile hangi CA'ların, etki alanları için sertifika vermeye yetkili olduğunu belirtmesini sağlar. Bir CA, CAA kaydına sahip bir etki alanı için sertifika siparişi alırsa ve bu CA, sertifika vermeye yetkili olarak listelenmemişse bu CA’nın, söz konusu etki alanına veya alt etki alanına sertifika vermesi yasaklanır. CAA kayıtlarını yönetme ile ilgili bilgi için bkz. CAA kayıtlarını yönetme. CAA kayıt aracı için bkz. CAA Kayıt Yardımcısı.
Özel etki alanı, etki alanı uç noktanıza CDN değil
Not
Akamai'den Azure CDN kullanıyorsanız, otomatik etki alanı doğrulamasını etkinleştirmek için aşağıdaki CNAME ayarlanması gerekir. "_acme-challenge. < özel etki alanı ana bilgisayar > adı -> CNAME -> < etki alanı ana bilgisayar adı > .ak-acme-challenge.azureedge.net"
CNAME kaydı girdisi cdnverify alt etki alanı içeriyorsa, bu adımda yer alan yönergelerin geri kalanını izleyin.
DigiCert, aşağıdaki e-posta adreslerine bir doğrulama e-postası gönderir. Doğrudan aşağıdaki adreslerden birini onaylayabilirsiniz:
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
İsteği onaylamanız için birkaç dakika içinde bir e-posta alırsınız. İstenmeyen posta filtresi kullanıyorsanız izin verme verification@digicert.com listesine ekleyin. E-postayı 24 saat içinde almazsanız Microsoft destek ekibine başvurun.
Onay bağlantısını seçerek aşağıdaki çevrimiçi onay formuna yönlendirebilirsiniz:
Formdaki yönergeleri uygulayın. İki doğrulama seçeneğiniz vardır:
contoso.com gibi aynı kök etki alanı için aynı hesap üzerinden verilen gelecekteki tüm siparişleri onaylayabilirsiniz. Aynı kök etki alanı için başka özel etki alanları eklemeyi planlıyorsanız bu yaklaşım önerilir.
Yalnızca bu istekte kullanılan söz konusu ana bilgisayar adını onaylayabilirsiniz. Sonraki istekler için başka bir onay gerekir.
DigiCert onaydan sonra özel etki alanı adınız için sertifika oluşturma işlemlerini tamamlar. Sertifika bir yıl boyunca geçerlidir ve süresi dolmadan önce otomatik olarak yeniden yeniler.
Yayılma için bekleme
Etki alanı doğrulandıktan sonra özel etki alanı HTTPS özelliğinin etkinleştirilmesi 6-8 saate kadar sürebilir. İşlem tamamlandığında, uygulamanın özel HTTPS durumu Azure portal olarak değiştirilir. Özel etki alanı iletişim kutusundaki dört işlem adımı tamamlandı olarak işaretlenir. Özel etki alanınız artık HTTPS’yi kullanmak için hazırdır.
İşlem ilerleme durumu
Aşağıdaki tabloda, HTTPS’yi etkinleştirdiğinizde oluşan işlem ilerleme durumunu gösterir. HTTPS’yi etkinleştirmenizin ardından özel etki alanı iletişim kutusunda dört işlem adımı görünür. Her adım etkin hale geldikçe, adım ilerledikçe adımın altında diğer alt adım ayrıntıları görünür. Bu alt adımların hiçbiri gerçekleşmez. Bir adım başarıyla tamamlandıktan sonra adımın yanında yeşil bir onay işareti görünür.
| İşlem adımı | İşlem alt adımı ayrıntıları |
|---|---|
| 1 İstek gönderiliyor | İstek gönderiliyor |
| HTTPS isteğiniz gönderiliyor. | |
| HTTPS isteğiniz başarıyla gönderildi. | |
| 2 Etki alanı doğrulaması | Etki alanı, Etki Alanı Uç Noktası ile eşlenmiş CNAME'CDN doğrulanır. Eşleme yapılmadıysa etki alanınızın kayıt kaydında listelenen e-posta adresine (WHOIS kayıt şirketi) bir doğrulama isteği gönderilir. |
| Etki alanı sahipliğiniz başarıyla doğrulandı. | |
| Etki alanı doğrulama isteğinin süresi doldu. (Müşteri büyük olasılıkla 6 gün içinde yanıt vermedi.) ETKI alanınız üzerinde HTTPS etkinleştirilmez. * | |
| Etki alanı sahipliğini doğrulama isteği, müşteri tarafından reddedildi. ETKI alanınız üzerinde HTTPS etkinleştirilmez. * | |
| 3 Sertifika sağlanıyor | Sertifika yetkilisi şu anda etki alanınızdaki HTTPS'nin etkinleştirilmesi için gereken sertifikayı veriyor. |
| Sertifika verildi ve şu anda CDN ağına dağıtılıyor. Bu işlem 6 saat kadar sürebilir. | |
| Sertifika, CDN ağına başarıyla dağıtıldı. | |
| 4 Tamamlandı | HTTPS, etki alanınızda başarıyla etkinleştirildi. |
* Hata oluşmadığı sürece bu ileti görüntülenmez.
İstek gönderilmeden önce hata oluşursa, aşağıdaki hata iletisi görüntülenir:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Kaynakları temizleme - HTTPS’yi devre dışı bırakma
Bu bölümde, özel etki alanınız için HTTPS'yi devre dışı bırakmayı öğrenirsiniz.
HTTPS özelliğini devre dışı bırakma
Azure portal, CDN profillerini arayıp seçin.
Microsoft 'tan Azure CDN standardını, Verizon 'ten standart Azure CDN veya Verizon profilinden Azure CDN Premium seçin.
Uç noktalar listesinde, özel etki alanınızı içeren uç noktayı seçin.
HTTPS 'yi devre dışı bırakmak istediğiniz özel etki alanını seçin.
HTTPS 'yi devre dışı bırakmak için kapalı seçeneğini belirleyip Uygula' yı seçin.
Yayılma için bekleme
Özel etki alanı HTTPS özelliği devre dışı bırakıldıktan sonra bu işlemin geçerli olması 6-8 saate kadar sürebilir. İşlem tamamlandığında, Azure portal özel HTTPS durumu devre dışı olarak değiştirilir. Özel etki alanı iletişim kutusundaki üç işlem adımı tamamlanmış olarak işaretlenir. Özel etki alanınız artık HTTPS’yi kullanamaz.
İşlem ilerleme durumu
Aşağıdaki tabloda, HTTPS’yi devre dışı bıraktığınızda oluşan işlem ilerleme durumunu gösterir. HTTPS 'yi devre dışı bıraktıktan sonra, özel etki alanı iletişim kutusunda üç işlem adımı görünür. Bir adım etkin hale geldiğinde Ayrıntılar adım altında görüntülenir. Bir adım başarıyla tamamlandıktan sonra adımın yanında yeşil bir onay işareti görünür.
| İşlem ilerleme durumu | İşlem ayrıntıları |
|---|---|
| 1 İstek gönderiliyor | İsteğiniz gönderiliyor |
| 2 Sertifika sağlaması kaldırılıyor | Sertifika siliniyor |
| 3 Tamamlandı | Sertifika silindi |
Sık sorulan sorular
Sertifika sağlayıcısı kimdir ve ne tür bir sertifika kullanılır?
Özel etki alanınız için DigiCert tarafından sunulan ayrılmış bir sertifika şu şekilde kullanılır:
- Verizon 'dan Azure CDN
- Microsoft 'tan Azure CDN
IP tabanlı veya SNI TLS/SSL kullanıyor musunuz?
Hem Azure CDN from Verizon hem de Azure CDN Standard from Microsoft için SNI TLS/SSL kullanın.
DigiCert’ten etki alanı doğrulama e-postası almazsam ne olur?
Cdnverify alt etki alanını KULLANMıYORSANıZ ve CNAME girişiniz uç nokta ana bilgisayar adı için ise, bir etki alanı doğrulama e-postası almazsınız.
Doğrulama otomatik olarak gerçekleşir. Ancak CNAME girişiniz yoksa ve e-postayı 24 saat içinde almazsanız Microsoft destek ekibine başvurun.
Ayrılmış sertifika kullanmak, SAN sertifikasından daha mı güvenlidir?
SAN sertifikası, ayrılmış sertifika ile aynı şifreleme ve güvenlik standartlarını uygular. Tüm verilen TLS/SSL sertifikaları, gelişmiş sunucu güvenliği için SHA-256 kullanır.
DNS sağlayıcım ile Sertifika Yetkilisi Yetkilendirme kaydı kullanmam gerekir mi?
Sertifika yetkilisi yetkilendirme kaydı Şu anda gerekli değil. Ancak, varsa, geçerli CA olarak DigiCert’i içermelidir.
20 haziran 2018 ' de, varsayılan olarak snı TLS/SSL ile ayrılmış bir sertifika kullanarak Verizon 'tan Azure CDN başladı. Konu diğer adları (SAN) sertifikası ve IP tabanlı TLS/SSL kullanarak var olan özel etki alanlarıma ne olur?
Microsoft, uygulamanıza yalnızca SNI istemci isteklerinin gönderildiğini algılarda mevcut etki alanlarınız önümüzdeki aylarda kademeli olarak tek sertifikaya geçirilecektir.
SNı istemcileri algılanırsa, etki alanlarınız IP tabanlı TLS/SSL ile SAN sertifikasında kalır. Hizmetinize veya SNı olmayan istemcilerinize yönelik istekler etkilenmemiştir.
Sertifika yenilemesi kendi sertifikanızı getir ile nasıl çalışır?
Yeni bir sertifikanın, PoP altyapısına dağıtılmasını sağlamak için yeni sertifikanızı Azure Anahtar Kasası 'na yükleyin. Azure CDN üzerindeki TLS ayarlarınızda en yeni sertifika sürümünü seçin ve kaydet ' i seçin. Azure CDN daha sonra yeni güncelleştirilmiş sertifikayı yayacaktır.
Uç nokta yeniden başlatıldıktan sonra HTTPS 'yi yeniden etkinleştirmem gerekir mi?
Evet. Akamai ' den Azure CDN kullanıyorsanız, uç nokta durdurup yeniden başlatılırsa, ayarın etkin olması durumunda HTTPS ayarını yeniden etkinleştirmeniz gerekir.
Sonraki adımlar
Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:
- Özel etki alanınızda HTTPS protokolünü etkinleştirme.
- Yönetilen CDN sertifikasını kullanma
- Kendi sertifikanızı kullanma
- Etki alanını doğrulama.
- Özel etki alanınızda HTTPS protokolünü devre dışı bırakma.
CDN uç noktanızda önbelleğe almayı yapılandırma hakkında bilgi edinmek için sonraki öğreticiye geçin.