Konfigurieren von HTTPS in einer benutzerdefinierten Azure Front Door-Domäne mithilfe des Azure-Portals

Azure Front Door ermöglicht standardmäßig eine sichere TLS-Zustellung zu Ihren Anwendungen, wenn Sie Ihre eigene benutzerdefinierte Domäne verwenden. Weitere Informationen zu benutzerdefinierten Domänen, einschließlich der Funktionsweise benutzerdefinierter Domänen mit HTTPS, finden Sie unter Domänen in Azure Front Door.

Azure Front Door unterstützt von Azure verwaltete Zertifikate und kundenseitig verwaltete Zertifikate. In diesem Artikel erfahren Sie, wie Sie beide Arten von Zertifikaten für Ihre benutzerdefinierten Azure Front Door-Domänen konfigurieren.

Voraussetzungen

  • Bevor Sie HTTPS für Ihre benutzerdefinierte Domäne konfigurieren können, müssen Sie zunächst ein Azure Front Door-Profil erstellen. Weitere Informationen finden Sie unter Erstellen eines Azure Front Door-Profils.
  • Wenn Sie noch nicht über eine benutzerdefinierte Domäne verfügen, müssen Sie zunächst eine bei einem Domänenanbieter erwerben. Informationen hierzu finden Sie beispielsweise unter Kaufen eines benutzerdefinierten Domänennamens für Azure-Web-Apps.
  • Wenn Sie Azure zum Hosten Ihrer DNS-Domänen verwenden, müssen Sie das Domain Name System (DNS) des Domänenanbieters an eine Azure DNS-Instanz delegieren. Weitere Informationen finden Sie unter Delegieren einer Domäne an Azure DNS. Wenn Sie einen Anbieter für die Verwaltung Ihrer DNS-Domäne verwenden, müssen Sie die Domäne andernfalls manuell überprüfen, indem Sie die angeforderten DNS-TXT-Einträge eingeben.

Von Azure Front Door verwaltete Zertifikate für vorab überprüfte Domänen, die nicht von Azure stammen

Wenn Sie über Ihre eigene Domäne verfügen und die Domäne noch nicht einem anderen Azure-Dienst zugeordnet ist, der Domänen für Azure Front Door vorab überprüft, führen Sie die folgenden Schritte aus:

  1. Wählen Sie unter Einstellungen Domänen für Ihr Azure Front Door-Profil aus. Wählen Sie anschließend + Hinzufügen aus, um eine neue Domäne hinzuzufügen.

    Screenshot des Zielbereichs der Domänenkonfiguration.

  2. Geben Sie im Bereich Domäne hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus. Wählen Sie dann Hinzufügen aus, um die benutzerdefinierte Domäne zu integrieren.

    Screenshot des Bereichs „Domäne hinzufügen“, auf der die Option „Von Azure verwaltetes DNS“ ausgewählt ist.

    Einstellung Wert
    Domänentyp Wählen Sie Nicht von Azure vorvalidierte Domäne aus.
    DNS-Verwaltung Wählen Sie Von Azure verwaltetes DNS (empfohlen) aus.
    DNS-Zone Wählen Sie die Azure DNS-Zone aus, die die benutzerdefinierte Domäne hostet.
    Benutzerdefinierte Domäne Wählen Sie eine vorhandene Domäne aus, oder fügen Sie eine neue Domäne hinzu.
    HTTPS Wählen Sie Durch Azure Front Door verwaltet (empfohlen) aus.
  3. Überprüfen Sie die benutzerdefinierte Domäne, und ordnen Sie sie einem Endpunkt zu, indem Sie die Schritte zum Aktivieren einer benutzerdefinierten Domäne befolgen.

  4. Nachdem die benutzerdefinierte Domäne erfolgreich einem Endpunkt zugeordnet wurde, generiert Azure Front Door ein Zertifikat und stellt es bereit. Der Abschluss dieses Vorgangs kann möglicherweise zwischen einigen Minuten und einer Stunde dauern.

Von Azure verwaltete Zertifikate für vorab überprüfte Azure-Domänen

Wenn Sie über Ihre eigene Domäne verfügen und die Domäne einem anderen Azure-Dienst zugeordnet ist, der Domänen für Azure Front Door vorab überprüft, führen Sie die folgenden Schritte aus:

  1. Wählen Sie unter Einstellungen Domänen für Ihr Azure Front Door-Profil aus. Wählen Sie anschließend + Hinzufügen aus, um eine neue Domäne hinzuzufügen.

    Screenshot der Startseite der Domäne.

  2. Geben Sie im Bereich Domäne hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus. Wählen Sie dann Hinzufügen aus, um die benutzerdefinierte Domäne zu integrieren.

    Screenshot des Bereichs „Domäne hinzufügen“ mit einer vorvalidierten Domäne.

    Einstellung Wert
    Domänentyp Wählen Sie Azure vorvalidierte Domäne aus.
    Vorvalidierte benutzerdefinierte Domäne Wählen Sie den Namen einer benutzerdefinierten Domäne aus der Dropdownliste der Azure-Dienste aus.
    HTTPS Wählen Sie Von Azure verwaltet aus.
  3. Überprüfen Sie die benutzerdefinierte Domäne, und ordnen Sie sie einem Endpunkt zu, indem Sie die Schritte zum Aktivieren einer benutzerdefinierten Domäne befolgen.

  4. Nachdem die benutzerdefinierte Domäne erfolgreich einem Endpunkt zugeordnet wurde, wird ein von Azure Front Door verwaltetes Zertifikat für Azure Front Door bereitgestellt. Der Abschluss dieses Vorgangs kann möglicherweise zwischen einigen Minuten und einer Stunde dauern.

Verwenden Ihres eigenen Zertifikats

Sie können auch Ihr eigenes TLS-Zertifikat verwenden. Ihr TLS-Zertifikat muss bestimmte Anforderungen erfüllen. Weitere Informationen finden Sie unter Zertifikatanforderungen.

Vorbereiten von Schlüsseltresor und Zertifikat

Erstellen Sie eine separate Azure Key Vault-Instanz für die Speicherung Ihrer Azure Front Door-TLS-Zertifikate. Weitere Informationen finden Sie unter Erstellen einer Azure Key Vault-Instanz. Falls Sie bereits über ein Zertifikat verfügen, können Sie es in Ihre neue Key Vault-Instanz hochladen. Andernfalls können Sie ein neues Zertifikat über Key Vault von einem der Zertifizierungsstellenpartner (CAs) erstellen.

Es gibt derzeit zwei Möglichkeiten, Azure Front Door für den Zugriff auf Ihren Key Vault zu authentifizieren:

Warnung

*Azure Front Door unterstützt derzeit nur Key Vault im selben Abonnement. Die Auswahl von Key Vault unter einem anderen Abonnement führt zu einem Fehler.

  • Azure Front Door unterstützt keine Zertifikate mit Elliptic Curve-Kryptografiealgorithmen. Ihr Zertifikat muss außerdem über eine vollständige Zertifikatkette mit Blatt- und Zwischenzertifikaten verfügen. Die Stammzertifizierungsstelle muss auch in der Microsoft-Liste der vertrauenswürdigen Zertifizierungsstellen enthalten sein.

Registrieren von Azure Front Door

Registrieren Sie den Dienstprinzipal für Azure Front Door als App in Microsoft Entra ID mithilfe von Microsoft Graph PowerShell oder Azure CLI.

Hinweis

  • Für diese Aktion müssen Sie über Berechtigungen als „Benutzerzugriffsadministrator“ in Microsoft Entra ID verfügen. Die Registrierung muss nur einmal pro Microsoft Entra-Mandant ausgeführt werden.
  • Die Anwendungs-IDs 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 und d4631ece-daab-479b-be77-ccb713491fc0 werden von Azure für die Azure Front Door Standard- und Premium-Ebene für alle Azure-Mandanten und -Abonnements vordefiniert. Azure Front Door (klassisch) hat eine andere Anwendungs-ID.
  1. Installieren Sie bei Bedarf auf dem lokalen Computer Microsoft Graph PowerShell in PowerShell.

  2. Verwenden Sie PowerShell, um den folgenden Befehl auszuführen:

    Öffentliche Azure-Cloud:

    New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'
    

    Azure Government-Cloud:

     New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
    

Gewähren von Zugriff auf Ihren Schlüsseltresor für Azure Front Door

Gewähren Sie Azure Front Door Zugriff auf die Zertifikate in dem neuen Key Vault-Konto, das Sie speziell für Azure Front Door erstellt haben. Sie müssen nur die GET-Berechtigung für das Zertifikat und den geheimen Schlüssel erteilen, damit Azure Front Door das Zertifikat abrufen kann.

  1. Wählen Sie in Ihrem Key Vault-Konto Zugriffsrichtlinien aus.

  2. Wählen Sie Neu hinzufügen oder Erstellen aus, um eine neue Zugriffsrichtlinie zu erstellen.

  3. Wählen Sie unter Berechtigungen für Geheimnis die Option Abrufen aus, um Azure Front Door das Abrufen des Zertifikats zu ermöglichen.

  4. Wählen Sie unter Zertifikatberechtigungen die Option Abrufen aus, um Azure Front Door das Abrufen des Zertifikats zu ermöglichen.

  5. Suchen Sie unter Prinzipal auswählen nach 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, und wählen Sie Microsoft.AzureFrontDoor-Cdn aus. Wählen Sie Weiter aus.

  6. Wählen Sie in Anwendung die Option Weiter aus.

  7. Wählen Sie unter Überprüfen + erstellen die Option Erstellen aus.

Hinweis

Wenn Ihr Schlüsseltresor mit Netzwerkzugriffseinschränkungen geschützt ist, stellen Sie sicher, dass vertrauenswürdige Microsoft-Dienste auf Ihren Schlüsseltresor zugreifen können.

Azure Front Door kann nun auf diesen Schlüsseltresor und auf die darin gespeicherten Zertifikate zugreifen.

Auswählen des bereitzustellenden Zertifikats für Azure Front Door

  1. Kehren Sie im Portal zu Ihrer Azure Front Door Standard/Premium-Instanz zurück.

  2. Navigieren Sie unter Einstellungen zu Geheimnisse, und wählen Sie + Zertifikat hinzufügen aus.

    Screenshot der Landing Page für das Azure Front Door-Geheimnis.

  3. Aktivieren Sie im Bereich Zertifikat hinzufügen das Kontrollkästchen für das Zertifikat, das Sie zu Azure Front Door Standard/Premium hinzufügen möchten.

  4. Wenn Sie ein Zertifikat auswählen, müssen Sie die Zertifikatversion auswählen. Wenn Sie Neustes auswählen, wird Azure Front Door automatisch aktualisiert, wenn das Zertifikat rotiert (verlängert) wird. Sie können auch eine bestimmte Zertifikatversion auswählen, wenn Sie die Zertifikatrotation selbst verwalten möchten.

    Belassen Sie als Versionsauswahl die Option Neueste, und wählen Sie Hinzufügen aus.

    Screenshot des Bereichs „Zertifikat hinzufügen“.

  5. Nachdem das Zertifikat erfolgreich bereitgestellt wurde, können Sie es verwenden, wenn Sie eine neue benutzerdefinierte Domäne hinzufügen.

    Screenshot des erfolgreich zu den Geheimnissen hinzugefügten Zertifikats.

  6. Navigieren Sie unter Einstellung zu Domänen, und wählen Sie + Hinzufügen aus, um eine neue benutzerdefinierte Domäne hinzuzufügen. Wählen Sie im Bereich Domäne hinzufügen für HTTPS die Option Bring Your Own Certificate (BYOC) aus. Wählen Sie für Geheimnis das zu verwendende Zertifikat aus der Dropdownliste aus.

    Hinweis

    Der allgemeine Name des ausgewählten Zertifikats muss der hinzugefügten benutzerdefinierten Domäne entsprechen.

    Screenshot des Bereichs „Benutzerdefinierte Domäne hinzufügen“ mit HTTPS.

  7. Befolgen Sie die Schritte auf dem Bildschirm, um das Zertifikat zu überprüfen. Ordnen Sie dann die neu erstellte benutzerdefinierte Domäne einem Endpunkt zu, wie inKonfigurieren einer benutzerdefinierten Domäne beschrieben.

Wechseln zwischen Zertifikattypen

Sie können eine Domäne zwischen der Verwendung eines von Azure Front Door verwalteten Zertifikats und eines kundenseitig verwalteten Zertifikats ändern. Weitere Informationen finden Sie unter Domänen in Azure Front Door.

  1. Wählen Sie den Zertifikatstatus aus, um den Bereich Zertifikatdetails zu öffnen.

    Screenshot des Zertifikatstatus auf der Startseite der Domäne.

  2. Auf der Seite Zertifikatdetails können Sie zwischen Von Azure Front Door verwaltet und Bring Your Own Certificate (BYOC) wechseln.

    Wenn Sie Bring Your Own Certificate (BYOC) auswählen, führen Sie die oben beschriebenen Schritte aus, um ein Zertifikat auszuwählen.

  3. Wählen Sie Aktualisieren aus, um das zugeordnete Zertifikat mit einer Domäne zu ändern.

    Screenshot des Bereichs „Zertifikatdetails“.

Nächste Schritte