Руководство по настройке протокола HTTPS для личного домена в сети доставки содержимого Azure

Внимание

Azure CDN standard от Корпорации Майкрософт (классическая версия) будет прекращена 30 сентября 2027 г. Чтобы избежать нарушений работы службы, важно перенести профили Azure CDN уровня "Стандартный" от Майкрософт (классический) на уровень Azure Front Door standard или Premium к 30 сентября 2027 года. Дополнительные сведения см. в статье Azure CDN Standard от майкрософт (классическая версия).

Azure CDN из Эдгио будет прекращено 4 ноября 2025 г. Перед этой датой необходимо перенести рабочую нагрузку в Azure Front Door. Дополнительные сведения см. в статье Azure CDN из Edgio для выхода на пенсию.

В этом руководстве показано, как включить протокол HTTPS для личного домена, связанного с конечной точкой Azure CDN.

Протокол HTTPS в пользовательском домене (например, https://www.contoso.comобеспечивает безопасное доставку конфиденциальных данных через TLS/SSL). При подключении веб-браузера через HTTPS браузер проверяет сертификат веб-сайта. Браузер проверяет, выдан ли он законным центром сертификации. Этот процесс обеспечивает безопасность и защиту веб-приложений от атак.

Azure CDN по умолчанию поддерживает HTTPS в имени узла конечной точки CDN. Например, если вы создаете конечную точку CDN (например https://contoso.azureedge.net, httpS) автоматически включается.

Ниже приведены некоторые ключевые характеристики настраиваемой функции HTTPS:

  • Нет дополнительных затрат: нет затрат на приобретение сертификатов или продление, и нет дополнительных затрат на трафик HTTPS. Вы платите только за исходящий трафик из CDN.

  • Простое включение: на портале Azure доступна подготовка одним щелчком. Для включения этого компонента можно также использовать REST API или другие средства разработки.

  • Доступно полноценное управление сертификатами:

    • закупка всех сертификатов и управление ими осуществляется без вашего участия.
    • Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия.

В этом руководстве описано следующее:

  • включение протокола HTTPS в личном домене;
  • использование сертификата, управляемого CDN;
  • использование собственного сертификата;
  • проверка домена;
  • отключение протокола HTTPS в личном домене.

Предварительные требования

Примечание.

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Прежде чем перейти к выполнению шагов из этого учебника, создайте профиль и как минимум одну конечную точку CDN. Дополнительные сведения см. в статье Начало работы с Azure CDN.

Свяжите личный домен Azure CDN с конечной точкой CDN. Дополнительные сведения см. в руководстве . Добавление личного домена в конечную точку Azure CDN.

Внимание

Управляемые сертификаты CDN недоступны для корневых или вершинных доменов. Если личный домен Azure CDN является корневым или вершинным, необходимо использовать возможность применения собственного сертификата.


TLS/SSL-сертификаты

Чтобы включить протокол HTTPS в личном домене Azure CDN, используйте TLS/SSL-сертификат. Вы можете использовать сертификат под управлением Azure CDN или собственный сертификат.

Azure CDN управляет задачами управления сертификатами, такими как приобретение и продление. Как только функция будет включена, процесс сразу же запустится.

Если личный домен уже сопоставлен с конечной точкой CDN, дальнейших действий не требуется. Azure CDN обрабатывает шаги и автоматически завершает запрос.

Если личный домен сопоставлен в другом месте, используйте электронную почту, чтобы подтвердить принадлежность домена.

Ниже описана процедура включения протокола HTTPS для личного домена.

  1. Перейдите на портал Azure и найдите сертификат, управляемый Azure CDN. Выполните поиск по запросу Профили CDN и выберите этот пункт.

  2. Выберите свой профиль:

    • Azure CDN уровня "Стандартный" от Майкрософт;
    • Azure CDN уровня "Стандартный" из Эдгио
    • Azure CDN Premium из Эдгио
  3. В списке конечных точек CDN выберите ту из них, которая содержит личный домен.

    Снимок экрана: список конечных точек. Откроется страница конечной точки .

  4. В списке личных доменов выберите домен, для которого нужно включить протокол HTTPS.

    Снимок экрана: страница личного домена с параметром использования собственного сертификата.

    Откроется страница Личный домен.

  5. В разделе с типом управления сертификатом выберите Управляемые CDN.

  6. Выберите Вкл., чтобы включить HTTPS.

    Снимок экрана: состояние HTTPS личного домена.

  7. Выберите Подтвердить домен.

проверка домена;

Если у вас есть личный домен, сопоставленный с пользовательской конечной точкой с записью CNAME или вы используете собственный сертификат, перейдите в личный домен, сопоставленный с конечной точкой сеть доставки содержимого.

Если же запись CNAME для конечной точки больше не существует или содержит поддомен cdnverify, перейдите к разделу Личный домен не сопоставлен с конечной точкой CDN.

Пользовательский домен сопоставлен с конечной точкой CDN с помощью записи CNAME

Добавив личный домен для конечной точки, вы создали в таблице DNS вашего регистратора домена запись CNAME, которая сопоставляет домен с именем узла конечной точки CDN.

Если запись CNAME еще существует и не содержит поддомен cdnverify, центр сертификации DigiCert использует ее для автоматического подтверждения прав владения доменом.

При использовании собственного сертификата подтверждение домена не является обязательным.

Запись CNAME должна иметь следующий формат:

  • Name — имя личного домена.
  • Значением является имя узла конечной точки конечной точки доставки содержимого.
Имя. Тип значение
<www.contoso.com> CNAME contoso.azureedge.net

Дополнительные сведения о записи CNAME см. в разделе о создании записи CNAME в DNS.

Если запись CNAME имеет правильный формат, DigiCert автоматически подтвердит имя личного домена и создаст сертификат для вашего домена. DigitCert не отправляет вам сообщение электронной почты проверки, и вам не нужно утверждать запрос. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться. Перейдите к разделу Ожидание распространения.

Автоматическая проверка обычно занимает несколько часов. Если домен не проверен в 24 часах, откройте запрос в службу поддержки.

Примечание.

Если у вас есть запись авторизации центра сертификации (CAA) с поставщиком DNS, она должна включать соответствующие центры сертификации для авторизации. DigiCert — это ЦС для профилей Майкрософт и Edgio. Сведения об управлении записями авторизации ЦС см. в этой статье. Средство для работы с записями авторизации ЦС доступно здесь.

Личный домен не сопоставлен с конечной точкой CDN

Если запись CNAME содержит поддомен cdnverify, следуйте остальным инструкциям в этом шаге.

DigiCert отправляет письмо для подтверждения на следующие адреса электронной почты. Убедитесь, что возможно утверждение непосредственно с одного из таких адресов:

  • admin@your-domain-name.com
  • administrator@your-domain-name.com
  • webmaster@your-domain-name.com
  • hostmaster@your-domain-name.com
  • postmaster@your-domain-name.com

Через несколько минут должно появиться электронное сообщение с просьбой подтвердить запрос. Если вы используете фильтр нежелательной почты, добавьте verification@digicert.com в список разрешений. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.

Снимок экрана: сообщение электронной почты проверки домена.

При щелчке ссылки для подтверждения запроса откроется следующая онлайн-форма:

Снимок экрана: форма проверки домена.

Следуйте инструкциям в форме. Есть два варианта проверки:

  • Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например contoso.com. Этот подход рекомендуется, если вы планируете добавлять дополнительные личные домены для одного корневого домена.

  • Можно просто утвердить конкретное имя узла, которое используется в данном запросе. Для последующих запросов потребуется дополнительное утверждение.

После утверждения DigiCert завершает создание сертификата для имени личного домена. Срок действия сертификата — один год. Если запись CNAME для личного домена добавляется или обновляется для сопоставления с именем узла конечной точки после проверки, она будет автоматически обновлена до истечения срока его действия.

Примечание.

Для автоматического автоматического обновления управляемого сертификата требуется, чтобы личный домен напрямую сопоставляется с конечной точкой CDN записью CNAME.

Ожидание распространения

Активация компонента HTTPS для личного домена после проверки доменного имени может занять до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Включено. Четыре шага операции в диалоговом окне личного домена будут помечены как завершенные. Личный домен готов для использования протокола HTTPS.

Снимок экрана: диалоговое окно включения HTTPS.

Ход выполнения операции

В следующей таблице показан ход операции, возникающей при включении HTTPS. После включения HTTPS в диалоговом окне личного домена отобразятся четыре шага операции. По мере активации этих шагов в них появляются другие вложенные шаги со сведениями о ходе выполнения. Не все эти промежуточные этапы происходят. После успешного завершения шага рядом с ним появится зеленый флажок.

Шаг операции Сведения о вложенном шаге операции
1. Отправка запроса Отправка запроса
Отправляется HTTP-запрос.
HTTPS-запрос успешно отправлен.
2. Проверка домена Домен автоматически подтверждается, если он сопоставлен с конечной точкой CDN с помощью записи CNAME. В противном случае запрос на проверку отправляется в адрес электронной почты, указанной в записи регистрации домена (реестрант WHOIS).
Владение доменом успешно подтверждено.
Истек срок действия запроса на подтверждение прав владения доменом (клиент, скорее всего, не ответил в течение 6 дней). HTTPS не будет включен в вашем домене. *
Клиент отклонил запрос на подтверждение прав собственности на домен. HTTPS не будет включен в вашем домене. *
3. Подготовка сертификата В настоящее время центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене.
Сертификат был выдан и в настоящее время развертывается в сеть доставки содержимого. Это может занять до 6 часов.
Сертификат успешно развернут в сети доставки содержимого.
4. Завершение HTTPS успешно включен для вашего домена.

* Это сообщение отображается, только если произошла ошибка.

Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Очистка ресурсов и отключение HTTPS

Из этого раздела вы узнаете, как отключить протокол HTTPS для личного домена.

Отключение компонента HTTPS

  1. Войдите на портал Azure. Выполните поиск по запросу Профили CDN и выберите этот пункт.

  2. Выберите azure CDN уровня "Стандартный" из Microsoft, Azure CDN standard из Edgio или Azure CDN Premium из профиля Edgio.

  3. В списке конечных точек выберите ту из них, которая содержит личный домен.

  4. Щелкните личный домен, для которого требуется отключить HTTPS.

    Снимок экрана: список настраиваемых доменов.

  5. Щелкните Выкл., чтобы отключить HTTPS, а затем нажмите кнопку Применить.

    Снимок экрана: пользовательское диалоговое окно HTTPS.

Ожидание распространения

После отключения компонента HTTPS личного домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Отключено. Личный домен больше не сможет использовать HTTPS.

Часто задаваемые вопросы

  1. Кто является поставщиком сертификата и какой тип сертификата используется?

    Для личного домена используется выделенный сертификат, предоставленный Digicert:

    • Azure сеть доставки содержимого из Эдгио
    • Azure сеть доставки содержимого от Майкрософт
  2. Используется ли ip-адрес или указание имени сервера (SNI) TLS/SSL?

    Azure CDN из Edgio и Azure CDN Уровня "Стандартный" из Майкрософт используют протокол SNI TLS/SSL.

  3. Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?

    Если вы не используете поддомен cdnverify и существует запись CNAME, которая указывает на ваше имени узла конечной точки, вы не получите электронное сообщение о подтверждении домена.

    Проверка в этом случае проходит автоматически. Если запись CNAME отсутствует и вы не получили сообщение электронной почты в течение 24 часов, обратитесь в службу поддержки Майкрософт.

  4. Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?

    Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных TLS/SSL-сертификатов используется алгоритм SHA-256.

  5. Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?

    В настоящее время запись авторизации центра сертификации не требуется. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.

  6. 20 июня 2018 г. Azure CDN из Эдгио по умолчанию начал использовать выделенный сертификат с SNI TLS/SSL. Что произойдет с моими существующими личными доменами, использующими сертификат SAN и подключение TLS/SSL на основе IP-адресов?

    Существующие домены постепенно переносятся на один сертификат в ближайшие месяцы, если корпорация Майкрософт анализирует, что в приложение вносятся только клиентские запросы SNI.

    Если обнаруживаются клиенты без SNI, домены продолжат использовать сертификат SAN с протоколом TLS/SSL на основе IP-адресации. Это не повлияет на запросы к службе или клиентам, которые не используют SNI.

  7. Как работает продление сертификатов с помощью собственного сертификата?

    Чтобы обеспечить развертывание нового сертификата в инфраструктуре POP, отправьте новый сертификат в Azure Key Vault. В параметрах TLS в Azure сеть доставки содержимого выберите последнюю версию сертификата и нажмите кнопку "Сохранить". Затем azure сеть доставки содержимого будет распространять новый обновленный сертификат.

    Внимание

    • По состоянию на 20 июня 2024 г. Azure CDN уровня "Стандартный" и "Премиум" из Edgio не будет поддерживать функцию использования собственных сертификатов . Эта функция будет вновь введена в начале 2025 года.
    • Каковы необходимые действия для пользовательских доменов с помощью этой функции? Сертификаты BYOC, уже развернутые на платформе Edgio, будут оставаться действительными до истечения срока действия. Действие не требуется для истечения срока действия сертификатов в 2025 году. Мы рекомендуем переключиться на CDN Managed for certificates, которым требуется обновление или истекает срок действия в этом году. Если вам требуется дополнительная помощь, отправьте запрос на поддержку для работы с инженером службы поддержки.

Следующие шаги

Из этого руководства вы узнали, как:

  • включение протокола HTTPS в личном домене;
  • использование сертификата, управляемого CDN;
  • использование собственного сертификата;
  • проверка домена;
  • отключение протокола HTTPS в личном домене.

Перейдите к следующему руководству, чтобы научиться настраивать кэширование в конечной точке CDN.

Tutorial: Set Azure CDN caching rules (Руководство. Настройка правил кэширования Azure CDN)