Lägga till en anpassad domän

  • Artikel

Förutom standarddomänen som ingår i en instans av Azure Web PubSub kan du lägga till en anpassad domän. En anpassad domän är ett domännamn som du äger och hanterar. Du kan använda en anpassad domän för att komma åt dina Web PubSub-resurser. Du kan till exempel använda contoso.example.com i stället contoso.webpubsub.azure.com för att komma åt dina resurser.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration. Om du inte har något Azure-konto kan du skapa ett konto kostnadsfritt.
  • En Azure Web PubSub-resurs på en lägsta Premium-nivå.
  • En Azure Key Vault-resurs.
  • Ett anpassat certifikat som matchar en anpassad domän som lagras i Azure Key Vault.

Lägga till ett anpassat certifikat

Innan du kan lägga till en anpassad domän lägger du till ett matchande anpassat certifikat. Ett anpassat certifikat är en resurs i din instans av Web PubSub. Det refererar till ett certifikat i ditt nyckelvalv. För säkerhet och efterlevnad lagrar Web PubSub inte certifikatet permanent. I stället hämtar det certifikatet från ditt nyckelvalv och behåller det i minnet.

Få åtkomst till nyckelvalvet med hjälp av en hanterad identitet

Azure Web PubSub använder en hanterad identitet för att komma åt ditt nyckelvalv. Om du vill auktorisera åtkomst måste den beviljas behörigheter.

Skapa en hanterad identitet

  1. I Azure-portalen går du till din Web PubSub-resurs.

  2. Välj Identitet på den vänstra menyn.

  3. Välj den typ av identitet som ska användas: Systemtilldelad eller Användartilldelad. Om du vill använda en användartilldelad identitet skapar du en först.

    Så här använder du en systemtilldelad identitet:

    1. Välj .

    2. Välj Ja för att bekräfta.

    3. Välj Spara.

    Skärmbild som visar hur du lägger till en systemtilldelad hanterad identitet.

    Så här lägger du till en användartilldelad identitet:

    1. Välj Lägg till användartilldelad hanterad identitet.

    2. Välj en befintlig identitet.

    3. Markera Lägga till.

    Skärmbild som visar hur du lägger till en användartilldelad hanterad identitet.

  4. Välj Spara.

Ge nyckelvalvet åtkomst till den hanterade identiteten

Beroende på hur du konfigurerar din Azure Key Vault-behörighetsmodell kan du behöva bevilja behörigheter på olika platser i Azure-portalen.

Om du använder en inbyggd åtkomstprincip för nyckelvalvet som en nyckelvalvsbehörighetsmodell:

Skärmbild av en inbyggd åtkomstprincip som valts som nyckelvalvsbehörighetsmodell.

  1. Gå till ditt nyckelvalv i Azure-portalen.

  2. På den vänstra menyn väljer du Åtkomstkonfiguration.

  3. Välj Åtkomstprincip för valv.

  4. Välj Gå till åtkomstprinciper.

  5. Välj Skapa.

  6. I fönstret Skapa en åtkomstprincip väljer du fliken Behörigheter .

  7. För Hemliga behörigheter väljer du Hämta.

  8. För Certifikatbehörigheter väljer du Hämta.

  9. Välj Nästa.

    Skärmbild av val av behörigheter i ett nyckelvalv.

  10. Sök efter resursnamnet för Web PubSub.

  11. Välj Nästa.

    Skärmbild av huvudval i ett nyckelvalv.

  12. Välj fliken Program och välj sedan Nästa.

  13. Välj Skapa.

Skapa ett anpassat certifikat

  1. I Azure-portalen går du till din Web PubSub-resurs.

  2. Välj Anpassad domän på den vänstra menyn.

  3. I fönstret Anpassat certifikat väljer du Lägg till.

    Skärmbild som visar hantering av ett anpassat certifikat.

  4. Ange ett namn för det anpassade certifikatet.

  5. Välj Välj från ditt Key Vault för att välja ett nyckelvalvcertifikat. När du har valt ett nyckelvalv läggs värden för Key Vault Base URI och Key Vault Secret Name till automatiskt. Du måste också välja att redigera dessa fält manuellt.

  6. (Valfritt) Om du vill fästa certifikatet på en viss version anger du ett värde för Key Vault Secret Version.

  7. Markera Lägga till.

    Skärmbild som visar hur du lägger till ett anpassat certifikat.

Web PubSub hämtar certifikatet och verifierar dess innehåll. När certifikatverifieringen lyckas lyckas etableringstillståndet för certifikatet.

Skärmbild som visar ett anpassat certifikat som har lagts till.

Skapa en anpassad domän- CNAME

Om du vill verifiera ägarskapet för din anpassade domän skapar du en CNAME-post för den anpassade domänen och pekar den på standarddomänen för din Web PubSub-resurs.

Om din standarddomän till exempel är contoso.webpubsub.azure.com och din anpassade domän är contoso.example.comskapar du en CNAME-post på example.com som i det här exemplet:

contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com

Om du använder Azure DNS-zonen kan du läsa Hantera DNS-poster om du vill lära dig hur du lägger till en CNAME-post.

Skärmbild som visar hur du lägger till en CNAME-post i Azure DNS-zonen.

Om du använder andra DNS-leverantörer följer du vägledningen i leverantörens dokumentation för att skapa en CNAME-post.

Lägga till en anpassad domän i Web PubSub

En anpassad domän är en annan underresurs i din Web PubSub-instans. Den innehåller alla konfigurationer som krävs för en anpassad domän.

  1. I Azure-portalen går du till din Web PubSub-resurs.

  2. Välj Anpassad domän på den vänstra menyn.

  3. I fönstret Anpassad domän väljer du Lägg till.

    Skärmbild som visar anpassad domänhantering.

  4. Ange ett namn för den anpassade domänen. Använd underresursnamnet.

  5. Ange domännamnet. Använd det fullständiga domännamnet för din anpassade domän, contoso.comtill exempel .

  6. Välj ett anpassat certifikat som gäller för den här anpassade domänen.

  7. Markera Lägga till.

    Skärmbild som visar hur du lägger till en anpassad domän.

Verifiera din anpassade domän

Nu kan du komma åt din Web PubSub-slutpunkt med hjälp av den anpassade domänen.

För att verifiera domänen kan du komma åt hälso-API:et. I följande exempel används cURL.

PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com

< HTTP/1.1 200 OK
...
PS C:\>

Hälso-API:et bör returnera en 200 statuskod utan certifikatfel.

Konfigurera ett nyckelvalv för privat nätverk

Om du konfigurerar en privat slutpunkt för ditt nyckelvalv kan Web PubSub inte komma åt nyckelvalvet med hjälp av ett offentligt nätverk. Du måste konfigurera en delad privat slutpunkt för att ge Web PubSub åtkomst till ditt nyckelvalv via ett privat nätverk.

När du har skapat en delad privat slutpunkt kan du skapa ett anpassat certifikat som vanligt. Du behöver inte ändra domänen i nyckelvalvets URI. Om din nyckelvalvsbas-URI till exempel är https://contoso.vault.azure.netfortsätter du att använda den här URI:n för att konfigurera ett anpassat certifikat.

Du behöver inte uttryckligen tillåta IP-adresser för Web PubSub i brandväggsinställningarna för nyckelvalvet. Mer information finns i Diagnostik för privat länk i Key Vault.

Rotera certifikatet

Om du inte anger någon hemlig version när du skapar ett anpassat certifikat söker Web PubSub regelbundet efter den senaste versionen i nyckelvalvet. När en ny version identifieras tillämpas den automatiskt. Fördröjningen är vanligtvis mindre än en timme.

Du kan också fästa ett anpassat certifikat på en specifik hemlig version i nyckelvalvet. När du behöver tillämpa ett nytt certifikat kan du redigera den hemliga versionen och sedan uppdatera det anpassade certifikatet proaktivt.

Relaterat innehåll