Azure Front Door'daki etki alanları
Etki alanı , Azure Front Door'un uygulamanızın trafiğini almak için kullandığı özel bir etki alanı adını temsil eder. Azure Front Door üç tür etki alanı adı eklemeyi destekler:
- Alt etki alanları en yaygın özel etki alanı adı türüdür. Örnek alt etki alanı:
myapplication.contoso.com
. - Apex etki alanları alt etki alanı içermez. Örnek bir apex etki alanı:
contoso.com
. Azure Front Door ile apex etki alanlarını kullanma hakkında daha fazla bilgi için bkz . Apex etki alanları. - Joker etki alanları , herhangi bir alt etki alanı için trafiğin alınmasına izin verir. Joker karakter etki alanı örnek olarak verilmiştir
*.contoso.com
. Azure Front Door ile joker etki alanlarını kullanma hakkında daha fazla bilgi için bkz . Joker etki alanları.
Etki alanları Azure Front Door profilinize eklenir. Her yolda farklı yollar kullanıyorsanız, bir etki alanını bir uç nokta içindeki birden çok yolda kullanabilirsiniz.
Azure Front Door profilinize özel etki alanı eklemeyi öğrenmek için bkz . Azure portalını kullanarak Azure Front Door'da özel etki alanı yapılandırma.
DNS yapılandırması
Azure Front Door profilinize bir etki alanı eklediğinizde, DNS sunucunuzda iki kayıt yapılandırabilirsiniz:
- Etki alanı adınızın sahipliğini doğrulamak için gereken bir DNS TXT kaydı. DNS TXT kayıtları hakkında daha fazla bilgi için bkz . Etki alanı doğrulaması.
- İnternet trafiğinin Azure Front Door'a akışını denetleyen bir DNS CNAME kaydı.
İpucu
DNS değişiklikleri yapmadan önce Azure Front Door profilinize bir etki alanı adı ekleyebilirsiniz. Azure Front Door yapılandırmanızı birlikte ayarlamanız gerekiyorsa veya DNS kayıtlarınızı değiştiren ayrı bir ekibiniz varsa bu yaklaşım yararlı olabilir.
Ayrıca, trafik akışını denetlemek için CNAME kaydını eklemeden önce etki alanı sahipliğini doğrulamak için DNS TXT kaydınızı da ekleyebilirsiniz. Bu yaklaşım, zaten üretimde olan bir uygulamanız varsa geçiş kapalı kalma süresi yaşamamak için yararlı olabilir.
Etki alanı doğrulaması
Azure Front Door'a eklenen tüm etki alanlarının doğrulanması gerekir. Doğrulama, yanlışlıkla yanlış yapılandırmaya karşı korunmanıza ve diğer kişilerin etki alanı sahtekarlığına karşı korunmasına yardımcı olur. Bazı durumlarda etki alanları başka bir Azure hizmeti tarafından yaygın hale getirilebilir. Aksi takdirde, etki alanı adının sahipliğini kanıtlamak için Azure Front Door etki alanı doğrulama işlemini izlemeniz gerekir.
Azure önceden doğrulanmış etki alanları , desteklenen başka bir Azure hizmeti tarafından doğrulanmış etki alanlarıdır. Bir etki alanını başka bir Azure hizmetine ekler ve doğrularsanız ve daha sonra Azure Front Door'ı yapılandırırsanız, yaygın olarak bulunan bir etki alanıyla çalışabilirsiniz. Bu tür bir etki alanı kullandığınızda etki alanını Azure Front Door aracılığıyla doğrulamanız gerekmez.
Not
Azure Front Door şu anda yalnızca Azure Static Web Apps ile yapılandırılmış önceden doğrulanmış etki alanlarını kabul eder.
Azure dışı doğrulanmış etki alanları , desteklenen bir Azure hizmeti tarafından doğrulanmayan etki alanlarıdır. Bu etki alanı türü, Azure DNS de dahil olmak üzere herhangi bir DNS hizmetiyle barındırılabilir ve etki alanı sahipliğinin Azure Front Door tarafından doğrulanması gerekir.
TXT kaydı doğrulama
Etki alanını doğrulamak için bir DNS TXT kaydı oluşturmanız gerekir. TXT kaydının adı biçiminde _dnsauth.{subdomain}
olmalıdır. Azure Front Door, etki alanını Azure Front Door'a eklemeye başladığınızda TXT kaydınız için benzersiz bir değer sağlar.
Örneğin, Azure Front Door ile özel alt etki myapplication.contoso.com
alanını kullanmak istediğinizi varsayalım. İlk olarak, etki alanını Azure Front Door profilinize eklemeniz ve kullanmanız gereken TXT kayıt değerini not almanız gerekir. Ardından, aşağıdaki özelliklere sahip bir DNS kaydı yapılandırmanız gerekir:
Özellik | Değer |
---|---|
Kayıt Adı | _dnsauth.myapplication |
Kayıt değeri | Azure Front Door tarafından sağlanan değeri kullanma |
Yaşam süresi (TTL) | 1 saat |
Etki alanınız başarıyla doğrulandıktan sonra TXT kaydını DNS sunucunuzdan güvenle silebilirsiniz.
Özel etki alanı için DNS TXT kaydı ekleme hakkında daha fazla bilgi için bkz . Azure portalını kullanarak Azure Front Door'da özel etki alanı yapılandırma.
Etki alanı doğrulama durumları
Aşağıdaki tabloda, bir etki alanının gösterebileceği doğrulama durumları listelenmiştir.
Etki alanı doğrulama durumu | Açıklama ve eylemler |
---|---|
Gönderiliyor | Özel etki alanı oluşturuluyor. Etki alanı kaynağı hazır olana kadar bekleyin. |
Beklemede | DNS TXT kayıt değeri oluşturuldu ve Azure Front Door, DNS TXT kaydını eklemeniz için hazır. DNS TXT kaydını DNS sağlayıcınıza ekleyin ve doğrulamanın tamamlanmasını bekleyin. TXT kaydı DNS sağlayıcısıyla güncelleştirildikten sonra bile durum Beklemede olarak kalırsa, TXT kaydını yenilemek için Yeniden Oluştur'u seçin ve ARDıNDAN TXT kaydını DNS sağlayıcınıza yeniden ekleyin. |
Yeniden doğrulama bekleniyor | Yönetilen sertifikanın süresi 45 günden kısadır. Azure Front Door uç noktasını gösteren bir CNAME kaydınız varsa, sertifika yenileme için herhangi bir eylem gerekmez. Özel etki alanı başka bir CNAME kaydına işaret edilirse, Beklemede yeniden doğrulama durumunu seçin ve ardından Özel etki alanını doğrula sayfasında Yeniden Oluştur'u seçin. Son olarak, Azure DNS kullanıyorsanız Ekle'yi seçin veya TXT kaydını kendi DNS sağlayıcınızın DNS yönetimiyle el ile ekleyin. |
Doğrulama belirteci yenileniyor | Etki alanı, Yeniden Oluştur düğmesi seçildikten sonra kısa bir süre için Yenileme Doğrulama Belirteci durumuna geçer. Yeni bir TXT kayıt değeri verildikten sonra durum Beklemede olarak değişir. Eylem gerekmiyor. |
Onaylandı | Etki alanı başarıyla doğrulandı ve Azure Front Door bu etki alanını kullanan trafiği kabul edebilir. Eylem gerekmiyor. |
Reddedildi | Sertifika sağlayıcısı/yetkilisi yönetilen sertifikanın verilmesini reddetti. Örneğin, etki alanı adı geçersiz olabilir. Reddedildi bağlantısını seçin ve ardından bu tablonun altındaki ekran görüntülerinde gösterildiği gibi Özel etki alanını doğrula sayfasında Yeniden Oluştur'u seçin. Ardından, DNS sağlayıcısına TXT kaydını eklemek için Ekle'yi seçin. |
Timeout | TXT kaydı yedi gün içinde DNS sağlayıcınıza eklenmedi veya geçersiz bir DNS TXT kaydı eklendi. Zaman Aşımı bağlantısını seçin ve ardından Özel etki alanını doğrula sayfasında Yeniden Oluştur'u seçin. Ardından, DNS sağlayıcısına yeni bir TXT kaydı eklemek için Ekle'yi seçin. Güncelleştirilmiş değeri kullandığınızdan emin olun. |
Dahili hata | Bilinmeyen bir hata oluştu. Yenile veya Yeniden Oluştur düğmesini seçerek doğrulamayı yeniden deneyin. Sorun yaşamaya devam ediyorsanız Azure desteği için bir destek isteği gönderin. |
Not
- TXT kayıtları için varsayılan TTL 1 saattir. Yeniden doğrulama için TXT kaydını yeniden oluşturmanız gerektiğinde, lütfen önceki TXT kaydı için TTL'ye dikkat edin. Süresi dolmazsa, önceki TXT kaydının süresi dolana kadar doğrulama başarısız olur.
- Yeniden Oluştur düğmesi çalışmazsa etki alanını silin ve yeniden oluşturun.
- Etki alanı durumu beklendiği gibi yansıtılmıyorsa Yenile düğmesini seçin.
Özel etki alanları için HTTPS
Özel etki alanınızda HTTPS protokollerini kullanarak hassas verilerinizin İnternet üzerinden gönderildiğinde TLS/SSL şifrelemesi ile güvenli bir şekilde teslim edildiğinden emin olursunuz. Web tarayıcısı gibi bir istemci HTTPS kullanarak bir web sitesine bağlandığında, istemci web sitesinin güvenlik sertifikasını doğrular ve geçerli bir sertifika yetkilisi tarafından verildiğinden emin olur. Bu işlem güvenlik sağlar ve web uygulamalarınızı saldırılara karşı korur.
Azure Front Door, HTTPS'yi kendi etki alanlarınızla kullanmayı destekler ve kaynak sunucularınızdan aktarım katmanı güvenliği (TLS) sertifika yönetimini boşaltır. Özel etki alanları kullandığınızda Azure tarafından yönetilen TLS sertifikalarını kullanabilir (önerilir) veya kendi TLS sertifikalarınızı satın alıp kullanabilirsiniz.
Azure Front Door'un TLS ile nasıl çalıştığı hakkında daha fazla bilgi için bkz . Azure Front Door ile uçtan uca TLS.
Azure Front Door tarafından yönetilen TLS sertifikaları
Azure Front Door, alt etki alanları ve apex etki alanları için TLS sertifikalarını otomatik olarak yönetebilir. Yönetilen sertifikaları kullanırken anahtarlar veya sertifika imzalama istekleri oluşturmanız ve sertifikaları karşıya yüklemeniz, depolamanız veya yüklemeniz gerekmez. Ayrıca, Azure Front Door herhangi bir insan müdahalesi olmadan yönetilen sertifikaları otomatik olarak döndürebilir (yenileyebilir). Bu işlem, TLS sertifikalarınızın zamanında yenilenememesinden kaynaklanan kapalı kalma süresini önler.
Yönetilen TLS sertifikası oluşturma, verme ve yükleme işleminin tamamlanması birkaç dakika ile bir saat arasında sürebilir ve bazen daha uzun sürebilir.
Not
Etki alanı CNAME kaydı doğrudan bir Front Door uç noktasına veya dolaylı olarak bir Traffic Manager uç noktasına işaret ederse Azure Front Door (Standart ve Premium) yönetilen sertifikaları otomatik olarak döndürülür. Aksi takdirde, sertifikaları döndürmek için etki alanı sahipliğini yeniden doğrulamanız gerekir.
Etki alanı türleri
Aşağıdaki tabloda, farklı etki alanı türleri kullandığınızda yönetilen TLS sertifikalarıyla kullanılabilen özellikler özetlenmiştir:
Dikkat edilmesi gereken noktalar | Alt etki alanı | Apex etki alanı | Joker karakter etki alanı |
---|---|---|---|
Yönetilen TLS sertifikaları kullanılabilir | Yes | Evet | Hayır |
Yönetilen TLS sertifikaları otomatik olarak döndürülür | Yes | Aşağıya bakın | Hayır |
Azure Front Door tarafından yönetilen TLS sertifikalarını apex etki alanlarıyla kullandığınızda otomatik sertifika döndürme, etki alanı sahipliğinizi yeniden doğrulamanızı gerektirebilir. Daha fazla bilgi için bkz . Azure Front Door'da Apex etki alanları.
Yönetilen sertifika verme
Azure Front Door sertifikaları, iş ortağı sertifika yetkilimiz DigiCert tarafından verilir. Bazı etki alanları için, şu değere sahip bir CAA etki alanı kaydı oluşturarak sertifika veren olarak DigiCert'e açıkça izin vermelisiniz: 0 issue digicert.com
.
Azure sertifikaları sizin yerinize tamamen yönetir, böylece kök sertifikayı veren de dahil olmak üzere yönetilen sertifikanın her yönü istediğiniz zaman değişebilir. Bu değişiklikler denetiminizin dışındadır. Sertifika parmak izini denetleme veya yönetilen sertifikaya ya da sertifika hiyerarşisinin herhangi bir bölümüne sabitleme gibi yönetilen sertifikanın herhangi bir yönüne yönelik sabit bağımlılıklardan kaçındığından emin olun. Sertifikaları sabitlemeniz gerekiyorsa, sonraki bölümde açıklandığı gibi müşteri tarafından yönetilen bir TLS sertifikası kullanmanız gerekir.
Müşteri tarafından yönetilen TLS sertifikaları
Bazen kendi TLS sertifikalarınızı sağlamanız gerekebilir. Kendi sertifikalarınızı sağlamaya yönelik yaygın senaryolar şunlardır:
- Kuruluşunuz belirli bir sertifika yetkilisi tarafından verilen sertifikaları kullanmanızı gerektirir.
- Azure Key Vault'un bir iş ortağı sertifika yetkilisi kullanarak sertifikanızı vermesini istiyorsunuz.
- İstemci uygulamasının tanıdığı bir TLS sertifikası kullanmanız gerekir.
- Aynı TLS sertifikasını birden çok sistemde kullanmanız gerekir.
- Joker karakter etki alanları kullanırsınız. Azure Front Door joker karakter etki alanları için yönetilen sertifikalar sağlamaz.
Not
- Eylül 2023 itibarıyla Azure Front Door, etki alanı sahipliği doğrulaması için Kendi Sertifikalarınızı Getir'i (KCG) destekler. Sertifikanın Sertifika Adı (CN) veya Konu Alternatif Adı (SAN) özel etki alanıyla eşleşiyorsa Front Door etki alanı sahipliğini onaylar. Azure yönetilen sertifikasını seçerseniz, etki alanı doğrulaması DNS TXT kaydını kullanır.
- KCG tabanlı doğrulamadan önce oluşturulan özel etki alanları için ve etki alanı doğrulama durumu Onaylandı değilse, Doğrulama Durumu'nu seçip portalda Yeniden Doğrula düğmesine tıklayarak etki alanı sahipliği doğrulamasının otomatik onayını tetiklemeniz gerekir. Komut satırı aracını kullanırsanız, etki alanı API'sine boş bir PATCH isteği göndererek etki alanı doğrulamasını tetikleyebilirsiniz.
Sertifika gereksinimleri
Sertifikanızı Azure Front Door ile kullanmak için aşağıdaki gereksinimleri karşılaması gerekir:
- Tam sertifika zinciri: TLS/SSL sertifikanızı oluştururken, Microsoft Güvenilen CA Listesi'nin parçası olan izin verilen bir sertifika yetkilisine (CA) sahip eksiksiz bir sertifika zinciri oluşturmanız gerekir. İzin verilmeyen bir CA kullanıyorsanız isteğiniz reddedilir. Kök CA, Microsoft Güvenilen CA Listesi'nin bir parçası olmalıdır. Tam zinciri olmayan bir sertifika sunulursa, bu sertifikayı içeren isteklerin beklendiği gibi çalışacağı garanti edilmez.
- Ortak ad: Sertifikanın ortak adı (CN), Azure Front Door'da yapılandırılan etki alanıyla eşleşmelidir.
- Algoritma: Azure Front Door üç nokta eğrisi (EC) şifreleme algoritmalarına sahip sertifikaları desteklemez.
- Dosya (içerik) türü: Sertifikanızın içerik türünü kullanan bir PFX dosyasından
application/x-pkcs12
anahtar kasanıza yüklenmesi gerekir.
Sertifikayı Azure Key Vault'a aktarma
Azure Front Door ile kullanabilmeniz için özel TLS sertifikalarının Azure Key Vault'a aktarılması gerekir. Bir sertifikayı anahtar kasasına aktarmayı öğrenmek için bkz . Öğretici: Azure Key Vault'ta sertifikayı içeri aktarma.
Anahtar kasası, Azure Front Door profilinizle aynı Azure aboneliğinde olmalıdır.
Uyarı
Azure Front Door yalnızca Front Door profiliyle aynı abonelikteki anahtar kasalarını destekler. Azure Front Door profilinizden farklı bir abonelik altında anahtar kasası seçmek hataya neden olur.
Sertifikaların gizli dizi yerine bir sertifika nesnesi olarak karşıya yüklenmesi gerekir.
Azure Front Door'a erişim izni verme
Azure Front Door'un sertifikanızı okumak için anahtar kasanıza erişmesi gerekir. Hem anahtar kasasının ağ güvenlik duvarını hem de kasanın erişim denetimini yapılandırmanız gerekir.
Anahtar kasanızda ağ erişim kısıtlamaları etkinleştirildiyse, anahtar kasanızı, güvenilir Microsoft hizmetlerinin güvenlik duvarını atlamasına izin verecek şekilde yapılandırmanız gerekir.
Anahtar kasanızda erişim denetimini yapılandırmanın iki yolu vardır:
- Azure Front Door, anahtar kasanıza erişmek için yönetilen kimlik kullanabilir. Anahtar kasanız Microsoft Entra kimlik doğrulaması kullandığında bu yaklaşımı kullanabilirsiniz. Daha fazla bilgi için bkz . Azure Front Door Standard/Premium ile yönetilen kimlikleri kullanma.
- Alternatif olarak, Azure Front Door'un hizmet sorumlusuna anahtar kasanıza erişim vekleyebilirsiniz. Kasa erişim ilkelerini kullanırken bu yaklaşımı kullanabilirsiniz.
Özel sertifikanızı Azure Front Door'a ekleme
Sertifikanızı bir anahtar kasasına aktardıktan sonra, anahtar kasanıza eklediğiniz sertifikanın başvurusu olan bir Azure Front Door gizli dizisi kaynağı oluşturun.
Ardından etki alanınızı TLS sertifikası için Azure Front Door gizli dizisini kullanacak şekilde yapılandırın.
Bu adımların kılavuzlu bir kılavuzu için bkz . Azure portalını kullanarak Azure Front Door özel etki alanında HTTPS'yi yapılandırma.
Sertifika türleri arasında geçiş yapma
Etki alanını, Azure Front Door tarafından yönetilen sertifika ve kullanıcı tarafından yönetilen sertifika kullanma arasında değiştirebilirsiniz.
- Sertifika türleri arasında geçiş yaptığınızda yeni sertifikanın dağıtılması bir saat kadar sürebilir.
- Etki alanı durumunuz Onaylandı ise, sertifika türünü kullanıcı tarafından yönetilen ve yönetilen bir sertifika arasında değiştirmek kapalı kalma süresine neden olmaz.
- Yönetilen sertifikaya geçiş yaparken Azure Front Door, etki alanı sahipliği yeniden onaylanana ve etki alanı durumu Onaylandı durumuna gelene kadar önceki sertifikayı kullanmaya devam eder.
- KCG'den yönetilen sertifikaya geçiş yaparsanız, etki alanı yeniden doğrulama gerekir. Yönetilen sertifikadan BYOC'ye geçiş yaparsanız, etki alanını yeniden doğrulamanız gerekmez.
Sertifika yenileme
Azure Front Door tarafından yönetilen sertifikaları yenileme
Çoğu özel etki alanı için Azure Front Door, süresi dolmak üzere olan yönetilen sertifikaları otomatik olarak yeniler (döndürür) ve hiçbir şey yapmanız gerekmez.
Ancak Azure Front Door aşağıdaki senaryolarda sertifikaları otomatik olarak döndürmez:
- Özel etki alanının CNAME kaydı, Azure Front Door uç noktanızın etki alanı dışında bir DNS kaydına işaret ediyor.
- Özel etki alanı, zincir aracılığıyla Azure Front Door uç noktasını gösterir. Örneğin, DNS kaydınız Azure Traffic Manager'a işaret ederse ve bu da Azure Front Door'a çözümleniyorsa, CNAME zinciri içindeki CNAME'de
contoso.trafficmanager.net
CNAME'dir.contoso.com
contoso.z01.azurefd.net
Azure Front Door zincirin tamamını doğrulayamaz. - Özel etki alanı bir A kaydı kullanır. Azure Front Door'a işaret etmek için her zaman bir CNAME kaydı kullanmanızı öneririz.
- Özel etki alanı bir apex etki alanıdır ve CNAME düzleştirme kullanır.
Yukarıdaki senaryolardan biri özel etki alanınız için geçerliyse, yönetilen sertifikanın süresi dolmadan 45 gün önce etki alanı doğrulama durumu Yeniden Doğrulama Bekleniyor olur. Bekleyen Yeniden Doğrulama durumu, etki alanı sahipliğinizi yeniden doğrulamanız için yeni bir DNS TXT kaydı oluşturmanız gerektiğini gösterir.
Not
DNS TXT kayıtlarının süresi yedi gün sonra dolar. DNS sunucunuza daha önce bir etki alanı doğrulama TXT kaydı eklediyseniz, bunu yeni bir TXT kaydıyla değiştirmeniz gerekir. Yeni değeri kullandığınızdan emin olun, aksi takdirde etki alanı doğrulama işlemi başarısız olur.
Etki alanınız doğrulanamıyorsa, etki alanı doğrulama durumu Reddedildi olur. Bu durum, sertifika yetkilisinin yönetilen sertifikayı yeniden gönderme isteğini reddettiğini gösterir.
Etki alanı doğrulama durumları hakkında daha fazla bilgi için bkz . Etki alanı doğrulama durumları.
Diğer Azure hizmetleri tarafından yaygın olarak karşılanan etki alanları için Azure tarafından yönetilen sertifikaları yenileme
Azure tarafından yönetilen sertifikalar, etki alanını doğrulayan Azure hizmeti tarafından otomatik olarak döndürülür.
Müşteri tarafından yönetilen TLS sertifikalarını yenileme
Anahtar kasanızdaki sertifikayı güncelleştirdiğinizde, Azure Front Door güncelleştirilmiş sertifikayı otomatik olarak algılayabilir ve kullanabilir. Bu işlevin çalışması için Azure Front Door'da sertifikanızı yapılandırırken gizli dizi sürümünü 'En Son' olarak ayarlayın.
Sertifikanızın belirli bir sürümünü seçerseniz, sertifikanızı güncelleştirirken yeni sürümü el ile yeniden seçmeniz gerekir.
Sertifikanın/gizli dizinin yeni sürümünün otomatik olarak dağıtılması 72 saate kadar sürer.
Gizli dizi sürümünü 'Latest' yerine belirtilen sürüme (veya tam tersi) değiştirmek istiyorsanız, yeni bir sertifika ekleyin.
Güvenlik ilkeleri
Azure Front Door'un web uygulaması güvenlik duvarını (WAF) kullanarak uygulamanıza yönelik istekleri tehditlere karşı tarayabilir ve diğer güvenlik gereksinimlerini uygulayabilirsiniz.
WAF'yi özel bir etki alanıyla kullanmak için bir Azure Front Door güvenlik ilkesi kaynağı kullanın. Güvenlik ilkesi, etki alanını WAF ilkesiyle ilişkilendirir. İsteğe bağlı olarak, farklı etki alanlarıyla farklı WAF ilkeleri kullanabilmek için birden çok güvenlik ilkesi oluşturabilirsiniz.
Sonraki adımlar
- Azure Front Door profilinize özel etki alanı eklemeyi öğrenmek için bkz . Azure portalını kullanarak Azure Front Door'da özel etki alanı yapılandırma.
- Azure Front Door ile uçtan uca TLS hakkında daha fazla bilgi edinin.