Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Azure Front Door maakt beveiligde TLS-levering (Transport Layer Security) standaard mogelijk voor uw toepassingen wanneer u uw eigen aangepaste domeinen gebruikt. Zie Domeinen in Azure Front Door voor meer informatie over aangepaste domeinen, waaronder de werking van aangepaste domeinen met HTTPS.
Azure Front Door ondersteunt door Azure beheerde certificaten en door de klant beheerde certificaten. In dit artikel leert u hoe u beide typen certificaten configureert voor uw aangepaste Azure Front Door-domeinen.
Vereiste voorwaarden
- Een Azure Front Door-profiel. Zie quickstart: Een Azure Front Door Standard/Premium maken voor meer informatie.
- Een aangepast domein. Als u geen aangepast domein hebt, moet u er eerst een kopen bij een domeinprovider. Zie Een aangepaste domeinnaam kopen voor meer informatie.
- Als u Azure gebruikt om uw DNS-domeinen te hosten, moet u het domain name system (DNS) van de domeinprovider delegeren aan een Azure DNS. Zie Delegate a domain to Azure DNS (Een domein aan Azure DNS overdragen) voor meer informatie. Als u anders een domeinprovider gebruikt om uw DNS-domein af te handelen, moet u het domein handmatig valideren door de DNS TXT-records in te voeren.
Door Azure Front Door beheerde certificaten voor niet-Azure-vooraf gevalideerde domeinen
Als u uw eigen domein hebt en het domein nog niet is gekoppeld aan een andere Azure-service die domeinen voor Azure Front Door prevalideert, voert u de volgende stappen uit:
Selecteer onder Instellingen de optie Domeinen voor uw Azure Front Door-profiel. Selecteer vervolgens + Toevoegen om een nieuw domein toe te voegen.
Voer de volgende gegevens in of selecteer deze in het deelvenster Een domein toevoegen. Selecteer Vervolgens Toevoegen om het aangepaste domein te onboarden.
Configuratie Waarde Domeintype Selecteer niet-Azure vooraf gevalideerd domein. DNS-beheer Selecteer door Azure beheerde DNS (aanbevolen). DNS-zone Selecteer de Azure DNS-zone die als host fungeert voor het aangepaste domein. Aangepast domein Selecteer een bestaand domein of voeg een nieuw domein toe. HTTPS Selecteer AFD beheerd (aanbevolen). Valideer en koppel het aangepaste domein aan een eindpunt door de stappen te volgen om een aangepast domein in te schakelen.
Nadat het aangepaste domein is gekoppeld aan een eindpunt, genereert Azure Front Door een certificaat en implementeert het. Dit proces kan enkele minuten tot een uur duren.
Door Azure beheerde certificaten voor vooraf gevalideerde Azure-domeinen
Als u uw eigen domein hebt en het domein is gekoppeld aan een andere Azure-service die domeinen voor Azure Front Door prevalideert, voert u de volgende stappen uit:
Selecteer onder Instellingen de optie Domeinen voor uw Azure Front Door-profiel. Selecteer vervolgens + Toevoegen om een nieuw domein toe te voegen.
Voer de volgende gegevens in of selecteer deze in het deelvenster Een domein toevoegen. Selecteer Vervolgens Toevoegen om het aangepaste domein te onboarden.
Configuratie Waarde Domeintype Selecteer vooraf gevalideerd Azure-domein. Vooraf gevalideerde aangepaste domeinen Selecteer een aangepaste domeinnaam in de vervolgkeuzelijst met Azure-services. HTTPS Selecteer Azure managed. Valideer en koppel het aangepaste domein aan een eindpunt door de stappen te volgen om een aangepast domein in te schakelen.
Nadat het aangepaste domein is gekoppeld aan een eindpunt, wordt een door Azure Front Door beheerd certificaat geïmplementeerd in Azure Front Door. Dit proces kan enkele minuten tot een uur duren.
Uw eigen certificaat gebruiken
U kunt er ook voor kiezen om uw eigen TLS-certificaat te gebruiken. Uw TLS-certificaat moet voldoen aan bepaalde vereisten. Zie Certificaatvereisten voor meer informatie.
Bereid uw key vault en certificaat voor
Maak een afzonderlijk Exemplaar van Azure Key Vault waarin u uw Azure Front Door TLS-certificaten opslaat. Zie Een Key Vault-exemplaar maken voor meer informatie. Als u al een certificaat hebt, kunt u het uploaden naar uw nieuwe Key Vault-exemplaar. Anders kunt u een nieuw certificaat maken via Key Vault van een van de ca-partners (certificeringsinstantie).
Er zijn momenteel twee manieren om Azure Front Door te verifiëren voor toegang tot uw Key Vault:
- Beheerde identiteit: Azure Front Door maakt gebruik van een beheerde identiteit voor verificatie bij uw Key Vault. Deze methode wordt aanbevolen omdat het veiliger is en u geen referenties hoeft te beheren. Zie Beheerde identiteiten gebruiken in Azure Front Door voor meer informatie. Ga verder met het selecteren van het certificaat voor Azure Front Door om te implementeren als u deze methode gebruikt.
- App-registratie: Azure Front Door maakt gebruik van een app-registratie om te verifiëren bij uw Key Vault. Deze methode wordt afgeschaft en wordt in de toekomst buiten gebruik gesteld. Zie App-registratie gebruiken in Azure Front Door voor meer informatie.
Waarschuwing
- Azure Front Door ondersteunt momenteel alleen Key Vault in hetzelfde abonnement. Als u Key Vault selecteert onder een ander abonnement, resulteert dit in een fout.
- Azure Front Door biedt geen ondersteuning voor certificaten met algoritmen voor elliptische curvecryptografie. Uw certificaat moet ook een volledige certificaatketen hebben met eind- en tussencertificaten. De basis-CA moet ook deel uitmaken van de lijst met vertrouwde Microsoft-CA's.
Azure Front Door registreren
Registreer de service-principal voor Azure Front Door als een app in uw Microsoft Entra ID met behulp van Microsoft Graph PowerShell of de Azure CLI.
Notitie
- Voor deze actie moet u beheerdersmachtigingen voor gebruikerstoegang hebben in Microsoft Entra-id. De registratie hoeft slechts eenmaal per Microsoft Entra-tenant te worden uitgevoerd.
- De toepassings-id's van 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 en d4631ece-daab-479b-be77-ccb713491fc0 zijn vooraf gedefinieerd door Azure voor Azure Front Door Standard en Premium in alle Azure-tenants en -abonnementen. Azure Front Door (klassiek) heeft een andere toepassings-id.
Installeer Zo nodig Microsoft Graph PowerShell in PowerShell op uw lokale computer.
Gebruik PowerShell om de volgende opdracht uit te voeren:
Openbare Azure-cloud:
New-MgServicePrincipal -AppId '205478c0-bd83-4e1b-a9d6-db63a3e1e1c8'Azure Government-cloud:
New-MgServicePrincipal -AppId 'd4631ece-daab-479b-be77-ccb713491fc0'
Azure Front Door toegang verlenen tot uw sleutelkluis
Ververleent Azure Front Door toestemming voor toegang tot de certificaten in het nieuwe Key Vault-account dat u specifiek hebt gemaakt voor Azure Front Door. U hoeft alleen toestemming te geven GET voor het certificaat en het geheim, zodat Azure Front Door het certificaat kan ophalen.
Selecteer Toegangsbeleid in uw Key Vault-account.
Selecteer Nieuwe toevoegen of Maken om een nieuw toegangsbeleid te maken.
Selecteer in Geheime toestemmingen de optie Ophalen om Azure Front Door het certificaat te laten ophalen.
Selecteer in Certificaatmachtigingen Ophalen om Toe te staan dat Azure Front Door het certificaat kan ophalen.
Zoek in Select principal naar 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 en selecteer Microsoft.AzureFrontDoor-Cdn. Kies Volgende.
In Toepassing selecteert u Volgende.
Bij Controleren en maken selecteert u Maken.
Notitie
Als uw sleutelkluis is beveiligd met netwerktoegangsbeperkingen, moet u ervoor zorgen dat vertrouwde Microsoft-services toegang hebben tot uw sleutelkluis.
Azure Front Door heeft nu toegang tot deze sleutelkluis en de certificaten die deze bevat.
Selecteer het certificaat voor Azure Front Door om te implementeren
Ga terug naar uw Azure Front Door Standard/Premium in het portal.
Ga onder Beveiliging naar Geheimen en selecteer + Certificaat toevoegen.
Selecteer op het Certificaat toevoegen paneel het selectievakje voor het certificaat dat u wilt toevoegen aan Azure Front Door Standard/Premium.
Wanneer u een certificaat selecteert, moet u de certificaatversie selecteren. Als u Nieuwste selecteert, wordt Azure Front Door automatisch bijgewerkt wanneer het certificaat wordt geroteerd (vernieuwd). U kunt ook een specifieke certificaatversie selecteren als u de certificaatrotatie zelf wilt beheren.
Laat de versieselectie staan als Meest recent en selecteer Toevoegen.
Nadat het certificaat is ingericht, kunt u het gebruiken wanneer u een nieuw aangepast domein toevoegt.
Ga onder Instellingen naar Domeinen en selecteer + Toevoegen om een nieuw aangepast domein toe te voegen. Selecteer In het deelvenster Een domein toevoegen voor HTTPS de optie Bring Your Own Certificate (BYOC). Selecteer voor Geheim het certificaat dat u wilt gebruiken in de vervolgkeuzelijst.
Notitie
De certificaatnaam (CN) of alternatieve naam voor onderwerp (SAN) van het certificaat moet overeenkomen met het aangepaste domein dat wordt toegevoegd.
Volg de stappen op het scherm om het certificaat te valideren. Koppel vervolgens het zojuist gemaakte aangepaste domein aan een eindpunt, zoals wordt beschreven in Een aangepast domein configureren.
Schakelen tussen certificaattypen
U kunt een domein wijzigen tussen het gebruik van een door Azure Front Door beheerd certificaat en een door de klant beheerd certificaat. Zie Domeinen in Azure Front Door voor meer informatie.
Selecteer de certificaatstatus om het deelvenster Certificaatdetails te openen.
In het deelvenster Certificaatdetails kunt u schakelen tussen door Azure Front Door beheerd en BYOC (Bring Your Own Certificate).
Als u BYOC (Bring Your Own Certificate) selecteert, volgt u de voorgaande stappen om een certificaat te selecteren.
Selecteer Bijwerken om het gekoppelde certificaat aan een domein te wijzigen.