Поделиться через


Домены в Azure Front Door

Домен представляет имя личного домена, которое Azure Front Door использует для получения трафика приложения. Azure Front Door поддерживает добавление трех типов доменных имен:

  • Поддомены — это наиболее распространенный тип имени личного домена. Пример поддомена.myapplication.contoso.com
  • Домены Apex не содержат поддомен. Примером является домен contoso.comвершины. Дополнительные сведения об использовании доменов apex с Azure Front Door см. в разделе Apex Domains.
  • Домены подстановочных знаков позволяют получать трафик для любого поддомена. Примером домена подстановочных знаков является *.contoso.com. Дополнительные сведения об использовании доменов подстановочных знаков с Azure Front Door см. в разделе "Домены подстановочных знаков".

Домены добавляются в профиль Azure Front Door. Домен можно использовать в нескольких маршрутах в конечной точке, если в каждом маршруте используются разные пути.

Сведения о добавлении личного домена в профиль Azure Front Door см. в статье "Настройка личного домена в Azure Front Door" с помощью портал Azure.

DNS configuration (Настройка DNS)

При добавлении домена в профиль Azure Front Door вы настраиваете две записи на DNS-сервере:

  • Запись DNS TXT, которая требуется для проверки владения доменным именем. Дополнительные сведения о записях DNS TXT см. в разделе "Проверка домена".
  • Запись DNS CNAME, которая управляет потоком интернет-трафика в Azure Front Door.

Совет

Вы можете добавить доменное имя в профиль Azure Front Door перед внесением изменений в DNS. Этот подход может быть полезным, если вам нужно настроить конфигурацию Azure Front Door вместе или если у вас есть отдельная команда, которая изменяет записи DNS.

Вы также можете добавить запись DNS TXT для проверки владения доменом перед добавлением записи CNAME для управления потоком трафика. Этот подход может быть полезен, чтобы избежать простоя миграции, если у вас уже есть приложение в рабочей среде.

Проверка домена

Все домены, добавленные в Azure Front Door, должны быть проверены. Проверка помогает защитить вас от случайной неправильной настройки, а также помогает защитить других пользователей от спуфингов домена. В некоторых ситуациях домены могут быть предварительно оценены другой службой Azure. В противном случае необходимо следовать процессу проверки домена Azure Front Door, чтобы подтвердить владение доменным именем.

  • Предварительно проверенные домены Azure — это домены , проверенные другой поддерживаемой службой Azure. Если вы подключены и проверяете домен в другую службу Azure, а затем настраиваете Azure Front Door позже, вы можете работать с предварительно оцененным доменом. При использовании этого типа домена не требуется проверять домен с помощью Azure Front Door.

    Примечание.

    Azure Front Door в настоящее время принимает только предварительно проверенные домены, настроенные с помощью Статические веб-приложения Azure.

  • Проверенные домены, отличные от Azure, — это домены , которые не проверяются поддерживаемой службой Azure. Этот тип домена можно разместить в любой службе DNS, включая Azure DNS, и требуется, чтобы владение доменом проверялось Azure Front Door.

Проверка записи TXT

Чтобы проверить домен, необходимо создать запись DNS TXT. Имя записи TXT должно иметь форму _dnsauth.{subdomain}. Azure Front Door предоставляет уникальное значение записи TXT при начале добавления домена в Azure Front Door.

Например, предположим, что вы хотите использовать настраиваемый поддомен myapplication.contoso.com с Azure Front Door. Сначала необходимо добавить домен в профиль Azure Front Door и заметить значение записи TXT, которое необходимо использовать. Затем необходимо настроить запись DNS со следующими свойствами:

Свойство Значение
Имя записи _dnsauth.myapplication
Значение записи используйте значение, предоставленное Azure Front Door
Время жизни (TTL) 1 ч

После успешной проверки домена можно безопасно удалить запись TXT с DNS-сервера.

Дополнительные сведения о добавлении записи DNS TXT для личного домена см. в статье "Настройка личного домена в Azure Front Door" с помощью портал Azure.

Состояния проверки домена

В следующей таблице перечислены состояния проверки, которые могут отображаться в домене.

Состояние проверки домена Описание и действия
Идет отправка Создается личный домен.

Подождите, пока ресурс домена будет готов.
Не завершено Создано значение записи DNS TXT, и Azure Front Door готова к добавлению записи DNS TXT.

Добавьте запись DNS типа TXT в поставщик DNS и дождитесь завершения проверки. Если состояние остается Ожидание даже после обновления записи типа TXT поставщиком DNS, выберите Создать повторно, чтобы обновить запись типа TXT, а затем снова добавьте эту в поставщик DNS.
Ожидающая повторная проверка Управляемый сертификат составляет менее 45 дней после истечения срока действия.

Если у вас есть запись CNAME, уже указывающая на конечную точку Azure Front Door, для обновления сертификата никаких действий не требуется. Если личный домен указывает на другую запись CNAME, выберите состояние ожидания повторной проверки и выберите "Повторно создать " на странице проверки личного домена . Наконец, выберите Добавить, если вы используете Azure DNS, или вручную добавьте запись типа TXT с помощью управления DNS собственного поставщика DNS.
Refreshing validation token (Обновление токена проверки) После нажатия кнопки Создать повторно домен на короткий период переходит в состояние Refreshing validation token (Обновление токена проверки). После выдачи нового значения записи TXT состояние изменится на ожидание.
Предпринимать какие-либо действия не требуется.
Утвержденная Домен успешно проверен, и Azure Front Door может принимать трафик, использующий этот домен.

Предпринимать какие-либо действия не требуется.
Аннулировано Поставщик сертификатов или центр отклонил выдачу управляемого сертификата. Например, доменное имя может быть недопустимым.

Выберите Отклонено, а затем Создать повторно на странице Проверка личного домена, как показано на снимках экрана под этой таблицей. Затем нажмите кнопку "Добавить ", чтобы добавить запись TXT в поставщик DNS.
Время ожидания Запись TXT не была добавлена поставщику DNS в течение семи дней или добавлена недопустимая запись DNS TXT.

Выберите ссылку Время ожидания, а затем выберите Создать повторно на странице Проверка личного домена. Затем нажмите кнопку "Добавить ", чтобы добавить новую запись TXT в поставщик DNS. Убедитесь, что используется обновленное значение.
Внутренняя ошибка Произошла неизвестная ошибка.

Повторите проверку, нажав кнопку "Обновить " или "Повторно создать ". Если у вас по-прежнему возникают проблемы, отправьте запрос в службу поддержки Azure.

Примечание.

  • Значение по умолчанию для записей TXT составляет 1 час. Если необходимо повторно создать запись типа TXT для повторной проверки, обратите внимание на срок жизни для предыдущей записи типа TXT. Если срок действия не истекает, проверка завершится ошибкой до истечения срока действия предыдущей записи типа TXT.
  • Если кнопка Создать повторно не работает, удалите домен и создайте его заново.
  • Если состояние домена не отображается должным образом, нажмите кнопку Обновить.

HTTPS для пользовательских доменов

Используя протокол HTTPS в вашем пользовательском домене, вы гарантируете, что конфиденциальные данные безопасно доставляются с помощью шифрования TLS/SSL при отправке через Интернет. Когда клиент, например веб-браузер, подключен к веб-сайту с помощью HTTPS, клиент проверяет сертификат безопасности веб-сайта и гарантирует, что он был выдан законным центром сертификации. Этот процесс обеспечивает безопасность и защиту веб-приложений от атак.

Azure Front Door поддерживает использование HTTPS с собственными доменами и выгружает управление сертификатами tls на серверах-источниках. При использовании пользовательских доменов можно использовать сертификаты TLS, управляемые Azure (рекомендуется), или приобрести и использовать собственные сертификаты TLS.

Дополнительные сведения о том, как Azure Front Door работает с TLS, см. в разделе "Сквозной протокол TLS" с Azure Front Door.

Сертификаты TLS, управляемые Azure Front Door

Azure Front Door может автоматически управлять сертификатами TLS для поддоменов и доменов вершин. При использовании управляемых сертификатов вам не нужно создавать ключи или запросы на подписывание сертификатов, и вам не нужно загружать, хранить или устанавливать сертификаты. Кроме того, Azure Front Door может автоматически менять управляемые сертификаты (обновлять) без вмешательства человека. Этот процесс позволяет избежать простоя, вызванного сбоем при обновлении сертификатов TLS вовремя.

Процесс создания, выдачи и установки управляемого сертификата TLS может занять от нескольких минут до часа, а иногда и может занять больше времени.

Примечание.

Управляемые сертификаты Azure Front Door (цен. категория "Стандартный" и "Премиум") автоматически поворачиваются, если запись CNAME домена указывает непосредственно на конечную точку Front Door или указывает косвенно на конечную точку Диспетчер трафика. В противном случае необходимо повторно проверить владение доменом для смены сертификатов.

Типы доменов

В следующей таблице приведены сведения о функциях, доступных с управляемыми сертификатами TLS при использовании различных типов доменов:

Фактор Поддомен Вершинный домен Домен с подстановочным знаком
Доступные управляемые сертификаты TLS Да Да Нет
Управляемые сертификаты TLS автоматически поворачиваются Да См. ниже No

При использовании сертификатов TLS, управляемых Azure Front Door, с доменами apex, автоматическое смена сертификатов может потребовать повторного изменения владения доменом. Дополнительные сведения см. в разделе "Домены Apex" в Azure Front Door.

Выдача управляемого сертификата

Сертификаты Azure Front Door выдаются нашим центром сертификации партнера DigiCert. Для некоторых доменов необходимо явно разрешить DigiCert как издателя сертификата, создав запись домена CAA со значением 0 issue digicert.com.

Azure полностью управляет сертификатами от вашего имени, поэтому любой аспект управляемого сертификата, включая корневого издателя, может изменяться в любое время. Вы не можете контролировать эти изменения. Не забудьте избежать жестких зависимостей от любого аспекта управляемого сертификата, например проверки отпечатка сертификата или закрепления к управляемому сертификату или любой части иерархии сертификатов. Если необходимо закрепить сертификаты, следует использовать сертификат TLS, управляемый клиентом, как описано в следующем разделе.

Сертификаты TLS, управляемые клиентом

Иногда может потребоваться предоставить собственные сертификаты TLS. Распространенные сценарии предоставления собственных сертификатов:

  • Вашей организации требуется использовать сертификаты, выданные определенным центром сертификации.
  • Вы хотите, чтобы Azure Key Vault выдает сертификат с помощью центра сертификации партнера.
  • Необходимо использовать сертификат TLS, распознаваемого клиентским приложением.
  • Необходимо использовать один и тот же сертификат TLS в нескольких системах.
  • Вы используете домены подстановочных знаков. Azure Front Door не предоставляет управляемые сертификаты для доменов подстановочных знаков.

Примечание.

  • По состоянию на сентябрь 2023 года Azure Front Door поддерживает получение собственных сертификатов (BYOC) для проверки владения доменом. Front Door утверждает владение доменом, если имя сертификата (CN) или альтернативное имя субъекта (SAN) сертификата соответствует пользовательскому домену. При выборе управляемого сертификата Azure проверка домена использует запись DNS TXT.
  • Для пользовательских доменов, созданных перед проверкой на основе BYOC, и состояние проверки домена не утверждено, необходимо активировать автоматическое утверждение проверки владения доменом, выбрав состояние проверки и нажав кнопку повторной проверки на портале. При использовании средства командной строки можно активировать проверку домена, отправив пустой запрос PATCH в API домена.

Требования к сертификатам

Чтобы использовать сертификат с Azure Front Door, он должен соответствовать следующим требованиям:

  • Завершение цепочки сертификатов. При создании СЕРТИФИКАТА TLS/SSL необходимо создать полную цепочку сертификатов с разрешенным центром сертификации (ЦС), который входит в список доверенных ЦС Майкрософт. Если вы используете неуклюжий ЦС, запрос отклоняется. Корневой ЦС должен входить в список доверенных центров сертификации Майкрософт. Если сертификат не включает всю цепочку, запросы, связанные с этим сертификатом, не будут работать должным образом.
  • Общее имя: общее имя сертификата должно совпадать с доменом, настроенным в Azure Front Door.
  • Алгоритм. Azure Front Door не поддерживает сертификаты с алгоритмами шифрования с многоточием (EC).
  • Тип файла (содержимого): сертификат должен быть отправлен в хранилище ключей из PFX-файла, который использует application/x-pkcs12 тип контента.

Импорт сертификата в Azure Key Vault

Пользовательские сертификаты TLS необходимо импортировать в Azure Key Vault, прежде чем использовать его с Azure Front Door. Сведения о импорте сертификата в хранилище ключей см. в руководстве по импорту сертификата в Azure Key Vault.

Хранилище ключей должно находиться в той же подписке Azure, что и профиль Azure Front Door.

Предупреждение

Azure Front Door поддерживает только хранилища ключей в той же подписке, что и профиль Front Door. Выбор хранилища ключей в подписке, отличной от профиля Azure Front Door, приведет к сбою.

Сертификаты должны быть отправлены как объект сертификата , а не секрет.

Предоставление доступа к Azure Front Door

Azure Front Door должен получить доступ к хранилищу ключей для чтения сертификата. Необходимо настроить сетевой брандмауэр хранилища ключей и управление доступом хранилища.

Если в хранилище ключей включены ограничения доступа к сети, необходимо настроить хранилище ключей таким образом, чтобы разрешить доверенным службам Майкрософт обходить брандмауэр.

Существует два способа настройки управления доступом в хранилище ключей.

  • Azure Front Door может использовать управляемое удостоверение для доступа к хранилищу ключей. Этот подход можно использовать, если хранилище ключей использует проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье "Использование управляемых удостоверений" с Azure Front Door Уровня "Стандартный" или "Премиум".
  • Кроме того, вы можете предоставить субъекту-службе Azure Front Door доступ к хранилищу ключей. Этот подход можно использовать при использовании политик доступа к хранилищу.

Добавление пользовательского сертификата в Azure Front Door

После импорта сертификата в хранилище ключей создайте секретный ресурс Azure Front Door, который является ссылкой на сертификат, добавленный в хранилище ключей.

Затем настройте домен для использования секрета Azure Front Door для сертификата TLS.

Пошаговое руководство по этим шагам см. в разделе "Настройка HTTPS" в пользовательском домене Azure Front Door с помощью портал Azure.

Переключение между типами сертификатов

Вы можете изменить домен между использованием управляемого azure Front Door сертификата и сертификата, управляемого пользователем.

  • При переключении между типами сертификатов может потребоваться до часа.
  • Если состояние домена утверждено, переключение типа сертификата между управляемым пользователем и управляемым сертификатом не приведет к простоям.
  • При переключении на управляемый сертификат Azure Front Door продолжает использовать предыдущий сертификат, пока владение доменом не будет отменено, и состояние домена станет утвержденным.
  • При переходе с BYOC на управляемый сертификат требуется повторная проверка домена. Если вы переключитесь с управляемого сертификата на BYOC, вам не требуется повторно изменить домен.

Обновление сертификатов

Продление управляемых Azure Front Door сертификатов

Для большинства пользовательских доменов Azure Front Door автоматически продлевает управляемые сертификаты (поворачивает), когда они близки к истечению срока действия, и вам не нужно ничего делать.

Однако Azure Front Door не будет автоматически поворачивать сертификаты в следующих сценариях:

  • Запись CNAME личного домена указывает на запись DNS, отличной от домена конечной точки Azure Front Door.
  • Личный домен указывает на конечную точку Azure Front Door через цепочку. Например, если запись DNS указывает на Диспетчер трафика Azure, которая, в свою очередь, разрешает Azure Front Door, цепочка CNAME — contoso.com CNAME в contoso.trafficmanager.net CNAME.contoso.z01.azurefd.net Azure Front Door не может проверить всю цепочку.
  • Личный домен использует запись A. Мы рекомендуем всегда использовать запись CNAME, чтобы указать Azure Front Door.
  • Личный домен является вершинным доменом и использует плоскую структуру CNAME.

Если один из описанных выше сценариев применяется к вашему пользовательскому домену, то 45 дней до истечения срока действия управляемого сертификата состояние проверки домена становится ожидающей повторной обработки. Состояние "Ожидающая повторная проверка" указывает, что необходимо создать новую запись DNS TXT, чтобы отменить владение доменом.

Примечание.

Срок действия записей DNS TXT истекает через семь дней. Если вы ранее добавили запись TXT проверки домена на DNS-сервер, необходимо заменить ее новой записью TXT. Убедитесь, что вы используете новое значение, в противном случае процесс проверки домена завершится ошибкой.

Если домен не удается проверить, состояние проверки домена становится отклоненным. Это состояние указывает, что центр сертификации отклонил запрос на повторное получение управляемого сертификата.

Дополнительные сведения о состояниях проверки домена см. в разделе "Состояния проверки домена".

Продление управляемых Azure сертификатов для доменов, предварительно оцененных другими службами Azure

Управляемые Azure сертификаты автоматически поворачиваются службой Azure, которая проверяет домен.

Продление сертификатов TLS, управляемых клиентом

При обновлении сертификата в хранилище ключей Azure Front Door может автоматически обнаруживать и использовать обновленный сертификат. Для работы этой функции задайте для секретной версии значение "Последняя" при настройке сертификата в Azure Front Door.

Если выбрать определенную версию сертификата, необходимо повторно выбрать новую версию вручную при обновлении сертификата.

На автоматическое развертывание новой версии сертификата (секрета) требуется до 72 часов.

Если вы хотите установить для секрета не последнюю версию, а определенную версию, или наоборот, добавьте новый сертификат.

Политики безопасности

Брандмауэр веб-приложения Azure Front Door (WAF) можно использовать для сканирования запросов к приложению для угроз и соблюдения других требований к безопасности.

Чтобы использовать WAF с личным доменом, используйте ресурс политики безопасности Azure Front Door. Политика безопасности связывает домен с политикой WAF. При необходимости можно создать несколько политик безопасности, чтобы использовать разные политики WAF с разными доменами.

Следующие шаги