使用 Azure 门户在 Azure Front Door 自定义域上配置 HTTPS

当你使用自己的自定义域时，Azure Front Door 会默认启用到应用程序的安全传输层安全性 (TLS) 传递。 若要详细了解自定义域，包括自定义域如何使用 HTTPS，请参阅 Azure Front Door 中的域。

Azure Front Door 支持 Azure 托管证书和客户管理的证书。 在本文中，你会了解如何为 Azure Front Door 自定义域配置这两种类型的证书。

• 一个 Azure Front Door 配置文件。 有关详细信息，请参阅 快速入门：创建 Azure Front Door 标准版/高级版。
• 自定义域。 如果没有自定义域，必须先从域提供商购买一个域。
• 如果使用 Azure 托管 DNS 域，则必须将域提供商的域名系统（DNS）委托给 Azure DNS。 有关详细信息，请参阅 向 Azure DNS 委派域。 否则，如果使用域提供商来处理 DNS 域，则必须输入提示的 DNS TXT 记录以手动验证域。

可以选择使用自己的 TLS 证书。 TLS 证书必须满足某些要求。 有关详细信息，请参阅 证书要求。

创建一个单独的 Azure Key Vault 实例来存储 Azure Front Door TLS 证书。 有关详细信息，请参阅创建 Azure 密钥保管库实例。 如果你已经有了证书，可以将其上传到新的密钥保管库实例。 否则，可以通过密钥保管库从某个证书颁发机构 (CA) 合作伙伴新建证书。

这是对 Azure Front Door 进行身份验证以访问 Key Vault 的方法：

• 应用注册：Azure Front Door 使用应用注册向 Key Vault 进行身份验证。 此方法即将弃用，将于未来停用。 有关详细信息，请参阅在 Azure Front Door 中使用应用注册。

使用 Microsoft Graph PowerShell 或 Azure CLI 将 Azure Front Door 的服务主体注册为Microsoft Entra ID 中的应用。

授予 Azure Front Door 访问你专门为 Azure Front Door 创建的新 Key Vault 帐户中的证书的权限。 只需向证书和机密授予GET权限，Azure Front Door 即可检索证书。

1. 在 Key Vault 帐户中，选择 “访问策略”。

2. 选择“ 添加新 ”或 “创建” 以创建新的访问策略。

3. 在 机密权限中，选择 “获取 ”以允许 Azure Front Door 检索证书。

4. 在 “证书权限”中，选择 “获取 ”以允许 Azure Front Door 检索证书。

5. 在 “选择主体”中，搜索 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 ，然后选择 Microsoft.AzureFrontDoor-Cdn。 选择“下一步”。

6. 在 “应用程序”中，选择“ 下一步”。

7. 在“查看 + 创建”中，选择“创建”。

Azure Front Door 现在可以访问此密钥保管库以及存储在其中的证书。

1. 返回到门户中的 Azure Front Door 标准/高级版。

2. 在 “安全性”下，转到 “机密 ”，然后选择“ + 添加证书”。

3. 在 “添加证书 ”窗格中，选中要添加到 Azure Front Door 标准版/高级版的证书的复选框。

4. 选择证书时，必须选择证书版本。 如果选择 “最新”，则每当证书轮换（续订）时，Azure Front Door 都会自动更新。 如果想要自行管理证书轮换，还可以选择特定的证书版本。

   将版本选择保留为 “最新 ”，然后选择“ 添加”。

5. 成功预配证书后，可以在添加新的自定义域时使用该证书。

6. 在 “设置”下，转到“ 域 ”，然后选择“ + 添加 ”以添加新的自定义域。 在“添加域”页面上，为 HTTPS 选择“自带证书 (BYOC)”。 对于 机密，请从下拉列表中选择要使用的证书。

   备注

   证书的证书名称 (CN) 或使用者可选名称 (SAN) 必须与添加的自定义域匹配。

   

7. 请遵循屏幕上的步骤来验证证书。 然后，如配置自定义域中所述，将新建的自定义域与终结点关联。

• Azure Front Door 的缓存
• Azure Front Door 中的自定义域
• 具有 Azure Front Door 的端到端 TLS