为 Azure API 管理实例配置自定义域名

如果已有第三方提供商提供的私有证书，则可以上传它到 API 管理实例。 必须满足以下要求。 （如果启用由 API 管理托管的免费证书，则该证书已经满足这些要求。）

• 导出为 PFX 文件，使用三重 DES 加密并且还可以选择用密码进行保护。
• 包含长度至少为 2048 位的私钥
• 包含证书链中的所有中间证书和根证书。

建议使用 Azure 密钥保管库管理证书，并将这些证书设置为 autorenew。

如果使用 Azure 密钥保管库来管理自定义域 TLS 证书，请确保该证书“作为证书”而不是“机密”插入密钥保管库。

若要提取 TLS/SSL 证书，API 管理必须对包含该证书的 Azure Key Vault 具有“列表”和“获取机密”权限。

• 使用 Azure 门户导入证书时，将自动完成所有必要的配置步骤。

• 使用命令行工具或管理 API 时，必须通过两个步骤手动授予这些权限：

  1. 在 API 管理实例的“托管标识”上，启用系统分配的或用户分配的托管标识。 请注意该页上的主体 ID。
  2. 向托管标识分配访问密钥保管库的权限。 使用以下部分中的步骤。

  配置对密钥保管库的访问权限

  1. 在门户中转到你的密钥保管库。
  2. 在左侧菜单中，选择设置>访问配置。 请注意配置的权限模型。
  3. 根据权限模型，为 API 管理托管标识配置密钥保管库访问策略或 Azure RBAC 访问。

  若要添加密钥保管库访问策略，请执行以下操作：

  1. 在左侧菜单中，选择“访问策略”。
  2. 在“访问策略”页面上，选择“+ 创建”。
  3. 在“ 权限 ”选项卡上的“ 机密权限”下，选择“ 获取 和 列出”，然后选择“ 下一步”。
  4. 在“主体”选项卡上搜索托管标识的资源名称，然后选择“下一步”。 如果你使用系统分配的标识，则主体为你的 API 管理实例的名称。
  5. 再次选择“下一步”。 在“查看 + 创建”选项卡上，选择“创建”。

  配置 Azure RBAC 的访问权限：

  1. 在左侧菜单中，选择“访问控制(IAM)”。
  2. 在“访问控制(IAM)”页上，选择“添加角色分配”。
  3. 在“角色”选项卡上，选择“密钥保管库证书用户”。
  4. 在“成员”选项卡上，选择“托管标识”“+ 选择成员”>。
  5. 在 “选择托管标识 ”窗口中，选择系统分配的托管标识或与 API 管理实例关联的用户分配的托管标识，然后单击“ 选择”。
  6. 选择审核 + 分配。

如果证书设置为 autorenew 并且 API 管理层（除“开发人员”层以外的所有层）附带 SLA，API 管理将自动选取最新版本，而不会给服务造成任何中断。

有关详细信息，请参阅在 Azure API 管理中使用托管标识。

1. 在 Azure 门户中导航到自己的 API 管理实例。
2. 在左侧导航栏中选择“自定义域”。
3. 选择+添加，或选择要更新的现有终结点。
4. 在右侧窗口中，选择自定义域终结点的类型。
5. 在“主机名”字段中，指定要使用的名称。 例如，api.contoso.com。
6. 在“证书”下，选择“自定义”
7. 选择“证书文件”以选择并上传证书。
8. 上传有效的 .PFX 文件并提供其密码（如果该证书受密码保护）。
9. 配置网关终结点时，请根据需要选择或取消选择其他选项，包括“协商客户端证书”或“默认 SSL 绑定”。
10. 选择“添加”或为现有终结点选择“更新”。
11. 选择“保存”。

1. 在 Azure 门户中导航到自己的 API 管理实例。
2. 在左侧导航栏中选择“自定义域”。
3. 选择+添加，或选择要更新的现有终结点。
4. 在右侧窗口中，选择自定义域终结点的类型。
5. 在“主机名”字段中，指定要使用的名称。 例如，api.contoso.com。
6. 在“证书”下，选择“密钥保管库”然后“选择”。
   1. 从下拉列表中选择“订阅”。
   2. 从下拉列表中选择“密钥保管库”。
   3. 加载证书后，从下拉列表中选择“证书”。 单击“选择”。
   4. 在“客户端标识”中，选择在实例中启用的系统分配的标识或用户分配的托管标识以访问密钥保管库。
7. 配置网关终结点时，请根据需要选择或取消选择其他选项，包括“协商客户端证书”或“默认 SSL 绑定”。
8. 选择“添加”或为现有终结点选择“更新”。
9. 选择“保存”。

CNAME 记录

配置从自定义域名（例如，api.contoso.com）指向 API 管理服务主机名（例如 yourapim-service-name.azure-api.net）的 CNAME 记录。 如果 IP 地址发生更改，CNAME 记录比 A 记录更稳定。 有关详细信息，请参阅 Azure API 管理的 IP 地址和 API 管理常见问题解答。

CNAME 记录

配置从自定义域名（例如，api.contoso.com）指向 API 管理服务主机名（例如 yourapim-service-name.azure-api.net）的 CNAME 记录。 如果 IP 地址发生更改，CNAME 记录比 A 记录更稳定。 有关详细信息，请参阅 Azure API 管理的 IP 地址和 API 管理常见问题解答。

TXT 记录

为 API 管理启用免费的托管证书时，还会在 DNS 区域中配置 TXT 记录以建立域名的所有权。

• 记录的名称是前缀为 apimuid 的自定义域名。 示例：apimuid.api.contoso.com。
• 该值是 API 管理实例提供的域所有权标识符。

使用门户配置自定义域的免费托管证书时，会自动显示必需 TXT 记录的名称和值。

还可以通过调用获取域所有权标识符 REST API 来获取域所有权标识符。

API 管理代理服务器在 TLS 握手中如何通过 SSL 证书进行响应

为网关终结点配置自定义域时，可以设置其他属性，这些属性决定 API 管理如何使用服务器证书做出响应，具体取决于客户端请求。

调用时使用服务器名称指示 (SNI) 标头的客户端

如果为网关终结点配置了一个或多个自定义域，则 API 管理可以响应来自以下两者的 HTTPS 请求：

• 自定义域（例如 contoso.com）
• 默认域（例如 apim-service-name.azure-api.cn）。

根据 SNI 标头中的信息，API 管理会使用相应的服务器证书进行响应。

调用时不使用 SNI 标头的客户端

如果使用不发送 SNI 标头的客户端，则 API 管理会根据以下逻辑创建响应：

• 如果服务仅为网关配置了一个自定义域 - 则默认证书是颁发给网关自定义域的证书。

• ** 如果服务为网关配置了多个自定义域（支持的层级包括 "开发者" 和 "高级版"），可以通过将 defaultSslBinding 属性设置为 "true" 指定默认证书 ()。 在门户中，选择“默认 SSL 绑定”复选框。

  如果未设置该属性，则默认证书是颁发给在 *.azure-api.cn 上托管的默认网关域的证书。

对包含大型有效负载的 PUT/POST 请求的支持

当在 HTTPS 中使用客户端证书时，API 管理代理服务器支持包含大型有效负载 (> 40 KB) 的请求。 为了防止服务器的请求被冻结，可以在网关主机名上将 negotiateClientCertificate 属性设置为 true("negotiateClientCertificate": "true")。 在门户中，选中“协商客户端证书”复选框。

如果该属性设置为 true，则将在交换任何 HTTP 请求之前于 SSL/TLS 连接时请求客户端证书。 由于该设置应用于“网关主机名”级别，因此所有连接请求都会要求客户端证书。 可以避开此限制并为网关配置最多 20 个自定义域（仅在高级层才受支持）。

故障排除：从 Azure Key Vault 轮换主机名证书失败

由于配置更改或连接问题，API 管理实例在更新或轮换证书后可能无法从 Azure Key Vault 提取主机名证书。 发生这种情况时，API 管理实例将继续使用缓存的证书，直到它收到更新的证书。 如果缓存的证书过期，通往网关的运行时流量将被阻止。 使用过期的缓存证书时，任何使用主机名证书配置的上游服务（例如应用程序网关）也可以阻止到网关的运行时流量。

要缓解此问题，请确认密钥库是否存在，并且证书是否存储在密钥库中。 如果 API 管理实例部署在虚拟网络中，请确认与 AzureKeyVault 服务标记的出站连接。 检查用于访问密钥保管库的托管标识是否存在。 确认托管身份对密钥库的访问权限。 有关详细配置步骤，请查看本文前面的 设置自定义域名 - Key Vault。 还原配置后，主机名证书将在 4 小时内在 API 管理中刷新。

相关内容

升级和扩展你的服务