可用性
重要
此功能在 API 管理的“高级”和“开发人员”层中可用。
配置 自承载 Azure API 管理网关时,不会为其分配主机名,必须通过其 IP 地址进行引用。 本文介绍如何将现有的自定义 DNS 名称(也称为主机名)映射到自承载网关。
先决条件
一个有效的 Azure 订阅。
如果没有 Azure 订阅,可在开始前创建一个试用帐户。
API 管理实例。 有关详细信息,请参阅创建 Azure API 管理实例。
一个自承载网关。 有关详细信息,请参阅 如何预配自承载网关。
你或组织拥有的自定义域名。 本文不提供有关如何采购自定义域名的说明。
DNS 服务器上承载的一条 DNS 记录,用于将自定义域名映射到自承载网关的 IP 地址。 本文不提供有关如何托管 DNS 记录的说明。
必须具有有效的带有公钥和私钥 (.PFX) 的证书。 主体或主体可选名称(SAN)需要与域名匹配。 这使 API 管理实例能够安全地通过 TLS 公开 URL。
转到你的 API 管理实例
在 Azure 门户中搜索并选择“API 管理服务” 。
在“API 管理”服务页上,选择你的 API 管理实例。
添加自定义域证书
将自定义域证书 (.PFX) 文件添加到 API 管理实例,或引用存储在 Azure Key Vault 中的证书。 在 Azure API 管理中使用客户端证书身份验证,遵循安全后端服务中的步骤。
注意
建议为自承载网关域使用密钥保管库证书。
为本地部署网关设置自定义域名
- 在 Azure 门户中,从边栏菜单中选择 “部署 + 基础结构 ”。
- 选择 自承载网关,然后选择要为其配置域名的自承载网关。
- 在 “设置”下,选择“ 主机名”。
- 选择 + 添加。
- 在“ 名称” 字段中输入主机名的资源名称。
- 在“主机名”字段中输入域名。
- 从“证书”下拉列表中选择证书。
- 如果通过此网关公开的任何 API 使用客户端证书身份验证,请选中“协商客户端证书”复选框。
警告
此设置由配置给网关的所有域名共享。
- 选择“添加”,将自定义域名分配到所选的自承载网关。
注意
如果使用自定义域连接到自承载网关的客户端预期会显示链中的所有中间证书,则必须将单个 CA 证书上传到API 管理服务,并将其与自承载网关相关联。 有关如何实现此目的的说明,请参阅 为自承载网关创建自定义 CA。