为自定义域临时挂起托管证书的创建(2025 年 8 月 - 2026 年 6 月)

适用于:开发人员 |基本 |标准 |奖赏

重要

托管证书的暂停期最近延长到 2026 年 6 月 30 日。

在 API 管理中为自定义域创建 Azure 托管证书将从 2025 年 8 月 15 日至 2026 年 6 月 30 日暂时关闭。 只要API Management服务允许来自端口 80 上的 DigiCert IP 地址的入站流量,并且 DNS 已正确配置,现有托管证书就会自动重新更新。

在经典服务层中,Azure API Management为自定义域提供 free 托管 TLS 证书(预览),让客户无需购买和管理自己的证书即可保护其终结点。 由于行业范围内弃用基于 CNAME 的域控制验证(DCV),我们的证书颁发机构(CA)、DigiCert 正迁移到新的开源软件(OSS)域控制验证(DCV)平台,该平台提供透明度和责任,从而提高域验证的可信度。 作为此转换的一部分,DigiCert 将弃用对旧 CNAME 委派 DCV 工作流的支持。 此迁移要求我们暂时暂停为自定义域创建托管证书。

请注意,这不会影响标准 CNAME DCV 工作流(其中 DigiCert 在 CNAME 记录中验证随机值),OSS 验证系统仍受支持。 此更改会影响多个Azure服务,这些服务当前依赖于即将弃用的to-be CNAME 进行自动证书颁发和续订。

我的服务是否受此影响?

如果计划在 2025 年 8 月 15 日至 2026 年 6 月 30 日期间在 Azure API 管理中为自定义域创建新的托管证书,将受到影响。

作为此更改的一部分,从 2026 年 1 月开始,Azure API Management能够续订(轮换)现有托管证书,端口 80 上需要入站access,以允许 specific DigiCert IP 地址

更改的最后期限是什么?

从 2025 年 8 月 15 日至 2026 年 3 月 15 日,将强制暂停自定义域的托管证书。 迁移到新的验证平台后,创建托管证书的功能将恢复。

我需要to do什么?

如果需要添加新的托管证书,请计划在 2025 年 8 月 15 日之前或 2026 年 6 月 30 日之后执行此操作。 在挂起期间,仍可以使用从其他源管理的证书配置自定义域。

如果已有自定义域的托管证书,请执行以下作以确保继续access:

  1. 确保API Management服务允许端口 80 上的 DigiCert IP 地址的入站流量。 证书自动续订过程现在需要此access。
  2. 配置 DNS 记录解析custom domain名称。
  3. 如果已实施入站网络限制,Allow API Management 服务access端口 80

步骤 1:允许access DigiCert IP 地址

允许access DigiCert IP 地址

从 2026 年 1 月开始,Azure API Management需要端口 80 上的入站access特定 DigiCert IP 地址来续订(轮换)托管证书。

如果API Management实例限制传入 IP 地址,建议根据部署体系结构使用以下方法之一删除或修改现有 IP 限制。

注释

每当对策略配置、网络安全组或防火墙规则进行更改时,建议测试 API access,以确认已按预期删除限制。

在 API Management 中删除或编辑 IP 筛选器策略

如果使用内置策略(如 ip-filter)实现了 IP 地址限制:

  1. 登录到Azure portal并转到API Management实例。
  2. API 下,选择要应用策略的 API(或 全局更改的所有 API )。
  3. “设计 ”选项卡上的 “入站处理”中,选择代码编辑器 (</>) 图标。
  4. 找到 IP 限制策略语句。
  5. 执行下列操作之一:
    • 删除整个 XML 代码段以完全删除限制。
    • 根据需要编辑元素以包含或删除特定 IP 地址或范围。 建议将 DigiCert IP 地址添加到允许列表。
  6. 选择 “保存” 以立即将更改应用到网关。

修改网络安全组规则(外部virtual network部署)

如果在外部模式下virtual network部署API Management实例,则入站 IP 限制通常使用子网上的网络安全组规则进行管理。

要修改您在子网上配置的网络安全组:

  1. 在Azure portal中,转到 Network 安全组
  2. 选择与API Management子网关联的网络安全组。
  3. “设置>”下,找到强制实施 IP 限制的规则(例如,具有要删除或扩大的特定源 IP 范围或服务标记的规则)。
  4. 执行下列操作之一:
    • 删除 限制性规则:选择规则并选择 “删除 ”选项。
    • 编辑规则:将 更改为 IP 地址 ,并将 DigiCert IP 地址添加到端口 80 上的允许列表中。
  5. 选择“保存”

内部virtual network部署

如果API Management实例部署在内部模式下的 virtual network并且与Azure Application Gateway、Azure Front Door或Azure Traffic Manager,然后需要实现以下体系结构:

Azure Front Door/流量管理器→ Application Gateway → API Management(内部virtual network)

必须在同一virtual network中注入Application Gateway和API Management实例。 详细了解如何将Application Gateway与 API Management 集成。

步骤 1:在API Management前面配置Application Gateway,并允许网络安全组中的 DigiCert IP 地址

  1. 在Azure portal中,转到 Network 安全组并选择API Management子网的网络安全组。
  2. “设置>”下,找到强制实施 IP 限制的规则(例如,具有要删除或扩大的特定源 IP 范围或服务标记的规则)。
  3. 执行下列操作之一:
    • 删除 限制性规则:选择规则并选择 “删除 ”选项。
    • 编辑规则:将 更改为 IP 地址 ,并将 DigiCert IP 地址添加到端口 80 上的允许列表中。
  4. 选择“保存”

步骤 2:将目标custom domain/主机名从流量管理器保留到 API Management 实例

根据部署情况执行以下一项或多项操作:

  • 配置Azure Front Door以保留主机标头(转发原始主机标头)。

    • Azure Front Door(经典):使用自定义域时将Backend 主机标头设置为API Management主机名(而不是Application Gateway FQDN),或选择保留传入主机标头
    • Azure Front Door Standard/Premium: in Route > Origin > Origin settings, 启用 Forward Host Header并选择 Original 主机标头

  • 配置Application Gateway以保留主机标头。

    HTTP 设置中,执行下列作之一,确保Application Gateway充当反向代理,而无需重写主机标头:

    • 替代主机名 设置为 “否”。
    • 如果使用主机名替代,请设置从传入请求选择主机名(推荐)。

  • 确保API Management具有匹配的custom domain。

    在内部virtual network模式下API Management仍要求传入主机名与配置的API Management custom domain匹配。

    例如:

    主机标头
    客户端→ Azure Front Door api.contoso.com
    Azure Front Door →应用程序网关 api.contoso.com
    应用程序网关→ API 管理 api.contoso.com

    如果传入主机名与配置的custom domain不匹配,API Management将拒绝请求。

    重要

    如果在同一域api.contoso.com上Azure Front Door配置了免费托管证书,则无法使用 API management 的免费托管证书功能。 相反,我们建议自带证书并将其上传到custom domain API Management。

修改Azure Firewall规则(如果使用)

如果Azure Firewall保护API Management实例,请修改防火墙的网络规则,以允许端口 80 上的 DigiCert IP 地址的入站access:

  1. 转到 Azure Firewall 实例。
  2. Settings>Rules(或 Network 规则)下,找到规则集合以及限制入站access到API Management实例的特定规则。
  3. 编辑或删除规则,将 DigiCert IP 地址添加到端口 80 上的允许列表中。
  4. 选择 Save 并测试 API access。

步骤 2:配置 DNS 记录

为custom domain配置 DNS 记录以指向API Management网关。 需要添加的 DNS 记录的类型取决于API Management层。

开发人员、基本层、标准层或高级层的 DNS 记录

  1. 使用 DNS 提供程序添加 CNAME 或 A 记录。

  2. 在Azure DNS中将 DigiCert 添加为授权证书颁发机构(CA)。 为此,请使用Azure portal或其他管理工具在域的 DNS 区域中创建特定的 CAA 记录集。

消耗层的 DNS 记录

  1. 使用 DNS 提供程序添加 CNAMETXT 记录。 如果同时配置这两个记录,则 TXT 记录优先。
  2. 在Azure DNS中将 DigiCert 添加为授权证书颁发机构(CA)。 为此,需要使用Azure portal或其他管理工具在域的 DNS 区域中创建特定的 CAA 记录集

步骤 3:允许API Management服务access端口 80

如果为API Management服务配置了入站网络限制,请允许端口 80 上的Azure API Management资源提供程序access。 这需要允许入站流量支持证书吊销列表(CRL)检查、证书续订和管理通信。

  1. 在Azure portal中,转到 Network 安全组
  2. 选择与API Management子网关联的网络安全组。
  3. Settings>Inbound 安全规则下,将允许端口 80 上的流量从 ApiManagement 服务标记添加到API Management实例。

帮助和支持

如果你有问题,请从社区专家那里获得Microsoft问答A。 如果你有支持计划和需要技术帮助,请创建 support 请求

相关内容

查看所有 即将推出的重大更改和功能停用

  • Last updated on