适用于:开发人员 |基本 |标准 |奖赏
在 API 管理中为自定义域创建 Azure 托管证书将从 2025 年 8 月 15 日至 2026 年 3 月 15 日暂时关闭。 只要 API 管理服务允许来自端口 80 上的 DigiCert IP 地址的入站流量并且 DNS 已正确配置,现有托管证书就会自动重新更新。
在经典服务层级中,Azure API 管理 为自定义域提供免费托管的 TLS 证书 (预览版),使客户无需购买和管理自己的证书即可保护其终结点。 由于行业范围内弃用基于 CNAME 的域控制验证(DCV),我们的证书颁发机构(CA)、DigiCert 正迁移到新的开源软件(OSS)域控制验证(DCV)平台,该平台提供透明度和责任,从而提高域验证的可信度。 作为此转换的一部分,DigiCert 将弃用对旧 CNAME 委派 DCV 工作流的支持。 此迁移要求我们暂时暂停为自定义域创建托管证书。
请注意,这不会影响标准 CNAME DCV 工作流(其中 DigiCert 在 CNAME 记录中验证随机值),OSS 验证系统仍受支持。 此更改会影响多个 Azure 服务,这些服务当前依赖于即将弃用的to-be CNAME 进行自动证书颁发和续订。
我的服务是否受此影响?
如果计划在 2025 年 8 月 15 日至 2026 年 3 月 15 日期间在 Azure API 管理中为自定义域创建新的托管证书,将受到影响。
作为此更改的一部分,从 2026 年 1 月开始,Azure API 管理能够续订(轮换)现有托管证书,端口 80 需要入站访问才能允许 特定的 DigiCert IP 地址。
更改的最后期限是什么?
从 2025 年 8 月 15 日至 2026 年 3 月 15 日,将强制暂停自定义域的托管证书。 迁移到新的验证平台后,创建托管证书的功能将恢复。
我需要做什么?
如果需要添加新的托管证书,请计划在 2025 年 8 月 15 日之前或 2026 年 3 月 15 日之后执行此作。 在挂起期间,仍可以使用从其他源管理的证书配置自定义域。
如果已有自定义域的托管证书,请执行以下作以确保继续访问:
- 确保 API 管理服务 允许来自端口 80 上的 DigiCert IP 地址的入站流量。 证书自动续订过程现在需要此访问权限。
- 配置 DNS 记录 以解析自定义域名。
- 如果已实施入站网络限制,则允许 API 管理服务访问端口 80。
步骤 1:允许访问 DigiCert IP 地址
允许访问 DigiCert IP 地址
从 2026 年 1 月开始,为了更新(轮换)您的托管证书,Azure API 管理需要对特定 DigiCert IP 地址 的端口 80 进行入站访问。
如果 API 管理实例限制传入 IP 地址,建议根据部署体系结构使用以下方法之一删除或修改现有 IP 限制。
注释
每当对策略配置、网络安全组或防火墙规则进行更改时,建议测试对 API 的访问,以确认已按预期删除限制。
在 API 管理中删除或编辑 IP 筛选器策略
如果使用内置策略(如 ip-filter)实现了 IP 地址限制:
- 登录到 Azure 门户并转到 API 管理实例。
- 在 API 下,选择要应用策略的 API(或 全局更改的所有 API )。
- 在 “设计 ”选项卡上的 “入站处理”中,选择代码编辑器 (
</>) 图标。 - 找到 IP 限制策略语句。
- 执行下列操作之一:
- 删除整个 XML 代码段以完全删除限制。
- 根据需要编辑元素以包含或删除特定 IP 地址或范围。 建议将 DigiCert IP 地址添加到允许列表。
- 选择 “保存” 以立即将更改应用到网关。
修改网络安全组规则(外部虚拟网络部署)
如果在 外部模式下在虚拟网络中部署 API 管理实例,则通常使用子网上的网络安全组规则管理入站 IP 限制。
要修改您在子网上配置的网络安全组:
- 在 Azure 门户中,转到 网络安全组。
- 选择与 API 管理子网关联的网络安全组。
- 在“设置>”下,找到强制实施 IP 限制的规则(例如,具有要删除或扩大的特定源 IP 范围或服务标记的规则)。
- 执行下列操作之一:
- 删除 限制性规则:选择规则并选择 “删除 ”选项。
- 编辑规则:将 源 更改为 IP 地址 ,并将 DigiCert IP 地址添加到端口 80 上的允许列表中。
- 选择“保存”。
内部虚拟网络部署
如果 API 管理实例部署在 内部模式下的虚拟网络 中,并与 Azure 应用程序网关、Azure Front Door 或 Azure 流量管理器连接,则需要实现以下体系结构:
Azure Front Door/流量管理器→应用程序网关→ API 管理(内部虚拟网络)
应用程序网关和 API 管理实例必须注入到同一虚拟网络中。 详细了解如何将应用程序网关与 API 管理集成。
步骤 1:在 API 管理前配置应用程序网关,并允许网络安全组中的 DigiCert IP 地址
- 在 Azure 门户中,转到 网络安全组 ,然后选择 API 管理子网的网络安全组。
- 在“设置>”下,找到强制实施 IP 限制的规则(例如,具有要删除或扩大的特定源 IP 范围或服务标记的规则)。
- 执行下列操作之一:
- 删除 限制性规则:选择规则并选择 “删除 ”选项。
- 编辑规则:将 源 更改为 IP 地址 ,并将 DigiCert IP 地址添加到端口 80 上的允许列表中。
- 选择“保存”。
步骤 2:将目标自定义域/主机名从流量管理器保存到 API 管理实例
根据部署情况执行以下一项或多项操作:
配置 Azure Front Door 以保留主机标头(转发原始主机标头)。
- Azure Front Door (经典): 将 后端主机标头 设置为 API 管理主机名(而不是应用程序网关 FQDN),或使用自定义域时选择 “保留传入主机标头 ”。
- Azure Front Door 标准版/高级版: 在 “路由 > 源源 > ”设置中,启用 转发主机标头 并选择 “原始主机标头”。
配置应用程序网关以保留主机标头。
在 HTTP 设置中,执行以下作之一,以确保应用程序网关充当反向代理,而无需重写主机标头:
- 将 替代主机名 设置为 “否”。
- 如果使用主机名替代,请设置从传入请求选择主机名(推荐)。
确保 API 管理具有匹配的自定义域。
内部虚拟网络模式下的 API 管理仍要求传入主机名与配置的 API 管理自定义域匹配。
例如:
层 主机标头 客户端→ Azure Front Door api.contoso.comAzure Front Door →应用程序网关 api.contoso.com应用程序网关→ API 管理 api.contoso.com如果传入主机名与配置的自定义域不匹配,API 管理将拒绝请求。
重要
如果在同一域中
api.contoso.com配置了 Azure Front Door 上的免费托管证书,则无法使用 API 管理的免费托管证书功能。 相反,我们建议自带证书并将其上传到自定义域的 API 管理。
使用时修改 Azure 防火墙规则
如果 Azure 防火墙保护 API 管理实例,请修改防火墙的网络规则,以允许从端口 80 上的 DigiCert IP 地址进行入站访问:
- 转到 Azure 防火墙 实例。
- 在“设置>”(或“网络规则”下),找到规则集合和限制对 API 管理实例的入站访问的特定规则。
- 编辑或删除规则,将 DigiCert IP 地址添加到端口 80 上的允许列表中。
- 选择“ 保存 ”并测试 API 访问权限。
步骤 2:配置 DNS 记录
配置自定义域的 DNS 记录以指向 API 管理网关。 需要添加的 DNS 记录的类型取决于 API 管理层。
开发人员、基本层、标准层或高级层的 DNS 记录
使用 DNS 提供程序添加 CNAME 或 A 记录。
将 DigiCert 添加为 Azure DNS 中的授权证书颁发机构(CA)。 为此,请使用 Azure 门户或其他管理工具在域的 DNS 区域中创建特定的 CAA 记录集。
消耗层的 DNS 记录
- 使用 DNS 提供程序添加 CNAME 或 TXT 记录。 如果同时配置这两个记录,则 TXT 记录优先。
- 将 DigiCert 添加为 Azure DNS 中的授权证书颁发机构(CA)。 为此,需要使用 Azure 门户或其他管理工具在域的 DNS 区域中创建特定的 CAA 记录集
步骤 3:允许 API 管理服务访问端口 80
如果为 API 管理服务配置了入站网络限制,请在端口 80 上允许 Azure API 管理资源提供程序访问。 这需要允许入站流量支持证书吊销列表(CRL)检查、证书续订和管理通信。
- 在 Azure 门户中,转到 网络安全组。
- 选择与 API 管理子网关联的网络安全组。
- 在“设置>”下,将允许端口 80 上的流量从 ApiManagement 服务标记添加到 API 管理实例的新规则。
帮助和支持
如果你有问题,请从社区专家那里获得 Microsoft问答的解答。 如果你有支持计划并需要技术帮助,请创建 支持请求。
相关内容
查看所有 即将推出的重大更改和功能停用。