Azure Front Door (klasik) özel etki alanı üzerinde HTTPS'yi yapılandırma

Şunlar için geçerlidir: ✔️ Front Door (klasik)

Important

Azure Front Door (klasik) profil oluşturmayı, yeni etki alanı eklemeyi veya yönetilen sertifikaları desteklemez ve March 31, 2027'da devre dışı bırakılıyor. Hizmet kesintisini önlemek için Azure Front Door Standard veya Premium'a geçiş yapın. Daha fazla bilgi için bkz. Azure Front Door (klasik) kullanımdan kaldırma.

Bu makalede, Front Door'unuzla (klasik) ilişkilendirilmiş özel bir etki alanı için HTTPS'nin nasıl etkinleştirileceği açıklanmaktadır. Özel etki alanınızda (örneğin, ) HTTPS kullanmak, https://www.contoso.comTLS/SSL şifrelemesi aracılığıyla güvenli veri aktarımı sağlar. Bir web tarayıcısı HTTPS kullanarak bir web sitesine bağlandığında, web sitesinin güvenlik sertifikasını doğrular ve meşruluğunu doğrular, güvenlik sağlar ve web uygulamalarınızı kötü amaçlı saldırılara karşı korur.

Azure Front Door varsayılan ana bilgisayar adında (örneğin, https://contoso.azurefd.net) HTTPS'yi varsayılan olarak destekler. Ancak, gibi www.contoso.comözel etki alanları için HTTPS'yi ayrı olarak etkinleştirmeniz gerekir.

Özel HTTPS özelliğinin temel öznitelikleri şunlardır:

  • Ek maliyet yok: Sertifika alma, yenileme veya HTTPS trafiği için maliyet yoktur.
  • Basit etkinleştirme: Azure portalı, REST API veya diğer geliştirici araçları aracılığıyla tek seçimle sağlama.
  • Tam sertifika yönetimi: Otomatik sertifika tedariki ve yenilemesi, süresi dolan sertifikalardan kaynaklanan hizmet kesintisi riskini ortadan kaldırır.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Özel etki alanınızda HTTPS'yi etkinleştirin.
  • AFD tarafından yönetilen bir sertifika kullanın.
  • Kendi TLS/SSL sertifikanızı kullanın.
  • Etki alanını doğrulama.
  • Özel etki alanınızda HTTPS'yi devre dışı bırakın.

Prerequisites

TLS/SSL sertifikaları

Front Door (klasik) özel etki alanında HTTPS'yi etkinleştirmek için bir TLS/SSL sertifikasına sahip olmanız gerekir. Azure Front Door tarafından yönetilen bir sertifikayı veya kendi sertifikanızı kullanabilirsiniz.

Seçenek 1 (varsayılan): Front Door tarafından yönetilen bir sertifika kullanın

klasik Azure Front Door tarafından yönetilen bir sertifika kullanıyorsanız, birkaç ayarı değiştirerek HTTPS'yi açabilirsiniz. Azure Front Door Classic, sertifikayı alma ve yenileme de dahil olmak üzere tüm sertifika yönetimi görevlerini üstlenir. Bu seçenek, Azure Front Door Classic uç noktasına doğrudan CNAME kullanan özel alan adlarını destekler.

Important

  • 8 Mayıs 2025 itibarıyla DigiCert artık WHOIS tabanlı etki alanı doğrulama yöntemini desteklememektedir. Etki alanınız Azure Front Door Klasik uç noktasına dolaylı bir CNAME eşlemesi kullanıyorsa Kendi Sertifikanızı Getir (BYOC) özelliğini kullanmanız gerekir.
  • WHOIS tabanlı etki alanı doğrulamasındaki değişiklikler nedeniyle, WHOIS tabanlı etki alanı doğrulaması kullanılarak verilen yönetilen sertifikalar, Azure Front Door Classic'i işaret eden doğrudan bir CNAME'niz olana kadar otomatik olarak yenilenemez.
  • Yönetilen sertifikalar kök veya ana etki alanları için kullanılamaz (örneğin, contoso.com). Azure Front Door Klasik özel etki alanınız bir kök veya apex etki alanıysa Kendi Sertifikanızı Getir (BYOC) özelliğini kullanmanız gerekir.
  • Yönetilen sertifika otomatik yenileme işlemi, özel etki alanınızın CNAME kaydı kullanılarak doğrudan Azure Front Door Klasik uç noktanıza eşlenmesini gerektirir.

Özel bir etki alanında HTTPS'yi etkinleştirmek için:

  1. Azure portalında Front Door profilinize gidin.

  2. Ön uç barındırma hizmetleri listesinden HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.

  3. Özel etki alanı HTTPS altında Etkin seçeneğini seçin ve sertifika kaynağı olarak Front Door yönetilen seçeneğini seçin.

  4. Kaydetseçeneğini seçin.

  5. Etki alanını doğrulama adımına ilerleyin.

Note

  • DigiCert'in 64 karakter sınırı, Azure Front Door tarafından yönetilen sertifikalar için zorunlu kılındı. Bu sınır aşılırsa doğrulama başarısız olur.
  • Front Door tarafından yönetilen sertifika aracılığıyla HTTPS'nin etkinleştirilmesi apex/root etki alanları (örneğin, contoso.com) için desteklenmez. Bu senaryo için kendi sertifikanızı kullanın (bkz. Seçenek 2).

Seçenek 2: Kendi sertifikanızı kullanın

Azure Key Vault ile tümleştirme aracılığıyla kendi sertifikanızı kullanabilirsiniz. Sertifikanızın Microsoft Güvenilen CA Listesi'nden olduğundan ve eksiksiz bir sertifika zincirine sahip olduğundan emin olun.

Anahtar kasanızı ve sertifikanızı hazırlayın

  • Azure aboneliğinizde, Front Door'unuz ile aynı abonelikte bir anahtar kasası hesabı oluşturun.
  • Ağ erişim kısıtlamaları etkinse, güvenilen Microsoft hizmetlerinin güvenlik duvarını atlamasına izin verecek şekilde anahtar kasanızı yapılandırın.
  • Key Vault erişim ilkesi izin modelini kullanın.
  • Sertifikanızı, sır olarak değil, bir sertifika nesnesi olarak karşıya yükleyin.

Note

Front Door, üç nokta eğrisi (EC) şifreleme algoritmalarına sahip sertifikaları desteklemez. Sertifikanın yaprak ve ara sertifikalara sahip eksiksiz bir sertifika zinciri olması ve kök CA'nın Microsoft Güvenilen CA listesinin bir parçası olması gerekir.

Azure Front Door’u kaydetme

Azure PowerShell veya Azure CLI kullanarak Azure Front Door hizmet sorumlusunu Microsoft Entra Kimliğinize kaydedin.

Front Door hizmet sorumlusunu Microsoft Entra Kimliğinize kaydetmek için New-AzADServicePrincipal cmdlet'ini kullanın.

New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"

Anahtar kasanıza Azure Front Door erişimi verme

  1. Anahtar kasası hesabınızda Erişim ilkeleri'ni seçin.

  2. Yeni bir erişim ilkesi oluşturmak için Oluştur'u seçin.

  3. Gizli izinler bölümünde Al'ı seçin.

  4. Sertifika izinlerinde Al'ı seçin.

  5. Principal seçin bölümünde ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 için arama yapın ve Microsoft.Azure.Frontdoor'u seçin. sonrakiseçin.

  6. Uygulama'da İleri'yi seçin.

  7. Gözden Geçir + oluştur içinde Oluştur'u seçin.

Note

Anahtar kasanızda ağ erişim kısıtlamaları varsa, güvenilen Microsoft hizmetleri anahtar kasanıza erişmesine izin verin.

Dağıtım için Azure Front Door sertifikasını seçin

  1. Portalda ön kapınıza dönün.

  2. HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.

  3. Sertifika yönetim türü altında Kendi sertifikamı kullan'ı seçin.

  4. Bir anahtar kasası, Gizli ve Gizli sürüm seçin.

    Note

    Otomatik sertifika döndürmeyi etkinleştirmek için gizli dizi sürümünü En Son olarak ayarlayın. Belirli bir sürümü seçerseniz, sertifika döndürme için el ile güncelleştirmeniz gerekir.

    Warning

    Hizmet sorumlunuzun Key Vault üzerinde GET iznine sahip olduğundan emin olun. Portal açılır listesinde sertifikayı görmek için kullanıcı hesabınızın Key Vault üzerinde LIST ve GET izinlerine sahip olması gerekmektedir.

  5. Kendi sertifikanızı kullandığınızda etki alanı doğrulaması gerekmez. Yayılmayı bekleyin adımına geçin.

Etki alanını doğrulama

CNAME kaydınız hala varsa ve alt etki alanını afdverify içermiyorsa, DigiCert özel etki alanınızın sahipliğini otomatik olarak doğrular.

CNAME kaydınız aşağıdaki biçimde olmalıdır:

Name Type Value
<www.contoso.com> CNAME contoso.azurefd.net

CNAME kayıtları hakkında daha fazla bilgi için bkz. CNAME DNS kaydı oluşturma.

CNAME kaydınız doğru biçimdeyse, DigiCert özel etki alanı adınızı otomatik olarak doğrular ve etki alanınız için bir sertifika oluşturur. Sertifika bir yıl geçerlidir ve süresi dolmadan önce otomatik olarak yenilenmiştir. Otomatik doğrulama genellikle birkaç saat sürer. Etki alanınızın 24 saat içinde doğrulanmış olduğunu görmüyorsanız bir destek bileti açın.

Yayılma için bekleme adımına ilerleyin.

Note

DNS sağlayıcınız ile bir Sertifika Yetkilisi Yetkilendirme (CAA) kaydınız varsa bunun geçerli CA olarak DigiCert‘i içermesi gerekir. Daha fazla bilgi için bkz . CAA kayıtlarını yönetme.

Yayılma için bekleme

Etki alanı doğrulamasından sonra, özel etki alanı HTTPS özelliğinin etkinleştirilmesi 6-8 saat kadar sürebilir. Tamamlandığında, Azure portalındaki özel HTTPS durumu Etkin olarak ayarlanır.

İşlem ilerleme durumu

Aşağıdaki tabloda HTTPS etkinleştirilirken işlemin ilerleme durumu gösterilmektedir:

İşlem adımı İşlem alt adımı ayrıntıları
1. İstek gönderiliyor İstek gönderiliyor
HTTPS isteğiniz gönderiliyor.
HTTPS isteğiniz başarıyla gönderildi.
2. Etki alanı doğrulaması CNAME varsayılan .azurefd.net ön eklemeli host'a eşlenirse, alan adı otomatik olarak doğrulanır.
Etki alanı sahipliğiniz başarıyla doğrulandı.
Etki alanı sahipliği doğrulama isteğinin süresi doldu (müşteri büyük olasılıkla altı gün içinde yanıt vermedi). HTTPS, etki alanınızda etkinleştirilmemiş. *
Etki alanı sahipliği doğrulama isteği müşteri tarafından reddedildi. HTTPS, etki alanınızda etkinleştirilmemiş. *
3. Sertifika sağlama Sertifika yetkilisi, etki alanınızda HTTPS'yi etkinleştirmek için gereken sertifikayı yayınlar.
Sertifika verildi ve Front Door'unuz için dağıtım aşamasında. Bu işlem birkaç dakika ile bir saat arasında sürebilir.
Sertifika Front Door hizmetiniz için başarıyla dağıtıldı.
4. Tamamlandı HTTPS, etki alanınızda başarıyla etkinleştirildi.

* Bu ileti yalnızca bir hata oluştuğunda görünür.

İstek gönderilmeden önce hata oluşursa, aşağıdaki hata iletisi görüntülenir:

We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.

Sık sorulan sorular

  1. Sertifika sağlayıcısı kimdir ve ne tür bir sertifika kullanılır?

    Özel etki alanınız için DigiCert tarafından sağlanan ayrılmış/tek bir sertifika kullanılır.

  2. IP tabanlı veya SNI TLS/SSL kullanıyor musunuz?

    Azure Front Door, SNI TLS/SSL kullanır.

  3. DigiCert’ten etki alanı doğrulama e-postası almazsam ne olur?

    Özel etki alanınız için doğrudan uç nokta ana bilgisayar adınızı gösteren bir CNAME girdiniz varsa ve afdverify alt etki alanı adını kullanmıyorsanız, etki alanı doğrulama e-postası almazsınız. Doğrulama otomatik olarak gerçekleşir. Aksi takdirde, CNAME girdiniz yoksa ve 24 saat içinde e-posta almadıysanız Microsoft desteğine başvurun.

  4. Ayrılmış sertifika kullanmak, SAN sertifikasından daha mı güvenlidir?

    SAN sertifikası, ayrılmış sertifika ile aynı şifreleme ve güvenlik standartlarını uygular. Verilen tüm TLS/SSL sertifikaları, gelişmiş sunucu güvenliği için SHA-256 kullanır.

  5. DNS sağlayıcım ile Sertifika Yetkilisi Yetkilendirme kaydı kullanmam gerekir mi?

    Hayır, şu anda bir Sertifika Yetkilisi Yetkilendirme kaydına ihtiyacınız yok. Ancak, bir sertifikanız varsa, geçerli bir CA olarak DigiCert'i içermelidir.

Kaynakları temizleme

Özel etki alanınızda HTTPS'yi devre dışı bırakmak için:

HTTPS özelliğini devre dışı bırakma

  1. Azure portalında Azure Front Door yapılandırmanıza gidin.

  2. HTTPS'yi devre dışı bırakmak istediğiniz özel etki alanını seçin.

  3. Devre Dışı'yı seçin ve Kaydet'i seçin.

Yayılma için bekleme

Özel etki alanı HTTPS özelliği devre dışı bırakıldıktan sonra etkin hale getirmesi 6-8 saat kadar sürebilir. Tamamlandığında, Azure portalındaki özel HTTPS durumu Devre Dışı olarak ayarlanır.

İşlem ilerleme durumu

Aşağıdaki tabloda HTTPS devre dışı bırakıldığında işlemin ilerleme durumu gösterilmektedir:

İşlem ilerleme durumu İşlem ayrıntıları
1. İstek gönderiliyor İsteğiniz gönderiliyor
2. Sertifika devreden çıkarma Sertifika siliniyor
3. Tamamlandı Sertifika silindi

Sonraki adım