Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir: ✔️ Front Door (klasik)
Important
Azure Front Door (klasik) profil oluşturmayı, yeni etki alanı eklemeyi veya yönetilen sertifikaları desteklemez ve March 31, 2027'da devre dışı bırakılıyor. Hizmet kesintisini önlemek için Azure Front Door Standard veya Premium'a geçiş yapın. Daha fazla bilgi için bkz. Azure Front Door (klasik) kullanımdan kaldırma.
Bu makalede, Front Door'unuzla (klasik) ilişkilendirilmiş özel bir etki alanı için HTTPS'nin nasıl etkinleştirileceği açıklanmaktadır. Özel etki alanınızda (örneğin, ) HTTPS kullanmak, https://www.contoso.comTLS/SSL şifrelemesi aracılığıyla güvenli veri aktarımı sağlar. Bir web tarayıcısı HTTPS kullanarak bir web sitesine bağlandığında, web sitesinin güvenlik sertifikasını doğrular ve meşruluğunu doğrular, güvenlik sağlar ve web uygulamalarınızı kötü amaçlı saldırılara karşı korur.
Azure Front Door varsayılan ana bilgisayar adında (örneğin, https://contoso.azurefd.net) HTTPS'yi varsayılan olarak destekler. Ancak, gibi www.contoso.comözel etki alanları için HTTPS'yi ayrı olarak etkinleştirmeniz gerekir.
Özel HTTPS özelliğinin temel öznitelikleri şunlardır:
- Ek maliyet yok: Sertifika alma, yenileme veya HTTPS trafiği için maliyet yoktur.
- Basit etkinleştirme: Azure portalı, REST API veya diğer geliştirici araçları aracılığıyla tek seçimle sağlama.
- Tam sertifika yönetimi: Otomatik sertifika tedariki ve yenilemesi, süresi dolan sertifikalardan kaynaklanan hizmet kesintisi riskini ortadan kaldırır.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Özel etki alanınızda HTTPS'yi etkinleştirin.
- AFD tarafından yönetilen bir sertifika kullanın.
- Kendi TLS/SSL sertifikanızı kullanın.
- Etki alanını doğrulama.
- Özel etki alanınızda HTTPS'yi devre dışı bırakın.
Prerequisites
Aktif bir aboneliğe sahip bir Azure hesabı. Ücretsiz hesap oluşturun.
En az bir özel etki alanı tanımlanmış bir Azure Front Door. Daha fazla bilgi için bkz. Kılavuz: Front Door’a özel etki alanı ekleme.
Kendi sertifikanızı kullanırken Front Door hizmet sorumlusunu Microsoft Entra kimliğinize kaydetmek için Azure Cloud Shell veya Azure PowerShell.
Bu makaledeki adımlar Azure Cloud Shell'de Azure PowerShell cmdlet'lerini etkileşimli olarak çalıştırır. Cmdlet'leri Cloud Shell'de çalıştırmak için bir kod bloğunun sağ üst köşesindeki Cloud Shell'i Aç'ı seçin. Kodu kopyalamak için Kopyala'yı seçin ve çalıştırmak için Cloud Shell'e yapıştırın. Cloud Shell'i Azure portalından da çalıştırabilirsiniz.
Cmdlet'leri çalıştırmak için Azure PowerShell'i yerel olarak da yükleyebilirsiniz . PowerShell'i yerel olarak çalıştırıyorsanız Connect-AzAccount cmdlet'ini kullanarak Azure'da oturum açın.
TLS/SSL sertifikaları
Front Door (klasik) özel etki alanında HTTPS'yi etkinleştirmek için bir TLS/SSL sertifikasına sahip olmanız gerekir. Azure Front Door tarafından yönetilen bir sertifikayı veya kendi sertifikanızı kullanabilirsiniz.
Seçenek 1 (varsayılan): Front Door tarafından yönetilen bir sertifika kullanın
klasik Azure Front Door tarafından yönetilen bir sertifika kullanıyorsanız, birkaç ayarı değiştirerek HTTPS'yi açabilirsiniz. Azure Front Door Classic, sertifikayı alma ve yenileme de dahil olmak üzere tüm sertifika yönetimi görevlerini üstlenir. Bu seçenek, Azure Front Door Classic uç noktasına doğrudan CNAME kullanan özel alan adlarını destekler.
Important
- 8 Mayıs 2025 itibarıyla DigiCert artık WHOIS tabanlı etki alanı doğrulama yöntemini desteklememektedir. Etki alanınız Azure Front Door Klasik uç noktasına dolaylı bir CNAME eşlemesi kullanıyorsa Kendi Sertifikanızı Getir (BYOC) özelliğini kullanmanız gerekir.
- WHOIS tabanlı etki alanı doğrulamasındaki değişiklikler nedeniyle, WHOIS tabanlı etki alanı doğrulaması kullanılarak verilen yönetilen sertifikalar, Azure Front Door Classic'i işaret eden doğrudan bir CNAME'niz olana kadar otomatik olarak yenilenemez.
- Yönetilen sertifikalar kök veya ana etki alanları için kullanılamaz (örneğin,
contoso.com). Azure Front Door Klasik özel etki alanınız bir kök veya apex etki alanıysa Kendi Sertifikanızı Getir (BYOC) özelliğini kullanmanız gerekir. - Yönetilen sertifika otomatik yenileme işlemi, özel etki alanınızın CNAME kaydı kullanılarak doğrudan Azure Front Door Klasik uç noktanıza eşlenmesini gerektirir.
Özel bir etki alanında HTTPS'yi etkinleştirmek için:
Ön uç barındırma hizmetleri listesinden HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.
Özel etki alanı HTTPS altında Etkin seçeneğini seçin ve sertifika kaynağı olarak Front Door yönetilen seçeneğini seçin.
Kaydetseçeneğini seçin.
Etki alanını doğrulama adımına ilerleyin.
Note
- DigiCert'in 64 karakter sınırı, Azure Front Door tarafından yönetilen sertifikalar için zorunlu kılındı. Bu sınır aşılırsa doğrulama başarısız olur.
- Front Door tarafından yönetilen sertifika aracılığıyla HTTPS'nin etkinleştirilmesi apex/root etki alanları (örneğin, contoso.com) için desteklenmez. Bu senaryo için kendi sertifikanızı kullanın (bkz. Seçenek 2).
Seçenek 2: Kendi sertifikanızı kullanın
Azure Key Vault ile tümleştirme aracılığıyla kendi sertifikanızı kullanabilirsiniz. Sertifikanızın Microsoft Güvenilen CA Listesi'nden olduğundan ve eksiksiz bir sertifika zincirine sahip olduğundan emin olun.
Anahtar kasanızı ve sertifikanızı hazırlayın
- Azure aboneliğinizde, Front Door'unuz ile aynı abonelikte bir anahtar kasası hesabı oluşturun.
- Ağ erişim kısıtlamaları etkinse, güvenilen Microsoft hizmetlerinin güvenlik duvarını atlamasına izin verecek şekilde anahtar kasanızı yapılandırın.
- Key Vault erişim ilkesi izin modelini kullanın.
- Sertifikanızı, sır olarak değil, bir sertifika nesnesi olarak karşıya yükleyin.
Note
Front Door, üç nokta eğrisi (EC) şifreleme algoritmalarına sahip sertifikaları desteklemez. Sertifikanın yaprak ve ara sertifikalara sahip eksiksiz bir sertifika zinciri olması ve kök CA'nın Microsoft Güvenilen CA listesinin bir parçası olması gerekir.
Azure Front Door’u kaydetme
Azure PowerShell veya Azure CLI kullanarak Azure Front Door hizmet sorumlusunu Microsoft Entra Kimliğinize kaydedin.
Front Door hizmet sorumlusunu Microsoft Entra Kimliğinize kaydetmek için New-AzADServicePrincipal cmdlet'ini kullanın.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Anahtar kasanıza Azure Front Door erişimi verme
Anahtar kasası hesabınızda Erişim ilkeleri'ni seçin.
Yeni bir erişim ilkesi oluşturmak için Oluştur'u seçin.
Gizli izinler bölümünde Al'ı seçin.
Sertifika izinlerinde Al'ı seçin.
Principal seçin bölümünde ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 için arama yapın ve Microsoft.Azure.Frontdoor'u seçin. sonrakiseçin.
Uygulama'da İleri'yi seçin.
Gözden Geçir + oluştur içinde Oluştur'u seçin.
Note
Anahtar kasanızda ağ erişim kısıtlamaları varsa, güvenilen Microsoft hizmetleri anahtar kasanıza erişmesine izin verin.
Dağıtım için Azure Front Door sertifikasını seçin
Portalda ön kapınıza dönün.
HTTPS'yi etkinleştirmek istediğiniz özel etki alanını seçin.
Sertifika yönetim türü altında Kendi sertifikamı kullan'ı seçin.
Bir anahtar kasası, Gizli ve Gizli sürüm seçin.
Note
Otomatik sertifika döndürmeyi etkinleştirmek için gizli dizi sürümünü En Son olarak ayarlayın. Belirli bir sürümü seçerseniz, sertifika döndürme için el ile güncelleştirmeniz gerekir.
Warning
Hizmet sorumlunuzun Key Vault üzerinde GET iznine sahip olduğundan emin olun. Portal açılır listesinde sertifikayı görmek için kullanıcı hesabınızın Key Vault üzerinde LIST ve GET izinlerine sahip olması gerekmektedir.
Kendi sertifikanızı kullandığınızda etki alanı doğrulaması gerekmez. Yayılmayı bekleyin adımına geçin.
Etki alanını doğrulama
CNAME kaydınız hala varsa ve alt etki alanını afdverify içermiyorsa, DigiCert özel etki alanınızın sahipliğini otomatik olarak doğrular.
CNAME kaydınız aşağıdaki biçimde olmalıdır:
| Name | Type | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
CNAME kayıtları hakkında daha fazla bilgi için bkz. CNAME DNS kaydı oluşturma.
CNAME kaydınız doğru biçimdeyse, DigiCert özel etki alanı adınızı otomatik olarak doğrular ve etki alanınız için bir sertifika oluşturur. Sertifika bir yıl geçerlidir ve süresi dolmadan önce otomatik olarak yenilenmiştir. Otomatik doğrulama genellikle birkaç saat sürer. Etki alanınızın 24 saat içinde doğrulanmış olduğunu görmüyorsanız bir destek bileti açın.
Yayılma için bekleme adımına ilerleyin.
Note
DNS sağlayıcınız ile bir Sertifika Yetkilisi Yetkilendirme (CAA) kaydınız varsa bunun geçerli CA olarak DigiCert‘i içermesi gerekir. Daha fazla bilgi için bkz . CAA kayıtlarını yönetme.
Yayılma için bekleme
Etki alanı doğrulamasından sonra, özel etki alanı HTTPS özelliğinin etkinleştirilmesi 6-8 saat kadar sürebilir. Tamamlandığında, Azure portalındaki özel HTTPS durumu Etkin olarak ayarlanır.
İşlem ilerleme durumu
Aşağıdaki tabloda HTTPS etkinleştirilirken işlemin ilerleme durumu gösterilmektedir:
| İşlem adımı | İşlem alt adımı ayrıntıları |
|---|---|
| 1. İstek gönderiliyor | İstek gönderiliyor |
| HTTPS isteğiniz gönderiliyor. | |
| HTTPS isteğiniz başarıyla gönderildi. | |
| 2. Etki alanı doğrulaması | CNAME varsayılan .azurefd.net ön eklemeli host'a eşlenirse, alan adı otomatik olarak doğrulanır. |
| Etki alanı sahipliğiniz başarıyla doğrulandı. | |
| Etki alanı sahipliği doğrulama isteğinin süresi doldu (müşteri büyük olasılıkla altı gün içinde yanıt vermedi). HTTPS, etki alanınızda etkinleştirilmemiş. * | |
| Etki alanı sahipliği doğrulama isteği müşteri tarafından reddedildi. HTTPS, etki alanınızda etkinleştirilmemiş. * | |
| 3. Sertifika sağlama | Sertifika yetkilisi, etki alanınızda HTTPS'yi etkinleştirmek için gereken sertifikayı yayınlar. |
| Sertifika verildi ve Front Door'unuz için dağıtım aşamasında. Bu işlem birkaç dakika ile bir saat arasında sürebilir. | |
| Sertifika Front Door hizmetiniz için başarıyla dağıtıldı. | |
| 4. Tamamlandı | HTTPS, etki alanınızda başarıyla etkinleştirildi. |
* Bu ileti yalnızca bir hata oluştuğunda görünür.
İstek gönderilmeden önce hata oluşursa, aşağıdaki hata iletisi görüntülenir:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Sık sorulan sorular
Sertifika sağlayıcısı kimdir ve ne tür bir sertifika kullanılır?
Özel etki alanınız için DigiCert tarafından sağlanan ayrılmış/tek bir sertifika kullanılır.
IP tabanlı veya SNI TLS/SSL kullanıyor musunuz?
Azure Front Door, SNI TLS/SSL kullanır.
DigiCert’ten etki alanı doğrulama e-postası almazsam ne olur?
Özel etki alanınız için doğrudan uç nokta ana bilgisayar adınızı gösteren bir CNAME girdiniz varsa ve afdverify alt etki alanı adını kullanmıyorsanız, etki alanı doğrulama e-postası almazsınız. Doğrulama otomatik olarak gerçekleşir. Aksi takdirde, CNAME girdiniz yoksa ve 24 saat içinde e-posta almadıysanız Microsoft desteğine başvurun.
Ayrılmış sertifika kullanmak, SAN sertifikasından daha mı güvenlidir?
SAN sertifikası, ayrılmış sertifika ile aynı şifreleme ve güvenlik standartlarını uygular. Verilen tüm TLS/SSL sertifikaları, gelişmiş sunucu güvenliği için SHA-256 kullanır.
DNS sağlayıcım ile Sertifika Yetkilisi Yetkilendirme kaydı kullanmam gerekir mi?
Hayır, şu anda bir Sertifika Yetkilisi Yetkilendirme kaydına ihtiyacınız yok. Ancak, bir sertifikanız varsa, geçerli bir CA olarak DigiCert'i içermelidir.
Kaynakları temizleme
Özel etki alanınızda HTTPS'yi devre dışı bırakmak için:
HTTPS özelliğini devre dışı bırakma
HTTPS'yi devre dışı bırakmak istediğiniz özel etki alanını seçin.
Devre Dışı'yı seçin ve Kaydet'i seçin.
Yayılma için bekleme
Özel etki alanı HTTPS özelliği devre dışı bırakıldıktan sonra etkin hale getirmesi 6-8 saat kadar sürebilir. Tamamlandığında, Azure portalındaki özel HTTPS durumu Devre Dışı olarak ayarlanır.
İşlem ilerleme durumu
Aşağıdaki tabloda HTTPS devre dışı bırakıldığında işlemin ilerleme durumu gösterilmektedir:
| İşlem ilerleme durumu | İşlem ayrıntıları |
|---|---|
| 1. İstek gönderiliyor | İsteğiniz gönderiliyor |
| 2. Sertifika devreden çıkarma | Sertifika siliniyor |
| 3. Tamamlandı | Sertifika silindi |