Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ Front Door (clásico)
Important
- A partir del 15 de agosto de 2025, Azure Front Door (clásico) ya no admitirá la incorporación de nuevos dominios. Migre a AFD Standard y Premium para crear nuevos dominios o perfiles y evitar interrupciones del servicio. Aprende más
- A partir del 15 de agosto de 2025, Azure Front Door (clásico) ya no admitirá certificados administrados. Para evitar interrupciones del servicio, cambie a Bring Your Own Certificate (BYOC) o migre a AFD Standard y Premium antes del 15 de agosto de 2025. Los certificados administrados existentes se renovarán automáticamente antes del 15 de agosto de 2025 y permanecerán válidos hasta el 14 de abril de 2026. Aprende más
- Azure Front Door (clásico) se retirará el 31 de marzo de 2027. Para evitar interrupciones del servicio, migre a AFD Standard o Premium. Más información.
En este artículo se explica cómo habilitar HTTPS para un dominio personalizado asociado a Front Door (clásico). El uso de HTTPS en el dominio personalizado (por ejemplo, https://www.contoso.com) garantiza la transmisión de datos segura mediante el cifrado TLS/SSL. Cuando un explorador web se conecta a un sitio web mediante HTTPS, valida el certificado de seguridad del sitio web y comprueba su legitimidad, lo que proporciona seguridad y protege las aplicaciones web frente a ataques malintencionados.
De manera predeterminada, Azure Front Door admite HTTPS en su nombre de host predeterminado (por ejemplo, https://contoso.azurefd.net). Pero debe habilitar HTTPS por separado para dominios personalizados como www.contoso.com.
Entre los atributos clave de la característica de HTTPS personalizado se incluyen los siguientes:
- Sin costo adicional: la adquisición o renovación de certificados, y el tráfico HTTPS no tiene costos.
- Habilitación simple: aprovisionamiento con selección única desde Azure Portal, API REST u otras herramientas de desarrollo.
- Administración completa de certificados: adquisición y renovación automáticas de certificados, lo que elimina el riesgo de interrupción del servicio debido a certificados expirados.
En este tutorial, aprenderá a:
- Habilite HTTPS en el dominio personalizado.
- Use un certificado administrado por AFD.
- Use un certificado TLS/SSL propio.
- Validar el dominio
- Deshabilite HTTPS en el dominio personalizado.
Prerequisites
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Una instancia de Azure Front Door con al menos un dominio personalizado incorporado. Para más información, consulte Tutorial: Adición de un dominio personalizado a una instancia de Front Door.
Azure Cloud Shell o Azure PowerShell para registrar la entidad de servicio de Front Door en Microsoft Entra ID al usar su propio certificado.
Los pasos de este artículo ejecutarán los cmdlets de Azure PowerShell de forma interactiva en Azure Cloud Shell. Para ejecutar los cmdlets en Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. Seleccione Copiar para copiar el código y péguelo, a continuación, en Cloud Shell para ejecutarlo. También podrá ejecutar Cloud Shell desde Azure Portal.
También podrá instalar Azure PowerShell localmente para ejecutar los cmdlet. Si ejecuta PowerShell localmente, inicie sesión en Azure con el cmdlet Connect-AzAccount.
Certificados TLS/SSL
Para habilitar HTTPS en un dominio personalizado de Front Door (clásico), necesita un certificado TLS/SSL. Puede usar un certificado que administrado por Azure Front Door o bien uno propio.
Opción 1 (valor predeterminado): Use un certificado administrado por Front Door
El uso de un certificado administrado por Azure Front Door Clásico permite habilitar HTTPS con algunos cambios de configuración. Azure Front Door Clásico controla todas las tareas de administración de certificados, incluida la adquisición y la renovación. Esto es compatible con dominios personalizados con CNAME directo al punto de conexión de Azure Front Door Clásico.
Important
- A partir del 8 de mayo de 2025, DigiCert ya no admite el método de validación de dominio basado en WHOIS. Si el dominio usa una asignación indirecta de CNAME al punto de conexión de Azure Front Door Clásico, debe usar la característica Bring Your Own Certificate (BYOC).
- Debido a los cambios en la validación de dominio basada en WHOIS, los certificados administrados emitidos mediante la validación de dominio basada en WHOIS no se pueden cambiar automáticamente hasta que tenga un CNAME directo que apunte a Azure Front Door Clásico.
- Los certificados administrados no están disponibles para dominios raíz o de vértice (por ejemplo,
contoso.com). Si el dominio personalizado de Azure Front Door Clásico es un dominio raíz o de vértice, debe usar la característica Bring Your Own Certificate (BYOC). - La renovación automática de certificados administrados requiere que el dominio personalizado se asigne directamente al punto de conexión de Azure Front Door Clásico mediante un registro CNAME.
Para habilitar HTTPS en un dominio personalizado:
En Azure Portal, vaya al perfil de Front Door.
En la lista de hosts de front-end, seleccione el dominio personalizado para el que quiera habilitar HTTPS.
En HTTPS de dominio personalizado, seleccione Habilitado y Front Door administrado como origen del certificado.
Haga clic en Guardar.
Continúe y valide el dominio.
Note
- Para los certificados administrados por Azure Front Door se aplica el límite de 64 caracteres de DigiCert. Se produce un error en la validación si se supera este límite.
- No se admite la habilitación de HTTPS a través del certificado administrado de Front Door para dominios apex o raíz (por ejemplo, contoso.com). Use un certificado propio para este escenario (vea la Opción 2).
Opción 2: Usar su propio certificado
Puede usar un certificado propio mediante una integración con Azure Key Vault. Asegúrese de que el certificado procede de un lista de entidades de certificación de confianza de Microsoft y de que tenga una cadena de certificados completa.
Preparación del almacén de claves y el certificado
- Cree una cuenta de Key Vault en la misma suscripción de Azure que la instancia de Front Door.
- Configure el almacén de claves para permitir que los servicios de Microsoft de confianza eludan el firewall, si se han habilitado restricciones de acceso a la red.
- Use el modelo de permisos de Directiva de acceso de Key Vault.
- Cargue el certificado como un objeto de certificado, no como un secreto.
Note
Front Door no admite certificados con algoritmos de criptografía de curva elíptica (EC). El certificado debe tener una cadena de certificados completa con certificados de hoja e intermedios, y la CA raíz debe formar parte de la lista de CA de confianza de Microsoft.
Registro en Azure Front Door
Registre la entidad de servicio de Azure Front Door en el identificador de Microsoft Entra mediante Azure PowerShell o la CLI de Azure.
Use el cmdlet New-AzADServicePrincipal para registrar la entidad de servicio de Front Door en Microsoft Entra ID.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Concesión a Azure Front Door de acceso al almacén de claves
En la cuenta del almacén de claves, seleccione Directivas de acceso.
Seleccione Crear para crear una directiva de acceso.
En Permisos de los secretos, seleccione Obtener.
En Permisos de los certificados, seleccione Obtener.
En Seleccionar la entidad de seguridad, busque ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 y seleccione Microsoft.Azure.Frontdoor. Seleccione Siguiente.
Seleccione Siguiente en Aplicación.
Seleccione Crear en Revisar y crear.
Note
Si el almacén de claves tiene restricciones de acceso a la red, permita que los servicios Microsoft de confianza accedan al almacén de claves.
Selección del certificado de Azure Front Door que se va a implementar
Vuelva a su instancia de Front Door en el portal.
Seleccione el dominio personalizado para el que quiera habilitar HTTPS.
En Tipo de administración de certificados, seleccione Usar mi propio certificado.
Seleccione un almacén de claves, un secreto y una versión del secreto.
Note
Para habilitar la rotación automática de certificados, establezca la versión del secreto en "Más reciente". Si se selecciona una versión específica, debe actualizarla manualmente para la rotación de certificados.
Warning
Asegúrese de que la entidad de servicio tiene permiso GET en Key Vault. Para ver el certificado en la lista desplegable del portal, la cuenta de usuario debe tener permisos LIST y GET en la instancia de Key Vault.
Si usa un certificado propio, no se requiere la validación del dominio. Continúe con Esperar a la propagación.
Validar el dominio
Si el registro CNAME sigue existiendo y no contiene el afdverify subdominio, DigiCert valida automáticamente la propiedad del dominio personalizado.
El registro CNAME debería tener el siguiente formato:
| Name | Type | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Para obtener más información sobre los registros CNAME, consulte Creación de los registros DNS de CNAME.
Si el registro CNAME tiene el formato correcto, DigiCert automáticamente comprueba su nombre de dominio personalizado y crea un certificado para el dominio. El certificado tiene una validez de un año y se renovará automáticamente antes de expirar. La validación automática suele tardar unas horas. Si no ve su dominio validado en 24 horas, abra una incidencia de soporte técnico.
Continúe con Esperar a la propagación.
Note
Si tiene un registro de autorización de entidad de certificación (CAA) con el proveedor de DNS, debe incluir DigiCert como entidad de certificación válida. Para más información, vea Administración de registros CAA.
Esperar a la propagación
Después de la validación del dominio, la característica HTTPS para el dominio personalizado puede tardar entre 6 y 8 horas en activarse. Cuando termine, el estado de "personalizar HTTPS" en Azure Portal se establece en Habilitado.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación al habilitar HTTPS:
| Paso de operación | Detalles del subpaso de la operación |
|---|---|
| 1. Envío de la solicitud | Envío de la solicitud |
| Se está enviando la solicitud HTTPS. | |
| La solicitud HTTPS se ha enviado correctamente. | |
| 2. Validación de dominio | El dominio se valida automáticamente si CNAME está asignado al host de front-end .azurefd.net predeterminado. |
| La propiedad del dominio se ha validado correctamente. | |
| La solicitud de validación de la propiedad del dominio ha expirado (el cliente probablemente no ha respondido dentro del plazo de seis días). HTTPS no se ha habilitado en el dominio. * | |
| Solicitud de validación de propiedad del dominio rechazada por el cliente. HTTPS no se ha habilitado en el dominio. * | |
| 3. Aprovisionamiento de certificados | La entidad de certificación emite el certificado necesario para habilitar HTTPS en el dominio. |
| El certificado se ha emitido y se va a implementar en la instancia de Front Door. Este proceso podría tardar entre varios minutos y una hora. | |
| El certificado se implementó correctamente para Front Door. | |
| 4. Completado | HTTPS se ha habilitado correctamente en el dominio. |
* Este mensaje solo aparece si se produce un error.
Si se produce un error antes de que se envíe la solicitud, verá el mensaje de error siguiente:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Preguntas más frecuentes
¿Quién es el proveedor de certificados y qué tipo de certificado se utiliza?
Se ha usado un certificado único o dedicado, proporcionado por DigiCert, para el dominio personalizado.
¿Usa TLS/SSL basado en IP o SNI?
Azure Front Door usa SNI TLS/SSL.
¿Qué debo hacer si no recibo el correo electrónico de comprobación de dominio de DigiCert?
Si tiene una entrada CNAME para el dominio personalizado que apunte directamente al nombre de host del punto de conexión y no utiliza el nombre de subdominio afdverify, no recibirá un correo electrónico de verificación del dominio. La validación se produce automáticamente. De lo contrario, si no tiene una entrada CNAME y no ha recibido un correo electrónico en 24 horas, póngase en contacto con el servicio de soporte técnico de Microsoft.
¿Son menos seguros los certificados SAN que los certificados dedicados?
Los certificados SAN siguen los mismos estándares de cifrado y seguridad que los certificados dedicados. Todos los certificados TLS/SSL emitidos usan SHA-256 para mejorar la seguridad del servidor.
¿Necesito un registro de autorización de entidad de certificación con mi proveedor de DNS?
Actualmente no se requiere un registro de autorización de entidad de certificación. Pero si tiene uno, debe incluir DigiCert como entidad de certificación válida.
Limpieza de recursos
Para deshabilitar HTTPS en el dominio personalizado:
Deshabilitación de la característica HTTPS
En Azure Portal, vaya a la configuración de Azure Front Door.
Seleccione el dominio personalizado para el que quiera deshabilitar HTTPS.
Seleccione Deshabilitado y, luego, Guardar.
Esperar a la propagación
Después de deshabilitar la característica HTTPS del dominio personalizado, puede tardar hasta 6 a 8 horas para que surta efecto. Cuando termine, el estado de HTTPS personalizado en Azure Portal se establece en Deshabilitado.
Progreso de la operación
En la tabla siguiente se muestra el progreso de la operación al deshabilitar HTTPS:
| Progreso de la operación | Detalles de la operación |
|---|---|
| 1. Envío de la solicitud | Enviando la solicitud |
| 2. Desaprovisionamiento de certificados | Eliminación del certificado |
| 3. Completado | Certificado eliminado |