Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : ✔️ Front Door (classique)
Important
- À compter du 15 août 2025, Azure Front Door (classique) ne prendra plus en charge la nouvelle intégration de domaine. Migrez vers AFD Standard et Premium pour créer de nouveaux domaines ou profils et éviter toute interruption de service. En savoir plus
- À compter du 15 août 2025, Azure Front Door (classique) ne prendra plus en charge les certificats managés. Pour éviter toute interruption de service, basculez vers BYOC (Bring Your Own Certificate) ou migrez vers AFD Standard et Premium d’ici le 15 août 2025. Les certificats managés existants seront renouvelés automatiquement avant le 15 août 2025 et restent valides jusqu’au 14 avril 2026. En savoir plus
- Azure Front Door (classique) sera mis hors service le 31 mars 2027. Pour éviter toute interruption de service, migrez vers AFD Standard ou Premium. En savoir plus.
Cet article explique comment activer HTTPS pour un domaine personnalisé associé à votre instance Front Door (classique). L’utilisation de HTTPS sur votre domaine personnalisé (par exemple https://www.contoso.com) garantit une transmission sécurisée des données via le chiffrement TLS/SSL. Quand un navigateur web se connecte à un site web en utilisant HTTPS, il valide le certificat de sécurité du site web et vérifie sa légitimité, ce qui assure la sécurité et protège vos applications web contre les attaques malveillantes.
Azure Front Door prend en charge HTTPS par défaut sur son nom d’hôte par défaut (par exemple, https://contoso.azurefd.net). Cependant, vous devez activer HTTPS séparément pour les domaines personnalisés, comme www.contoso.com.
Voici des attributs clés de la fonctionnalité HTTPS personnalisée :
- Pas de coût supplémentaire : aucun coût pour l’acquisition de certificat, le renouvellement ou le trafic HTTPS.
- Activation simple : approvisionnement en une seule sélection via le portail Azure, l’API REST ou d’autres outils de développement.
- Gestion complète des certificats : approvisionnement et renouvellement automatiques des certificats, éliminant ainsi le risque d’interruption du service en raison de certificats expirés.
Ce didacticiel vous apprend à effectuer les opérations suivantes :
- Activer HTTPS sur votre domaine personnalisé.
- Utiliser un certificat géré par AFD.
- Utiliser votre propre certificat TLS/SSL.
- valider le domaine ;
- Désactiver HTTPS sur votre domaine personnalisé.
Prerequisites
Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
Azure Front Door avec au moins un domaine personnalisé intégré. Pour plus d’informations, consultez Didacticiel : Ajouter un domaine personnalisé à votre Front Door.
Azure Cloud Shell ou Azure PowerShell pour inscrire le principal du service Front Door dans votre instance Microsoft Entra ID quand vous utilisez votre propre certificat.
Les étapes décrites dans cet article exécutent les applets de commande Azure PowerShell de manière interactive dans Azure Cloud Shell. Pour exécuter les cmdlets dans le Cloud Shell, sélectionnez Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Sélectionnez Copier pour copier le code, puis collez-le dans Cloud Shell pour l’exécuter. Vous pouvez également exécuter le Cloud Shell à partir du Portail Azure.
Vous pouvez également installer Azure PowerShell localement pour exécuter les applets de commande. Si vous exécutez PowerShell localement, connectez-vous à Azure avec la cmdlet Connect-AzAccount.
Certificats TLS/SSL
Pour activer HTTPS sur un domaine personnalisé Front Door (classique), vous avez besoin d’un certificat TLS/SSL. Vous pouvez utiliser un certificat géré par Azure Front Door ou votre propre certificat.
Option 1 (valeur par défaut) : utiliser un certificat géré par Front Door
L’utilisation d’un certificat managé par Azure Front Door Classique vous permet d’activer le protocole HTTPS avec quelques modifications de paramètres. Azure Front Door Classique gère toutes les tâches de gestion des certificats, notamment l’approvisionnement et le renouvellement. Cela est pris en charge pour les domaines personnalisés avec un CNAME direct vers un point de terminaison Azure Front Door Classique.
Important
- Depuis le 8 mai 2025, DigiCert ne prend plus en charge la méthode de validation de domaine basée sur WHOIS. Si votre domaine utilise un mappage CNAME indirect vers un point de terminaison Azure Front Door Classique, vous devez utiliser la fonctionnalité Apportez votre propre certificat (BYOC).
- En raison des modifications apportées à la validation de domaine basée sur WHOIS, les certificats managés émis à l’aide de la validation de domaine basée sur WHOIS ne peuvent pas être automatiquement renouvelés tant que vous n’avez pas un CNAME direct pointant vers Azure Front Door Classique.
- Les certificats managés ne sont pas disponibles pour les domaines racine ou apex (par exemple,
contoso.com). Si votre domaine personnalisé Azure Front Door Classique est un domaine racine ou apex, vous devez utiliser la fonctionnalité Apportez votre propre certificat (BYOC). - Le renouvellement automatique de certificat managé nécessite que votre domaine personnalisé soit directement mappé à votre point de terminaison Azure Front Door Classique à l’aide d’un enregistrement CNAME.
Pour activer HTTPS sur un domaine personnalisé :
Dans le portail Azure, accédez à votre profil Front Door.
Sélectionnez le domaine personnalisé pour lequel vous voulez activer HTTPS dans la liste des hôtes front-ends.
Sous HTTPS sur un domaine personnalisé, sélectionnez Activé, puis choisissez Porte d’entrée managée comme source du certificat.
Cliquez sur Enregistrer.
Faites Valider le domaine.
Note
- La limite de 64 caractères de DigiCert est appliquée pour les certificats gérés par Azure Front Door. La validation échoue si cette limite est dépassée.
- L’activation du protocole HTTPS via un certificat managé Front Door n’est pas prise en charge pour les domaines apex/racine (par exemple, contoso.com). Utilisez votre propre certificat pour ce scénario (voir Option 2).
Option 2 : utiliser votre propre certificat
Vous pouvez utiliser votre propre certificat via une intégration à Azure Key Vault. Vérifiez que votre certificat provient d’une liste d’autorités de certification approuvées par Microsoft et qu’il a une chaîne de certificats complète.
Préparer votre coffre de clés et certificat
- Créez un compte Key Vault dans le même abonnement Azure que votre instance Front Door.
- Configurez votre coffre de clés pour autoriser les services Microsoft approuvés à contourner le pare-feu si des restrictions d’accès réseau sont activées.
- Utilisez le modèle d’autorisation de la stratégie d’accès Key Vault.
- Chargez votre certificat en tant qu’objet de certificat, et non pas en tant que secret.
Note
Front Door ne prend pas en charge les certificats avec des algorithmes de chiffrement de courbe elliptique (EC). Le certificat doit avoir une chaîne de certificats complète avec des certificats feuille et intermédiaires, et l’autorité de certification racine doit faire partie de la liste des autorités de certification de confiance Microsoft.
Inscrire Azure Front Door
Inscrivez le principal du service Azure Front Door dans votre instance Microsoft Entra ID en utilisant Azure PowerShell ou Azure CLI.
Utilisez la cmdlet New-AzADServicePrincipal pour inscrire le principal du service Front Door dans votre instance Microsoft Entra ID.
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
Accorder à Azure Front Door l’accès à votre coffre de clés
Dans votre compte Key Vault, sélectionnez Stratégies d’accès.
Sélectionnez Créer pour créer une stratégie d’accès.
Dans Autorisations du secret, sélectionnez Obtenir.
Dans Autorisations de certificat, sélectionnez Obtenir.
Dans Sélectionner le principal, recherchez ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037, puis sélectionnez Microsoft.Azure.Frontdoor. Cliquez sur Suivant.
Sélectionnez Suivant dans Application.
Sélectionnez Créer dans Vérifier et créer.
Note
Si votre coffre de clés a des restrictions d’accès réseau, autorisez les services Microsoft approuvés à accéder à votre coffre de clés.
Sélectionner le certificat à déployer pour Azure Front Door
Revenez à votre porte d’entrée sur le portail.
Sélectionnez le domaine personnalisé pour lequel vous voulez activer HTTPS.
Sous Type de gestion de certificats, sélectionnez Utiliser mon propre certificat.
Sélectionnez un coffre de clés, un secret et une version de secret.
Note
Pour activer la rotation automatique des certificats, définissez la version du secret sur « Plus récent(e) ». Si une version spécifique est sélectionnée, vous devez la mettre à jour manuellement pour la rotation des certificats.
Warning
Vérifiez que votre principal de service dispose de l’autorisation GET sur le coffre de clés. Pour voir le certificat dans la liste déroulante du portail, votre compte d’utilisateur doit disposer des autorisations LIST et GET sur le coffre de clés.
Si vous utilisez votre propre certificat, la validation du domaine n’est pas nécessaire. Passez à En attente de la propagation.
Valider le domaine
Si votre enregistrement CNAME existe toujours et ne contient pas le afdverify sous-domaine, DigiCert valide automatiquement la propriété de votre domaine personnalisé.
Votre enregistrement CNAME doit respecter le format suivant :
| Name | Type | Value |
|---|---|---|
| <www.contoso.com> | CNAME | contoso.azurefd.net |
Pour plus d’informations sur les enregistrements CNAME, consultez Create the CNAME DNS record (Créer l’enregistrement DNS CNAME).
Si le format de votre enregistrement CNAME est correct, DigiCert vérifie automatiquement le nom de votre domaine personnalisé et crée un certificat pour votre domaine. Le certificat est valide pendant un an et est automatiquement renouvelé avant son expiration. La validation automatique prend généralement quelques heures. Si votre domaine n’est pas validé dans les 24 heures, ouvrez un ticket de support.
Passez à En attente de la propagation.
Note
Si vous avez un enregistrement CAA (Certificate Authority Authorization) auprès de votre fournisseur DNS, il doit inclure DigiCert en tant qu’autorité de certification valide. Pour plus d’informations, consultez Gérer les enregistrements CAA.
En attente de la propagation
Une fois le domaine validé, l’activation de la fonctionnalité HTTPS sur un domaine personnalisé peut prendre jusqu’à 6 à 8 heures. Une fois le processus terminé, l’état de HTTPS personnalisé dans le portail Azure est défini sur Activé.
Progression de l’opération
Le tableau suivant montre le déroulement de l’opération lors de l’activation de HTTPS :
| Étape de l’opération | Détails de la sous-étape de l’opération |
|---|---|
| 1. Envoi d’une requête | Envoi d’une demande |
| Votre requête HTTPS est en cours de soumission. | |
| Votre requête HTTPS a été envoyée avec succès. | |
| 2. Validation du domaine | Le domaine est validé automatiquement si l’enregistrement CNAME a été mappé à l’hôte front-end .azurefd.net par défaut. |
| La propriété du domaine a été validée avec succès. | |
| La demande de validation de la propriété du domaine a expiré (le client n’a probablement pas répondu dans les 6 jours). HTTPS n’est pas activé sur votre domaine. * | |
| Requête de validation de propriété de domaine rejetée par le client. HTTPS n’est pas activé sur votre domaine. * | |
| 3. Approvisionnement de certificats | L’autorité de certification émet le certificat nécessaire pour activer HTTPS sur votre domaine. |
| Le certificat a été émis et son déploiement est en cours pour instance Front Door. Ce processus peut prendre de quelques minutes à une heure. | |
| Le certificat a été déployé avec succès pour votre instance Front Door. | |
| 4. Terminer | HTTPS a été activé avec succès sur votre domaine. |
* Ce message s’affiche seulement si une erreur se produit.
Si une erreur survient avant la soumission de la requête, le message d’erreur suivant s’affiche :
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Forum aux questions
Qui est le fournisseur de certificats et quel est le type de certificat utilisé ?
Un certificat dédié/unique, fourni par DigiCert, est utilisé pour votre domaine personnalisé.
Utilisez-vous TLS/SSL SNI ou un protocole IP ?
Azure Front Door utilise TLS/SSL SNI.
Que se passe-t-il si je ne reçois pas l’e-mail de vérification de domaine de DigiCert ?
Si vous avez une entrée CNAME pour votre domaine personnalisé qui pointe directement vers le nom d’hôte de votre point de terminaison et si vous n’utilisez pas le nom de sous-domaine afdverify, vous ne recevez pas d’e-mail de vérification du domaine. La validation se fait automatiquement. Autrement, si vous n’avez pas d’entrée CNAME et si vous n’avez pas reçu d’e-mail dans les 24 heures, contactez le support Microsoft.
Un certificat SAN est-il moins sécurisé qu’un certificat dédié ?
Un certificat SAN suit les mêmes normes de sécurité et de chiffrement qu’un certificat dédié. Tous les certificats TLS/SSL émis utilisent la norme SHA-256 pour une sécurité améliorée du serveur.
Ai-je besoin d’un enregistrement CAA (Certificate Authority Authorization) auprès de mon fournisseur DNS ?
Non, un enregistrement CAA n’est pas obligatoire pour l’instant. Toutefois, si vous en avez un, il doit inclure DigiCert en tant qu’autorité de certification valide.
Nettoyer les ressources
Pour désactiver HTTPS sur votre domaine personnalisé :
Désactiver la fonctionnalité HTTPS
Dans le portail Azure, accédez à votre configuration Azure Front Door.
Sélectionnez le domaine personnalisé pour lequel vous voulez désactiver HTTPS.
Sélectionnez Désactivé, puis Enregistrer.
En attente de la propagation
Après la désactivation de la fonctionnalité HTTPS sur un domaine personnalisé, il peut s’écouler jusqu’à 6 à 8 heures avant que cette modification soit effective. Une fois le processus terminé, l’état de HTTPS personnalisé dans le portail Azure est défini sur Désactivé.
Progression de l’opération
Le tableau suivant montre le déroulement de l’opération lors de la désactivation de HTTPS :
| Progression de l’opération | Détails de l’opération |
|---|---|
| 1. Envoi d’une requête | Envoi de la requête |
| 2. Déprovisionnement du certificat | Suppression d’un certificat |
| 3. Terminer | Certificat supprimé |