使用 Azure 入口網站，在 Azure Front Door 自訂網域上設定 HTTPS

當您使用自己的自訂網域時，Azure Front Door 預設會啟用安全的傳輸層安全性 (TLS) 來傳遞內容至應用程式。 若要深入了解自訂網域，包括自訂網域如何使用 HTTPS，請參閱 Azure Front Door 中的網域。

Azure Front Door 支援 Azure 受控憑證和客戶自控憑證。 在本文中，您會了解如何為 Azure Front Door 自訂網域設定這兩種類型的憑證。

先決條件

• Azure Front Door 設定檔。 如需詳細資訊，請參閱 快速入門：建立 Azure Front Door Standard/Premium。
• 自訂網域。 如果您沒有自定義網域，您必須先從網域提供者購買一個網域。 如需詳細資訊，請參閱購買自訂網域名稱。
• 如果您使用 Azure 來裝載 DNS 網域，則必須將網域提供者的網域名稱系統 (DNS) 委派給 Azure DNS。 如需詳細資訊，請參閱將網域委派給 Azure DNS。 否則，如果您使用網域提供者來處理 DNS 網域，您必須輸入提示的 DNS TXT 記錄，以手動驗證網域。

非 Azure 預先驗證網域的 Azure Front Door 受控憑證

如果您有自己的網域，且網域尚未與其他會預先驗證 Azure Front Door 網域的 Azure 服務相關聯，請遵循下列步驟：

1. 在 [設定]下，選取 Azure Front Door 設定檔的 [網域]。 接著，選取 [+ 新增] 以新增網域。

2. 在 [新增網域] 窗格上，輸入或選取下列資訊。 然後選取 [新增] 以將自訂網域上線。

   設定	值
   網域類型	選取 [非 Azure 預先驗證網域]。
   DNS 管理	選取 [Azure 受控 DNS (建議)]。
   DNS 區域	選取會裝載自訂網域的 Azure DNS 區域。
   自訂網域	選取現有的網域或新增網域。
   HTTPS	選取 [AFD 受控 (建議)]。

3. 遵循啟用自訂網域 (部分機器翻譯) 的步驟，驗證自訂網域並建立其與端點的關聯。

4. 在自訂網域成功與端點建立關聯之後，Azure Front Door 會產生憑證並加以部署。 此流程可能需要幾分鐘到一小時才會完成。

Azure 預先驗證網域的 Azure 受控憑證

如果您有自己的網域，且網域已與其他會預先驗證 Azure Front Door 網域的 Azure 服務相關聯，請遵循下列步驟：

1. 在 [設定]下，選取 Azure Front Door 設定檔的 [網域]。 接著，選取 [+ 新增] 以新增網域。

2. 在 [新增網域] 窗格上，輸入或選取下列資訊。 然後選取 [新增] 以將自訂網域上線。

   

   設定	值
   網域類型	選取 [Azure 預先驗證網域]。
   預先驗證的自訂網域	從 Azure 服務的下拉式清單中選取自訂網域名稱。
   HTTPS	選取 [Azure 受控]。

3. 遵循啟用自訂網域 (部分機器翻譯) 的步驟，驗證自訂網域並建立其與端點的關聯。

4. 在自訂網域成功與端點建立關聯之後，系統就會將 Azure Front Door 受控憑證部署至 Azure Front Door。 此流程可能需要幾分鐘到一小時才會完成。

使用您自己的憑證

您也可以選擇使用自己的 TLS 憑證。 您的 TLS 憑證必須符合特定需求。 如需詳細資訊，請參閱憑證需求。

準備金鑰保存庫和憑證

建立另一個 Azure Key Vault 執行個體，在其中儲存 Azure Front Door TLS 憑證。 如需詳細資訊，請參閱建立 Key Vault 執行個體。 若已有憑證，則可將其上傳至新的 Key Vault 執行個體。 否則，您可以透過其中一個憑證授權單位 (CA) 合作夥伴的 Key Vault 建立新的憑證。

目前有兩種方式可以驗證 Azure Front Door 以存取 Key Vault：

• 受控識別：Azure Front Door 會使用受控識別向 Key Vault 進行驗證。 建議使用此方法，因為此方法更安全，而且不需要您管理認證。 如需詳細資訊，請參閱在 Azure Front Door 中使用受控識別 (部分機器翻譯)。 如果您使用此方法，請跳至選取讓 Azure Front Door 進行部署的憑證。
• 應用程式註冊：Azure Front Door 會使用應用程式註冊向您的 Key Vault 進行驗證。 這個方法即將棄用，且未來將會淘汰。 如需詳細資訊，請參閱在 Azure Front Door 中使用應用程式註冊。

註冊 Azure Front Door

使用 Microsoft Graph PowerShell 或 Azure CLI，將 Azure Front Door 的服務主體註冊為 Microsoft Entra ID 的應用程式。

授與 Azure Front Door 存取您的金鑰保存庫

向 Azure Front Door 授與權限，使其能夠存取您特別為 Azure Front Door 建立的新 Key Vault 帳戶中的憑證。 您只需要提供憑證和秘密的 GET 權限，以便讓 Azure Front Door 能夠擷取憑證。

1. 在 Key Vault 帳戶中，選取 [存取原則]。

2. 選取 [新建] 或 [建立] 來建立新的存取原則。

3. 在 [祕密權限] 中選取 [取得]，以允許 Azure Front Door 擷取憑證。

4. 在 [憑證權限] 中選取 [取得]，以允許 Azure Front Door 擷取憑證。

5. 在 [選取主體] 中，搜尋 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8，然後選取 [Microsoft.AzureFrontDoor-Cdn]。 選取 [下一步] 。

6. 在 [應用程式] 中，選取 [下一步]。

7. 在 [檢閱 + 建立] 中，選取 [建立]。

Azure Front Door 現在可存取此金鑰保存庫及所含憑證。

選取讓 Azure Front Door 進行部署的憑證

1. 返回入口網站中的 Azure Front Door 標準/進階。

2. 在 [安全性] 底下，移至 [ 秘密] ，然後選取 [+ 新增憑證]。

3. 在 [新增憑證] 窗格上，選取您要新增至 Azure Front Door 標準/進階之憑證的核取方塊。

4. 當您選取憑證時，則必須選取憑證版本。 如果您選取 [最新]，每當憑證輪替 (更新) 時，Azure Front Door 就會自動更新。 如果您想要自行管理憑證輪替，則也可以選取特定的憑證版本。

   將版本選取項目保留為 [最新]，然後選取 [新增]。

5. 成功佈建憑證之後，您可以在新增自訂網域時加以使用。

6. 在 [設定] 底下，移至 [網域]，然後選取 [+ 新增] 以新增自訂網域。 在 [新增網域] 窗格上，針對 [HTTPS] 選取 [自備憑證 (BYOC)]。 針對 [祕密]，從下拉式清單中選取您想要使用的憑證。

   附註

   憑證的憑證名稱 (CN) 或主體別名 (SAN) 必須符合要新增的自訂網域。

   

7. 請依照畫面上的步驟驗證憑證。 然後，如設定自訂網域 (部分機器翻譯) 所述，將新建立的自訂網域與端點建立關聯。

在憑證類型之間切換

您可以使用 Azure Front Door 受控憑證或客戶管理的憑證來變更網域。 如需詳細資訊，請參閱 Azure Front Door 中的網域。

1. 選取憑證狀態以開啟 [憑證詳細資料] 窗格。

   

2. 在 [憑證詳細資料] 窗格上，您可以在 [Azure Front Door 受控] 與 [自備憑證 (BYOC)] 之間進行變更。

   如果您選取 [自備憑證 (BYOC)]，請遵循上述步驟來選取憑證。

3. 選取 [更新] 以變更與網域相關聯的憑證。

相關內容

• 使用 Azure Front Door 進行快取 (部分機器翻譯)
• Azure Front Door 中的自訂網域
• Azure Front Door 的端對端 TLS (部分機器翻譯)