Hướng dẫn này sẽ hướng dẫn bạn qua quy trình cài đặt chứng chỉ trên Ứng dụng web Microsoft Azure. Các chứng chỉ SSL có thể được tải về thong qua email từ Certificate Authority; cần chuyển đổi sang định dạng PKCS # 12 (PFX) có chứa khóa riêng. Các cách để chuyển đổi chứng chỉ SSL được mô tả bên dưới. Quá trình có thể khác nhau tùy thuộc vào cách bạn lấy mã CSR được sử dụng để kích hoạt chứng chỉ .
Lưu ý: Việc cài đặt chứng chỉ được cho phép bắt đầu từ gói Basic App Service. Không thể sử dụng chứng chỉ SSL tùy chỉnh với gói Miễn phí hoặc Chia sẻ .. Bạn có thể tìm thêm chi tiết tại đây .
Nếu bạn đã tạo mã CSR trên máy chủ Windows của mình, cần thực hiện các bước sau để nhận tệp PFX:
- Hoàn thành yêu cầu chứng chỉ thông qua bảng điều khiển quản lý IIS .
- Xuất tệp PFX bằng bàn điều khiển quản lý MMC hoặc IIS. Cả hai tùy chọn được mô tả ở đây .
Trong trường hợp bạn có chứng chỉ SSL, khóa riêng và gói CA trong các tệp riêng biệt ở định dạng PEM, chúng có thể được chuyển đổi thành PFX (định dạng PKCS # 12) theo hai cách:
- Sử dụng công cụ trực tuyến này .
- Sử dụng lệnh OpenSSL nếu bạn có thiết bị đầu cuối dựa trên Linux:
openssl pkcs12 -export -out cert.pfx -inkey privatekey.key -in cert.crt -certfile CA_bundle.crt
Sau khi chuyển đổi thành công, tệp PFX phải được tải lên cổng thông tin Azure để gán tệp đó cho Ứng dụng web của bạn:
Các bước bên dưới mô tả quá trình định cấu hình kết nối HTTPS trên miền của bạn:
- Truy cập Dịch vụ ứng dụng, chọn tên Ứng dụng của bạn và nhấp vào chứng chỉ SSL trong phần Cài đặt:
- Chứng chỉ SSL sẽ xuất hiện trong danh sách. Bước tiếp theo là đặt ràng buộc cho tên miền bạn muốn bảo mật bằng chứng chỉ SSL. Nhấp vào “Add binding” buộc để tiến hành:
- Trên bảng “Add binding” , chọn tên miền bạn muốn bảo mật. Bạn phải chọn sử dụng Chỉ định Tên Máy chủ (SNI) hoặc SSL dựa trên IP. Nhấp vào nút “Add binding’” để hoàn tất quy trình:
Lưu ý: SSL dựa trên IP sẽ gán địa chỉ IP công cộng của máy chủ của bạn cho tên miền. Nếu bạn muốn tiếp tục với tùy chọn này, nó sẽ được yêu cầu phải có một địa chỉ IP dành riêng cho mỗi tên miền của bạn.
Tùy chọn SNI SSL cho phép lưu trữ nhiều tên miền trên cùng một địa chỉ IP với chứng chỉ riêng được sử dụng cho mỗi tên miền. Hầu hết các trình duyệt hiện đại (bao gồm Internet Explorer, Chrome, Firefox và Opera) đều hỗ trợ SNI; tuy nhiên, các trình duyệt cũ hơn như Internet Explorer 6, Mozilla Firefox 2.0 hoặc cũ hơn có thể không hỗ trợ nó.
Nếu bạn đã sử dụng bản ghi A để trỏ tên miền tùy chỉnh vào ứng dụng Azure của mình và bạn vừa thêm một ràng buộc SSL dựa trên IP, thì bắt buộc phải cập nhật bản ghi A hiện có trong cài đặt DNS miền với địa chỉ IP mới được gán cho lĩnh vực.
Địa chỉ IP mới có thể được tìm thấy trên trang Custom domain trong cài đặt của ứng dụng của bạn, ngay phía trên phần Hostnames. Nó được liệt kê là External IP Address.
Xin chúc mừng! Chứng chỉ hiện được cài đặt trên máy chủ. Bạn có thể truy cập trang web của mình một cách an toàn bằng cách thêm giao thức https: // phía trước tên miền: https: // <your_domain>.
Cài đặt chứng chỉ cũng có thể được xác minh với sự trợ giúp của lệnh OpenSSL được cung cấp dưới đây. Nó nên liệt kê chuỗi tất cả các chứng chỉ:
openssl s_client -showcerts -connect <your_domain>: 443 -servername <your_domain> -showcerts
Ngoài ra, hãy sử dụng trình kiểm tra SSL trực tuyến này .
Nếu chứng chỉ được cài đặt chính xác, kết quả sẽ được hiển thị như sau:
Thực thi HTTPS cho ứng dụng web Azure
Để đặt chuyển hướng HTTPS tự động thành kết nối an toàn, người ta cần thêm quy tắc chuyển hướng đặc biệt vào tệp .web.config. Theo mặc định, nó nằm trong thư mục sau: D: \ home \ site \ wwwroot . Có thể sửa đổi tệp thông qua bảng điều khiển gỡ lỗi Kudu cho ứng dụng của bạn tại https: // <appname> .scm.azurewebsites.net / DebugConsole .
Quy tắc viết lại phải được thêm vào giữa các thẻ<rules> </rules>:
<rule name=”Force HTTPS” enabled=”true”>
<match url=”(.*)” ignoreCase=”false” />
<conditions>
<add input=”{HTTPS}” pattern=”off” />
</conditions>
<action type=”Redirect” url=”https://{HTTP_HOST}/{R:1}” appendQueryString=”true” redirectType=”Permanent” />
</rule>
Sau khi chuyển hướng được áp dụng, bất kỳ ai truy cập example.com hoặc www.example.com trong trình duyệt sẽ được tự động chuyển hướng đến https://example.com.