Aggiungere un dominio personalizzato
Oltre al dominio predefinito incluso in un'istanza di PubSub Web di Azure, è possibile aggiungere un dominio personalizzato. Un dominio personalizzato è un nome di dominio di cui si è proprietari e gestiti. È possibile usare un dominio personalizzato per accedere alle risorse Web PubSub. Ad esempio, è possibile usare contoso.example.com invece di contoso.webpubsub.azure.com per accedere alle risorse.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Se non si ha un account Azure, è possibile creare un account gratuitamente.
- Una risorsa PubSub di Azure con un livello Premium minimo.
- Una risorsa di Azure Key Vault.
- Un certificato personalizzato che corrisponde a un dominio personalizzato archiviato in Azure Key Vault.
Aggiungere un certificato personalizzato
Prima di poter aggiungere un dominio personalizzato, aggiungere un certificato personalizzato corrispondente. Un certificato personalizzato è una risorsa dell'istanza di Web PubSub. Fa riferimento a un certificato nell'insieme di credenziali delle chiavi. Per motivi di sicurezza e conformità, Web PubSub non archivia definitivamente il certificato. Recupera invece il certificato dall'insieme di credenziali delle chiavi e lo mantiene in memoria.
Accedere all'insieme di credenziali delle chiavi usando un'identità gestita
Web PubSub di Azure usa un'identità gestita per accedere all'insieme di credenziali delle chiavi. Per autorizzare l'accesso, è necessario concedere le autorizzazioni.
Creare un'identità gestita
Nel portale di Azure passare alla risorsa Web PubSub.
Nel menu a sinistra selezionare Identità.
Selezionare il tipo di identità da usare: Assegnato dal sistema o Assegnato dall'utente. Per usare un'identità assegnata dall'utente, crearne prima una.
Per usare un'identità assegnata dal sistema:
Selezionare Attivato.
Seleziona Sì per confermare.
Seleziona Salva.
Per aggiungere un'identità assegnata dall'utente:
Selezionare Aggiungi identità gestita assegnata dall'utente.
Selezionare un'identità esistente.
Selezionare Aggiungi.
Seleziona Salva.
Concedere all'insieme di credenziali delle chiavi l'accesso all'identità gestita
A seconda della configurazione del modello di autorizzazioni di Azure Key Vault, potrebbe essere necessario concedere le autorizzazioni in posizioni diverse nel portale di Azure.
- Criteri di accesso insieme di credenziali delle chiavi
- Controllo degli accessi in base al ruolo di Azure
Se si usa un criterio di accesso predefinito dell'insieme di credenziali delle chiavi come modello di autorizzazioni dell'insieme di credenziali delle chiavi:
Nel portale di Azure andare all'insieme di credenziali delle chiavi.
Nel menu a sinistra selezionare Configurazione di accesso.
Selezionare Criteri di accesso all'insieme di credenziali.
Selezionare Vai ai criteri di accesso.
Seleziona Crea.
Nel riquadro Crea criteri di accesso selezionare la scheda Autorizzazioni.
Per Autorizzazioni segrete, selezionare Ottieni.
Per Autorizzazioni certificato, selezionare Ottieni.
Selezionare Avanti.
Cercare il nome della risorsa Web PubSub.
Selezionare Avanti.
Selezionare la scheda Applicazione e quindi selezionare Avanti.
Seleziona Crea.
Creare un certificato personalizzato
Nel portale di Azure passare alla risorsa Web PubSub.
Nel menu a sinistra selezionare Dominio personalizzato.
Nel riquadro Certificato personalizzato selezionare Aggiungi.
Immettere un nome per il certificato personalizzato.
Scegliere Seleziona dall'insieme di credenziali delle chiavi per scegliere un certificato dell'insieme di credenziali delle chiavi. Dopo aver selezionato un insieme di credenziali delle chiavi, i valori per l'URI di base dell'insieme di credenziali delle chiavi e il nome del segreto dell'insieme di credenziali delle chiavi vengono aggiunti automaticamente. È anche necessario scegliere di modificare questi campi manualmente.
(Facoltativo) Per aggiungere il certificato a una versione specifica, immettere un valore per Versione segreta dell'insieme di credenziali delle chiavi.
Selezionare Aggiungi.
Web PubSub recupera il certificato e ne convalida il contenuto. Quando la convalida del certificato ha esito positivo, lo stato del provisioning per il certificato è Completato.
Creare un dominio personalizzato CNAME
Per convalidare la proprietà del dominio personalizzato, creare un record CNAME per il dominio personalizzato e puntare al dominio predefinito della risorsa Web PubSub.
Ad esempio, se il dominio predefinito è contoso.webpubsub.azure.com e il dominio personalizzato è contoso.example.com, creare un record CNAME in example.com come in questo esempio:
contoso.example.com. 0 IN CNAME contoso.webpubsub.azure.com
Se si usa la zona DNS di Azure, per informazioni su come aggiungere un record CNAME, vedere Gestire i record DNS.
Se si usano altri provider DNS, seguire le indicazioni nella documentazione del provider per creare un record CNAME.
Aggiungere un dominio personalizzato a Web PubSub
Un dominio personalizzato è un'altra risorsa secondaria dell'istanza di Web PubSub. Contiene tutte le configurazioni necessarie per un dominio personalizzato.
Nel portale di Azure passare alla risorsa Web PubSub.
Nel menu a sinistra selezionare Dominio personalizzato.
Nel riquadro Dominio personalizzato selezionare Aggiungi.
Immettere un nome per il dominio personalizzato. Usare il nome della risorsa secondaria.
Immettere il nome di dominio. Usare il nome di dominio completo del dominio personalizzato, ad esempio
contoso.com.Selezionare un certificato personalizzato applicabile a questo dominio personalizzato.
Selezionare Aggiungi.
Verificare il dominio personalizzato
È ora possibile accedere all'endpoint Web PubSub usando il dominio personalizzato.
Per verificare il dominio, è possibile accedere all'API integrità. Negli esempi seguenti viene usato cURL.
PS C:\> curl.exe -v https://contoso.example.com/api/health
...
> GET /api/health HTTP/1.1
> Host: contoso.example.com
< HTTP/1.1 200 OK
...
PS C:\>
L'API Integrità deve restituire un codice di stato 200 senza errori del certificato.
Configurare un insieme di credenziali delle chiavi di rete privato
Se si configura un endpoint privato nell'insieme di credenziali delle chiavi, Web PubSub non può accedere all'insieme di credenziali delle chiavi usando una rete pubblica. È necessario configurare un endpoint privato condiviso per concedere a Web PubSub l'accesso all'insieme di credenziali delle chiavi tramite una rete privata.
Dopo aver creato un endpoint privato condiviso, è possibile creare un certificato personalizzato come di consueto. Non è necessario modificare il dominio nell'URI dell'insieme di credenziali delle chiavi. Ad esempio, se l'URI di base dell'insieme di credenziali delle chiavi è https://contoso.vault.azure.net, continuare a usare questo URI per configurare un certificato personalizzato.
Non è necessario consentire in modo esplicito gli indirizzi IP Web PubSub nelle impostazioni del firewall dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Diagnostica dei collegamenti privati dell'insieme di credenziali delle chiavi.
Ruotare il certificato
Se non si specifica una versione privata quando si crea un certificato personalizzato, Web PubSub controlla periodicamente la versione più recente nell'insieme di credenziali delle chiavi. Quando viene rilevata una nuova versione, viene applicata automaticamente. Il ritardo è in genere inferiore a un'ora.
In alternativa, è possibile aggiungere un certificato personalizzato a una versione privata specifica nell'insieme di credenziali delle chiavi. Quando è necessario applicare un nuovo certificato, è possibile modificare la versione del segreto e quindi aggiornare il certificato personalizzato in modo proattivo.