问题标签 [azure-custom-domain]

我在前门后面的 Azure 中有一个应用程序功能。前门使用自定义域，该域具有与我们的 DNS 提供商一起设置的 CNAME 记录。

该应用程序在您访问时使用 MS 身份验证。

发生的情况是，当我访问前门的 URL ( https://website.domain.com ) 时，它会按预期将您定向到登录页面，我登录然后定向到应用程序。一切都很好，但不是显示和来自原始 URL，而是将我推送到 azurewebsites.net URL。我们将通过前门进行 API 调用，并且需要来自自定义域 URL 的回复。

作为测试，我在同一个前门中设置了一个没有身份验证的应用程序功能，并且它的行为符合预期（应用程序功能继续使用前门的自定义域）。

我试图在应用程序上设置一个自定义域 - 没有骰子。我尝试更改前门后端的标题 - 这使得对应用程序的访问完全停止。我尝试将 post_login_redirect_url 添加到应用程序配置并将其指向自定义域 URL - 没有骰子。

必须有办法让这个工作？有没有人成功地管理这个？谢谢。

我们确实在 azure 上托管了多租户应用程序，我们考虑使用通配符域，因为应用程序服务可以包含的子域数量有限制（目前为 500），并且我能够添加通配符域并附加到应用程序服务.

现在我们关心的是，它允许任何以“.oursize.com”结尾的域，至少是网站的登陆页面。

假设我们要求客户 A 使用 as.oursite.com，如果他们拼写错误并使用 ap.oursite.com，他们仍然可以访问它并尝试登录并最终出现错误。

那么，有什么办法可以为子域添加限制吗？在应用服务级别仅允许某些域或在流量管理器级别或负载均衡器级别？

我需要在单个应用服务中添加 100 多个自定义域。有没有办法一次性添加所有自定义域，而不是在应用服务中一个一个添加？

我可以使用 Azure 管理 REST API 将自定义域添加到我的 Azure 应用服务。我还需要通过将应用托管证书添加到我的应用服务来保护该自定义域。

我可以添加域，但是当我尝试 PUT 应用程序托管证书时，我收到 response message 404 - Not Found。

我最初关注的是https://docs.microsoft.com/en-us/answers/questions/491924/creating-app-service-managed-certificates-via-api.html，它的 api 版本为 2019-08-01 ，但后来我发现https://docs.microsoft.com/en-us/rest/api/appservice/certificates/create-or-update的 api 版本为 2021-02-01。

我对serverFarm AppServicePlanName.

注意(B1: 1). 不确定这是否是应用服务名称的一部分。我试过有无。这似乎没有什么不同。

以下是相关值：

为什么我会收到 404 Not Found？有人有想法么？

编辑：分享答案

我解决了这个问题。显然，应用服务计划名称有 2 个不同版本。我认为这只是为了使事情过于复杂。当我创建域时，这不是问题。这只是为域创建证书时的一个问题。创建证书时，您必须在 serverFarm 中使用这两个版本的应用服务计划名称。查看我的应用服务计划的屏幕截图：

这是 serverFarm Id 的正确版本：

在 /resourceGroups 之后，将我突出显示的那个放在黄色中。在服务器农场放另一个之后，没有（B1：1）。

我可以使用 Azure 管理 REST API 创建自定义域，并且可以创建与自定义域关联的应用服务托管证书（我认为）。也许不吧。但是，在我的应用服务的自定义域下，它表明我需要添加一个绑定。

这是证书：

我使用第一个端点创建自定义域，使用第二个端点创建证书。我不确定如何将证书绑定到自定义域。由于我将 serverFarm 包含在请求正文中，因此我希望创建证书的调用可以为我执行此操作，但它不起作用。

我想使用 Azure 管理 API 将证书绑定到自定义域。我怎样才能做到这一点？我应该使用哪个端点以及需要在请求正文中设置哪些值？

任何帮助，将不胜感激。谢谢。

有关我的完整代码参考，请参阅我的另一篇文章： C# .Net Azure Management REST API - Add App Service Managed Certificate - Response = Not Found

编辑：显示完整的答案

当我尝试使用用户分配的托管标识从 Azure Key Vault 为我的 API 管理实例获取自定义 TLS/SSL 证书时遇到问题，如下所述：获取 API 管理实例的自定义 TLS/SSL 证书从 Azure Key Vault。与文档的不同之处在于我的 Key Vault 启用了网络访问规则。特别是用户分配的托管标识和密钥保管库的防火墙的组合很麻烦。

脚步：

1. 为 APIM 创建 vnet + 子网
2. 创建用户分配的托管标识
3. 创建密钥保管库。允许从 APIM 的子网进行网络访问，并为用户分配的托管身份的机密创建 GET/LIST 访问策略
4. 生成自签名证书并将其导入密钥保管库
5. 部署 APIM（开发人员 SKU，内部 vnet 模式，具有用户分配的托管标识，使用来自密钥库的 ssl 证书的自定义主机名配置）

错误

这会导致以下错误消息。该消息具有误导性，因为给定的身份确实具有 GET 权限。

Failed to access KeyVault Secret https://kv-xxx.vault.azure.net/secrets/gateway-certificate/58542d0de4094c60856f97482a9b2e69 using Managed Service Identity (http://aka.ms/apimmsi) of Api Management service. Check if Managed Identity of Type: UserAssigned, ClientId: 2fa6db22-xxxx-xxxx-xxxx-xxxxxxxxxxxx and ObjectId: 91f8fa07-xxxx-xxxx-xxxx-xxxxxxxxxxxx has GET permissions on secrets in the KeyVault Access Policies.

成功场景

如前所述，似乎特别是用户分配的托管身份和具有网络访问规则的密钥库的这种组合很麻烦。以下确实有效：

• 系统分配的托管标识 + 密钥保管库上的防火墙
• 用户分配的托管标识 + 密钥保管库上没有防火墙

部署

我使用 Bicep 部署我的资源，但我通过 Portal 遇到了同样的问题。

APIM 的二头肌模块：

链接：

• https://github.com/MicrosoftDocs/azure-docs/issues/86983
• https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-integrate-internal-vnet-appgateway#set-up-custom-domain-names-in-api-management
• https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-use-managed-service-identity#use-ssl-tls-certificate-from-azure-key-vault- UA

我原来的 web 应用的 URL 工作正常，但是我想使用自定义域，所以我申请了 Azure SSL 证书、Key Vault、自定义域。设置好后，在Edge、Chrome上执行网页，出现下图错误。我该如何调试如果您需要更多信息，请告诉我。