使用 Azure 托管证书时如何处理裸域

Question

我正在尝试将最近发布的（预览版）托管证书用于 Azure 应用服务。限制之一是您无法为裸域获得一个。例如：您可以为 www.domain.com 获得一个，但不是 domain.com。

在我的（当前）web.config 中，无论如何我都会使用重写规则从“naked”重定向到“www”，因此限制为“www”并不是真正的问题。但是，由于重定向发生在 web.config 级别，即在请求到达网络服务器之后，为时已晚：当“domain.com”被命中并尝试重定向时，浏览器已经看到了不安全的连接到裸域（取决于浏览器）将显示警告页面。

那么应该如何处理“裸”域？没有更多的重定向？或者除了 web.config 配置之外还有其他方法可以做到这一点吗？我确实看过，但没有找到任何东西。

Answer 1

添加到 Jack 的建议中。

目前，预览版仅支持基于 CNAME 的验证。感谢您的反馈，它在我们考虑的未来改进列表中，但是我们还没有任何 ETA。因此，请您对 Uservoice 上的此反馈帖子进行投票 - https://feedback.azure.com/forums/169385-web-apps/suggestions/38981932-add-naked-domain-support-to-app-service-managed-ce

或者，您可以尝试将顶级域转发到子域，例如 www。

所以根据您的要求，重定向 - https://yourdomain.com -> https://www.yourdomain.com

如果您使用的是应用服务域，您可以通过转到域资源的“高级管理门户”来转发您的域。

Answer 2

所以，经过 长时间 时间，Azure 终于支持了这一点。可以简单地将托管证书用于裸域。

请看这里：https://azure.github.io/AppService/2021/03/02/asmc-apex-domain.html

Answer 3

在这种情况下，我认为重定向是必要的。

我们可以从其他国际网站获得一些线索。例如：当我尝试访问http://google.com 时，实际上我会得到一个301 重定向，将我重定向到http://www.google.com，然后我会得到一个302 重定向，将我重定向到https://www.google.com/?gws_rd=ssl

因此，托管证书不支持裸域。我建议您直接将您的 www 子域添加到您的网络应用程序中。然后为该 www 子域创建托管证书。

最后，您可以在您的 DNS 提供商中添加 301 和 302 重定向规则，这将确保对裸域的所有请求都将重定向到 www 子域。这可以在您的网络应用程序之前在您的 DNS 提供商中完成。

Answer 4

所以在尝试了一段时间后，我最终解决了这个问题： - 对所有 hostname.Domain.tld 名称使用托管域证书 - 使用letsencrypt脚本（来自扩展）获取裸域的证书

一旦 azure 为裸域提供证书，我将停用该脚本。