Безопасно ли привязывать CERT к имени хоста администратора трафика Azure (перед службой приложения только HTTPS)?

Question

Скажем, у меня есть две службы приложений (включен только HTTPS):

https://myapp1.azurewebsites.net
https://myapp2.azurewebsites.net

Я могу успешно вызывать обе конечные точки службы приложений, используя HTTPS.

Затем я создал диспетчер трафика и добавил к диспетчеру трафика выше двух конечных точек, скажем:

myapps.trafficmanager.net

После создания диспетчера трафика и добавления конечной точки имя хоста Trafficmanger myapps.trafficmanager.net также автоматически добавляется в настраиваемые домены двух служб приложений. Но без привязки SSL к имени хоста диспетчера трафика.

Тогда, если я вызову конечную точку диспетчера трафика с использованием HTTPS: https://myapps.trafficmanager.net, Я получу недоверенную ошибку / предупреждение сертификата SSL. Это ожидается.

Поскольку диспетчер трафика работает только на уровне DNS, реальный запрос фактически отправляется конечной точке службы приложения, которая имеет правильную привязку сертификата SSL. Мой вопрос:

С точки зрения безопасности, безопасно ли в моем коде вызывать конечную точку диспетчера трафика без привязки с использованием HTTPS (скажем, с помощью .NET HttpClient) , но просто игнорировать ошибку сертификата?

Answer 1

Нет необходимости связывать сертификат с диспетчером трафика, так как сертификат сервера не проверяется при использовании зондов работоспособности диспетчера трафика через HTTPS.Более того, диспетчер трафика работает на уровне DNS.Клиенты подключаются напрямую к выбранной конечной точке, а не через Traffic Manager.

В этом случае вы можете использовать HTTPS для конечных точек и использовать датчик работоспособности через HTTPS.Даже если вы не можете связать сертификат с диспетчером трафика, вы можете убедиться, что порт мониторинга настроен правильно в Traffic Manager (например, 443 вместо 80), а также ваш путь мониторинга указывает на допустимую страницу для вашей службы.

Другой ответ SO объясняет это более подробно.Если вы все еще хотите, чтобы это предупреждение исчезло, вы можете получить бесплатный SSL с letsencrypt.org и добавить его в свой пользовательский домен с помощью *.trafficmanager.net.

Answer 2

Недавно я также установил один из них и немного поборолся с ним. Краткий ответ: это, вероятно, безопасно, но, похоже, вы неправильно используете Traffic Manager. Вы не должны использовать URL в Traffic Manager в качестве конечной точки, если вы хотите использовать SSL. Вместо этого настройте свое доменное имя, mycoolsite.com, чтобы указать myapps.trafficmanager.net, используя запись DNS CNAME.

Если вы хотите использовать SSL и один URL-адрес, вы должны настроить пользовательский URL-адрес и установить сертификат SSL на уровне обслуживания. Это должен быть один и тот же пользовательский URL в обеих службах приложения. Это должно быть настроено в службе приложения, , а не в диспетчере трафика .

Мне пришлось несколько раз прочитать это , чтобы понять, как это работает под капотом, но это было полезно.

Итак, в общем, для правильной настройки выполните следующие шаги:

1. Настройка пользовательского домена / домена тщеславия в обеих службах приложения
2. Установить сертификат SSL в обеих службах приложения
3. Настройка и настройка Traffic Manager
4. Укажите настраиваемый URL-адрес для менеджера трафика с помощью записи CNAME в DNS