我有一个 Azure 应用服务,它将在生产中具有自定义域和 SSL 绑定(bind)。通常,我会首先为域颁发证书,使用给定域的基于 IP 的绑定(bind)绑定(bind)到应用服务,然后在知道 Azure 绑定(bind)的 IP 地址后根据需要更新 DNS 条目。
我的客户将颁发证书,他们不会这样做,直到他们知道将用于 SSL 绑定(bind)的确切入站 IP 地址,但我不相信我可以知道这个 IP,直到我知道实际上创建了绑定(bind)(需要证书!),所以这是一个令人讨厌的先有鸡还是先有蛋的情况。
在需要证书之前,是否有办法为此目的在 Azure 中保留静态入站 IP 地址?或者我是否需要在应用服务前面使用某种网关,或者我没有想到的其他解决方案?
最佳答案
不知道为什么您的客户在知道确切的入站 IP 地址之前不想颁发证书,除非他们试图 have an SSL certificate for the IP address not for the domain name .
如果没有,要为 Web 应用程序获取保留或专用的入站 IP 地址,您可以以较低的成本轻松安装和配置基于 IP 的 TLS/SSL 证书。然后,如果 IP 地址更新,您只需在 DNS 提供商中使用新的 IP 地址更新 A 记录即可。
对于其他选择,您可以使用 isolated and dedicated environment为您的应用程序服务计划或在应用程序网关 V2 SKU 后面设置应用程序服务。查看如何Configure App Service with Application Gateway 。您还可以启用end-to-end TLS by using Application Gateway 。无论选择哪一种,成本都较高,配置也比较复杂。
关于azure - 为 Azure 应用服务自定义域 SSL 绑定(bind)保留公共(public)入站 IP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64906870/