天青前门与定制领域

Question

我试图配置一个自定义域与Azure前门高级，因为它是唯一一个允许我有一个自定义域。

主要问题是证书。我有自己的SSL证书。Azure前门高级允许只从Azure密钥库中选择SSL证书。因此，我创建了一个，并添加了证书。很好。当我尝试用这个屏幕添加新域时

​

​

我可以从列表中选择一个秘密。为了增加一个证书，现在我必须添加一个秘密在Azure前门从Azure密钥库。因此，我打开秘密，选择证书并单击Add。

​

​

不幸的是，我遇到了一个错误

未能创建秘密‘azuksch-CelloSSL-最新’。错误:我们没有权限访问这个秘密。转到您的密钥库帐户中的“访问策略”，以授予Microsoft.AzureFrontDoor-Cdn获取秘密的权限。

在Microsoft文档之后，我必须使用以下命令将Azure前门添加到Azure Active Directory中

az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 --role Contributor

但命令不起作用。我必须删除命令的最后一部分，因为role是不被识别的。

​

​

所以，我跑

az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

但是当我试图在Azure前门添加秘密的时候，我也有同样的问题。我搜索了一下，我发现我不得不运行另一个命令以获得Azure前门溢价

az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8

​

​

并为所有三个下拉列表选择所有选项。现在，我有很多访问策略

​

​

结果:我总是犯同样的错误。

未能创建秘密‘azuksch-CelloSSL-最新’。错误:我们没有权限访问这个秘密。转到您的密钥库帐户中的“访问策略”，以授予Microsoft.AzureFrontDoor-Cdn获取秘密的权限。

我能修好它吗？

Answer 1

您最初使用id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037创建的服务主体是Azure前门，而不是Azure前门高级版.

因此，它不会为Microsoft.AzureFrontDoor-Cdn.授予权限--您所跟踪的文档也与Azure前门而不是Azure前门高级有关。

正如本Microsoft中所提到的

注册服务主体的Azure前门只能做一次每个租户。

因此，即使您再次使用id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8创建服务主体，据我所知，它也无法工作。尝试删除使用id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037创建的第一个服务主体。

另外，请查看Microsoft的以下说明

Azure前门标准/高级(预览)目前在公开预览中。此预览版本是在没有服务级别协议的情况下提供的，它是，不推荐用于生产工作负载的。某些特性可能不支持，也可能不支持，或者功能受到限制。

由于它仍处于预览阶段，一些功能将无法工作。因此，为了解决这个问题，您可以使用Azure前门。要知道如何添加自定义域与Azure前门，通过这个参考文献如果它是有帮助的。

Answer 2

Azure前门标准/高级不再是在公共预览，但已升级到通用。

我还可以确认，您确实可以向您的租户注册经典和标准/高级服务主，并允许他们访问

​

仍然有前门标准/高级证书添加到秘密商店，并将它们分配给域。