Azure Pay-As-You-Go 微软云 Azure 账号域名绑定步骤

微软云 Azure 账号域名绑定步骤：不是点点点就能搞定的事

别信网上那些「3 分钟搞定 Azure 域名绑定」的标题党——你点进去，发现第一步就卡在「找不到入口」；第二步提示「验证失败」，但没告诉你该删掉旧的 TXT 记录；第三步证书自动签发成功，结果浏览器还是弹「不安全」……这不是你的问题，是 Azure 的 UI 设计师和 DNS 服务商联手演的一出默剧。

今天这篇，不画大饼、不甩术语、不贴官方文档截图充数。我就坐你工位对面，泡着枸杞茶，一边敲键盘一边念叨：「这里点这个」「那个框里千万别填 www. 开头」「DNS 缓存清了三次还不生效？先去厕所冷静 90 秒」——全是血泪经验换来的真·人话指南。

第一步：确认你有「能绑定」的 Azure 资源

Azure 不是微信公众号，不能随便绑个域名就发推文。它得有个「承载体」：比如一个 App Service（网页应用）、一个 Static Web App（静态站）、一个 Front Door（全球加速网关），或者至少是个 Azure CDN 终结点。没有这些？先去「创建资源」，别硬刚域名设置页——那页面灰着呢，像你周五下午的脑细胞。

重点提醒：免费层（Free Tier）App Service 不支持自定义域名 HTTPS。它允许你绑域名，但强制跳 http，且拒绝上传证书。想开绿锁？至少选 Basic B1 或以上档位。别省那每月 15 美刀，否则后面所有操作都是给空气签名。

第二步：进对地方——别在「Azure Active Directory」里找域名绑定

很多人第一脚就踩坑：跑去 Azure AD → 自定义域名 → 添加域名。恭喜，你成功绑定了「登录邮箱后缀」，比如 [email protected]。但这跟你的网站 https://www.yourcompany.com 毫无关系！这是两个宇宙。

正确路径：打开你的目标资源（比如叫 my-web-app 的 App Service）→ 左侧菜单拉到底 → 找到「自定义域」（Custom domains）→ 点击「添加自定义域」。界面会弹出一个输入框，此时请深呼吸，把你要绑的域名输进去：别加 http://，别加 www.，就干干净净写 yourcompany.com 或 www.yourcompany.com。多一个点，少一个字符，Azure 都会回你一句温柔的「无效格式」。

第三步：DNS 解析配置——CNAME 还是 A 记录？听我的，闭眼选 CNAME

Azure 会给你两种解析方案：CNAME（推荐）或 A 记录（麻烦）。CNAME 是让 www.yourcompany.com 指向 my-web-app.azurewebsites.net；A 记录是让你填 Azure 分配的 IP 地址（但这个 IP 可能变！）。

所以选 CNAME，除非你家 DNS 服务商说「不支持 CNAME 根域」（即 yourcompany.com 本身）。这时候才用 A 记录 + Azure 提供的 IP，但务必勾选「启用 IP SSL」——否则 HTTPS 直接跪。

实操填法：
• 主机名（Host）：www（如果绑 www.yourcompany.com）
• 记录类型：CNAME
• 目标值（Value/Points to）：my-web-app.azurewebsites.net（注意结尾没有斜杠！）
• TTL：默认 3600 秒即可，别设成 1 分钟——DNS 服务商可能不认。

Azure Pay-As-You-Go 根域（yourcompany.com）怎么办？Azure 要求你必须用 A 记录 + TXT 验证。别慌，它会自动生成两段 IP 和一段 TXT 值。复制粘贴时，TXT 记录的主机名填 @ 或留空（取决于你的 DNS 后台），值字段严格按 Azure 给的来，前后不加引号、不换行、不空格——哪怕多一个空格，验证就失败，你得等 24 小时重试。

第四步：等，但别傻等——主动触发验证

DNS 生效时间从 1 分钟到 48 小时不等。Azure 页面右上角有个「刷新」按钮，别光刷新——点完 DNS 设置后，立刻回到 Azure 自定义域页，点击「验证」。它会秒级检测记录是否到位。如果显示「待验证」，等 60 秒再点一次；如果连续三次「验证失败」，请打开终端执行：nslookup -type=txt www.yourcompany.com 和 nslookup -type=cname www.yourcompany.com，看返回值是否和 Azure 给的一致。不一致？回 DNS 后台，删掉旧记录重填。

第五步：HTTPS 强制开启——别让小绿锁变成小红叉

域名通过后，默认仍是 HTTP。点进已绑定的域名条目 → 「添加绑定」→ 协议选 HTTPS → 证书选「导入证书」或「创建新证书」。推荐后者：Azure Certificates 服务可免费签发 DigiCert 证书，有效期 1 年，自动续期。

关键操作：勾选「将 HTTP 重定向到 HTTPS」。这一步不点，用户输 http:// 仍能打开，但 Google 会把它当低质站降权。另外，「TLS 版本」选 1.2 或 1.3，别留 1.0——去年某公司因 TLS 1.0 未关闭，被勒索软件钻了空子，赔了 37 万。

最后补刀：三个必查雷区

• Cloudflare 代理开关：如果你开了 Cloudflare 的橙色云朵（代理模式），CNAME 会失效。临时切回灰色（仅 DNS）再验证，成功后再开代理；
• 本地 hosts 文件捣乱：开发机 hosts 里若写了 yourcompany.com → 127.0.0.1，浏览器永远打不开真实站点。删掉再试；
• CDN 缓存未清除：绑好后访问仍是旧页面？去 CDN 控制台清空全部缓存，别只清首页。

搞定之后，打开 Chrome，输入你的域名，看到地址栏左侧稳稳停着一把小绿锁，旁边写着「连接是私密的」——那一刻，你会听见服务器风扇在为你鼓掌。

附赠一句真言：Azure 域名绑定不是魔法，是 DNS、HTTP 协议、证书链和 Azure 后端三者咬合的精密齿轮。少一颗螺丝，整台机器异响。而你，现在就是那个拧紧螺丝的人。