Sdílet prostřednictvím

Konfigurace zásad SSL specifických pro naslouchací proces ve službě Application Gateway prostřednictvím portálu

Tento článek popisuje, jak pomocí webu Azure Portal nakonfigurovat zásady SSL specifické pro naslouchací proces ve službě Azure Application Gateway. Zásady SSL specifické pro naslouchací proces umožňují nakonfigurovat konkrétní naslouchací procesy tak, aby mezi sebou používaly různé zásady SSL. Stále můžete nastavit výchozí zásadu SSL, kterou používají všichni posluchače, pokud ji nenahradí zásada SSL specifická pro posluchače. Tento článek popisuje, jak pomocí webu Azure Portal nakonfigurovat zásady SSL specifické pro naslouchací proces ve službě Application Gateway. Zásady SSL specifické pro naslouchací proces umožňují nakonfigurovat konkrétní naslouchací procesy tak, aby mezi sebou používaly různé zásady SSL. Stále budete moct nastavit výchozí zásadu SSL, kterou používají všichni nasloucháče, pokud je nepřepíše zásada SSL specifická pro nasloucháč.

Důležité

Od 31. srpna 2025 musí všichni klienti a back-endové servery pracující se službou Aplikace Azure lication Gateway používat protokol TLS (Transport Layer Security) 1.2 nebo vyšší, protože podpora protokolu TLS 1.0 a 1.1 bude ukončena.

Poznámka:

Zásady specifické pro listener podporují pouze Standard_v2 a WAF_v2 SKUs. Zásady specifické pro naslouchací proces jsou součástí profilů SSL a profily SSL jsou podporovány pouze ve službě Application Gateway v2.

Požadavky

Než začnete, ujistěte se, že máte:

  • Předplatné služby Azure. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.
  • Existující Azure Application Gateway (SKU Standard_v2 nebo WAF_v2)
  • Příslušná oprávnění k úpravě konfigurací služby Application Gateway

Vytvoření nové služby Application Gateway

Nejprve vytvořte novou službu Application Gateway, jak byste normálně procházeli portálem. Při vytváření nejsou potřeba žádné další kroky ke konfiguraci zásad SSL specifických pro naslouchací proces. Další informace o tom, jak vytvořit službu Application Gateway na portálu, najdete v kurzu rychlý start k portálu.

Nejprve vytvořte novou Application Gateway, jak byste to obvykle udělali prostřednictvím portálu – při vytváření nejsou potřeba žádné další kroky pro konfiguraci zásad SSL specifických pro posluchače. Další informace o tom, jak vytvořit službu Application Gateway na portálu, najdete v kurzu rychlý start k portálu.

Nastavení zásad SSL specifické pro naslouchací proces

Než budete pokračovat, tady je několik důležitých aspektů pro zásady SSL specifické pro naslouchací proces:

SSL-Policies

  • Doporučujeme používat protokol TLS 1.2 nebo vyšší.

  • Pro přidružení klienta k naslouchacímu procesu není potřeba nakonfigurovat ověřování klientů v profilu SSL. V profilu SSL můžete nakonfigurovat pouze ověřování klientů, pouze zásady SSL specifické pro naslouchací proces nebo obojí.

  • Použijte předdefinovanou zásadu 2022 nebo vlastní zásadu v2, vylepšuje zabezpečení a výkon PROTOKOLU SSL pro celou službu Application Gateway (zásady SSL a profil SSL). Proto nemůžete mít různé naslouchací komponenty, které současně využívají starší a nové zásady SSL.

  • Doporučujeme používat protokol TLS 1.2, protože tato verze bude v budoucnu povinná.

  • Pro přidružení profilu SSL k naslouchacímu prvku není nutné nakonfigurovat ověření klienta. V profilu SSL můžete mít nakonfigurované jenom ověřování klienta nebo zásady SSL specifické pro naslouchací proces nebo obojí.

  • Použití předdefinovaných zásad 2022 nebo customv2 vylepšuje zabezpečení a výkon PROTOKOLU SSL pro celou bránu (zásady SSL a profil SSL). Je tedy nemožné mít různé posluchače současně na starých a nových zásadách SSL (předdefinovaných nebo vlastních).

    Ukázkový scénář: Pokud aktuálně používáte zásady SSL a profil SSL se staršími zásadami nebo šiframi, upgradujte na "novou" předdefinovanou zásadu nebo vlastní zásadu v2 pro libovolnou komponentu, která vyžaduje upgrade i další konfigurace. Můžete použít nové předdefinované zásady, vlastní zásady v2 nebo kombinaci.

SSL-Policies Pokud chcete nastavit zásady SSL specifické pro naslouchací proces, musíte nejprve přejít na kartu nastavení SSL na webu Azure Portal a vytvořit nový profil SSL. Při vytváření profilu SSL se zobrazí dvě karty: Ověřování klienta a zásady SSL. Karta Zásady SSL slouží ke konfiguraci zásad SSL specifické pro naslouchací proces. Na kartě Ověřování klienta nahrajete klientské certifikáty pro vzájemné ověřování. Další informace naleznete v tématu Konfigurace vzájemného ověřování.

Pokud chcete nastavit zásady SSL specifické pro naslouchací proces, musíte nejprve přejít na kartu nastavení SSL na portálu a vytvořit nový profil SSL. Při vytváření profilu SSL se zobrazí dvě karty: Ověřování klienta a zásady SSL. Karta Zásady SSL slouží ke konfiguraci zásad SSL specifické pro naslouchací proces. Na kartě Ověřování klienta je místo, kde nahrát klientský certifikát pro vzájemné ověřování – další informace najdete v tématu Konfigurace vzájemného ověřování.

  1. Na portálu vyhledejte Application Gateway, vyberte Application Gateways a vyberte svůj existující Application Gateway.

  2. V nabídce na levé straně vyberte nastavení SSL .

  3. Výběrem znaménka plus vedle profilů SSL v horní části vytvořte nový profil SSL.

  4. Zadejte název pod název profilu SSL. V tomto příkladu pojmenujeme náš profil SSL applicationGatewaySSLProfile.

  5. Přejděte na kartu Zásady SSL a zaškrtněte políčko Povolit zásady SSL specifické pro naslouchací proces .

  6. Nakonfigurujte zásady SSL specifické pro naslouchací proces podle vašich požadavků. Můžete si vybrat mezi předdefinovanými zásadami SSL a přizpůsobit si vlastní zásady SSL. Další informace o zásadách SSL najdete v přehledu zásad SSL. Doporučujeme používat protokol TLS 1.2 nebo vyšší.

    Poznámka:

    Tato politika je nejnovější dostupnou verzí zásady SSL, která se doporučuje k zajištění nejlepšího zabezpečení SSL. Pokud je vaše brána nakonfigurovaná tak, aby zpracovávala starší provoz, možná budete muset zvolit starší zásady, aby se zajistilo, že se veškerý provoz zpracuje správně.

  7. Vyberte Přidat pro uložení.

    Snímek obrazovky s přidáním zásad SSL specifických pro naslouchací proces do profilu SSL na webu Azure Portal

Přidružení profilu SSL k posluchači

Teď jste vytvořili profil SSL se zásadami SSL specifické pro naslouchací proces. Pokud chcete aktivovat zásadu specifickou pro naslouchací proces, musíte k naslouchacímu procesu přidružit profil SSL.

  1. Přejděte ke stávající službě Application Gateway.

  2. V nabídce na levé straně vyberte Posluchače.

  3. Pokud ještě nemáte nastavený naslouchací proces HTTPS, vyberte možnost Přidat naslouchací proces . Pokud už máte naslouchací proces HTTPS, vyberte ho ze seznamu.

  4. Vyplňte název naslouchacího procesu, IP adresu front-endu, port a další nastavení HTTPS tak, aby vyhovoval vašim požadavkům.

  5. Pokud chcete uložit nový listener s přidruženým SSL profilem, vyberte Přidat.

  6. Zkontrolujte, jestli je zásada SSL správná, nebo vyberte změnit jinou zásadu SSL. Mezi dostupné možnosti patří:

    • Výchozí
    • Předdefinované
    • Na zakázku
    • CustomV2 Vyberte profil SSL, který jste vytvořili v rozevíracím seznamu. V tomto příkladu zvolíme profil SSL vytvořený v předchozích krocích: applicationGatewaySSLProfile.

  7. Vyberte na druhé kartě Naslouchací TLS certifikáty.

  8. Vyberte + Přidat certifikát.

  9. Vyplňte název certifikátu, soubor certifikátu PFX, typ a další heslo , aby vyhovovalo vašim požadavkům.

  10. Vyberte Přidat a uložte nový posluchačský certifikát TLS s přidruženým profilem SSL.

  11. Pokračujte v konfiguraci zbytku naslouchacího podle vašich požadavků.

    Snímek obrazovky s asociací profilu SSL pro nový posluchač

Omezení

SSL-Policies

Služba Azure Application Gateway má aktuální omezení týkající se zásad SSL:

  • Různí posluchači používající stejný port nemohou mít SSL zásady (předdefinované nebo vlastní) s různými verzemi protokolu TLS.
  • Konfigurace stejné verze protokolu TLS pro různé naslouchací procesy funguje pro nastavení předvoleb šifrovací sady pro každý naslouchací proces.
  • Pokud chcete pro samostatné naslouchací procesy používat různé verze protokolu TLS, musíte pro každý naslouchací proces použít samostatné porty. Služba Application Gateway má v současnosti omezení, že různé naslouchací procesy používající stejný port nemohou mít zásady SSL (předdefinované nebo vlastní) s různými verzemi protokolu TLS. Volba stejné verze protokolu TLS pro různé naslouchací procesy funguje pro konfiguraci předvolby šifrovací sady pro každý naslouchací proces. Pokud ale chcete pro samostatné naslouchací procesy používat různé verze protokolu TLS, musíte pro každý z nich použít odlišné porty.

Další kroky

Správa webového provozu pomocí aplikační brány a Azure CLI

  • Last updated on