Sdílet prostřednictvím


Konfigurace zásad SSL specifických pro naslouchací proces ve službě Application Gateway prostřednictvím portálu

Tento článek popisuje, jak pomocí webu Azure Portal nakonfigurovat zásady SSL specifické pro naslouchací proces ve službě Application Gateway. Zásady SSL specifické pro naslouchací proces umožňují nakonfigurovat konkrétní naslouchací procesy tak, aby mezi sebou používaly různé zásady SSL. Stále budete moct nastavit výchozí zásadu SSL, kterou budou používat všichni naslouchací procesy, pokud je nepřepíše zásada SSL specifická pro naslouchací proces.

Poznámka:

Pouze Standard_v2 a WAF_v2 SKU podporují zásady specifické pro naslouchací proces, protože zásady specifické pro naslouchací proces jsou součástí profilů SSL a profily SSL se podporují jenom u bran v2.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření nové služby Application Gateway

Nejprve vytvořte novou službu Application Gateway, jak byste obvykle procházeli portálem – při vytváření nejsou potřeba žádné další kroky ke konfiguraci zásad SSL specifických pro naslouchací proces. Další informace o tom, jak vytvořit službu Application Gateway na portálu, najdete v kurzu rychlý start k portálu.

Nastavení zásad SSL specifické pro naslouchací proces

Než budete pokračovat, tady jsou některé důležité body související se zásadami SSL specifické pro naslouchací proces.

  • Doporučujeme používat protokol TLS 1.2, protože tato verze bude v budoucnu povinná.

  • Pro přidružení klienta k naslouchacímu procesu není nutné nakonfigurovat ověřování klientů v profilu SSL. V profilu SSL můžete mít nakonfigurované jenom ověřování klienta nebo zásady SSL specifické pro naslouchací proces nebo obojí.

  • Použití předdefinovaných zásad 2022 nebo customv2 vylepšuje zabezpečení a výkon PROTOKOLU SSL pro celou bránu (zásady SSL a profil SSL). Proto nemůžete mít různé naslouchací procesy ve starých i nových zásadách SSL (předdefinovaných nebo vlastních).

    V tomto příkladu aktuálně používáte zásady SSL a profil SSL se staršími zásadami nebo šiframi. Pokud chcete pro některou z nich použít "novou" předdefinovanou zásadu nebo zásadu Customv2, budete také muset upgradovat druhou konfiguraci. Můžete použít nové předdefinované zásady nebo vlastní zásady v2 nebo jejich kombinaci v rámci brány.

Pokud chcete nastavit zásady SSL specifické pro naslouchací proces, musíte nejprve přejít na kartu nastavení SSL na portálu a vytvořit nový profil SSL. Když vytvoříte profil SSL, zobrazí se dvě karty: Ověřování klientů a zásady SSL. Karta Zásady SSL slouží ke konfiguraci zásad SSL specifické pro naslouchací proces. Na kartě Ověřování klienta můžete nahrát klientské certifikáty pro vzájemné ověřování – další informace najdete v tématu Konfigurace vzájemného ověřování.

  1. Vyhledejte službu Application Gateway na portálu, vyberte Aplikační brány a klikněte na stávající službu Application Gateway.

  2. V nabídce na levé straně vyberte nastavení SSL.

  3. Kliknutím na znaménko plus vedle profilů SSL v horní části vytvořte nový profil SSL.

  4. Zadejte název pod název profilu SSL. V tomto příkladu voláme naši aplikaci profilu SSLGatewaySSLProfile.

  5. Přejděte na kartu Zásady SSL a zaškrtněte políčko Povolit zásady SSL specifické pro naslouchací proces.

  6. Nastavte zásadu SSL specifickou pro naslouchací proces vzhledem k vašim požadavkům. Můžete si vybrat mezi předdefinovanými zásadami SSL a přizpůsobit si vlastní zásady SSL. Další informace o zásadách SSL najdete v přehledu zásad SSL. Doporučujeme používat protokol TLS 1.2.

  7. Vyberte Přidat , které chcete uložit.

    Add listener specific SSL policy to SSL profile

Přidružení profilu SSL k naslouchacímu procesu

Teď, když jsme vytvořili profil SSL se zásadami SSL specifické pro naslouchací proces, musíme profil SSL přidružit k naslouchacímu procesu, aby byly zásady specifické pro naslouchací proces v akci.

  1. Přejděte ke stávající službě Application Gateway. Pokud jste právě dokončili výše uvedené kroky, nemusíte tady nic dělat.

  2. V nabídce na levé straně vyberte Naslouchací procesy .

  3. Pokud ještě nemáte nastavený naslouchací proces HTTPS, klikněte na Přidat naslouchací proces . Pokud už máte naslouchací proces HTTPS, klikněte na něj ze seznamu.

  4. Vyplňte název naslouchacího procesu, IP adresu front-endu, port, protokol a další Nastavení HTTPS tak, aby vyhovoval vašim požadavkům.

  5. Zaškrtněte políčko Povolit profil SSL, abyste mohli vybrat profil SSL, který chcete přidružit k naslouchacímu procesu.

  6. V rozevíracím seznamu vyberte profil SSL, který jste vytvořili. V tomto příkladu zvolíme profil SSL, který jsme vytvořili v předchozích krocích: applicationGatewaySSLProfile.

  7. Pokračujte v konfiguraci zbytku naslouchacího procesu tak, aby vyhovoval vašim požadavkům.

  8. Kliknutím na Přidat uložíte nový naslouchací proces s přidruženým profilem SSL.

    Associate SSL profile to new listener

Omezení

Služba Application Gateway teď omezuje, že různé naslouchací procesy používající stejný port nemůžou mít zásady SSL (předdefinované nebo vlastní) s různými verzemi protokolu TLS. Volba stejné verze protokolu TLS pro různé naslouchací procesy bude fungovat pro konfiguraci předvolby šifrovací sady pro každý naslouchací proces. Pokud ale chcete pro samostatné naslouchací procesy používat různé verze protokolu TLS, budete pro každý z nich muset použít odlišné porty.

Další kroky