Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Bránu aplikace Azure můžete použít k centralizaci správy certifikátů TLS/SSL a snížení režie šifrování a dešifrování z back-endové serverové farmy. Toto centralizované zpracování protokolu TLS také umožňuje zadat centrální zásady TLS, které jsou vhodné pro požadavky vaší organizace na zabezpečení. To vám pomůže splnit požadavky na dodržování předpisů a také pokyny k zabezpečení a doporučené postupy.
Zásady TLS zahrnují kontrolu nad verzí protokolu TLS a šifrovacími sadami a pořadím použití šifer během metody handshake protokolu TLS. Application Gateway nabízí dva mechanismy pro řízení zásad TLS. Můžete použít předdefinovanou zásadu nebo vlastní zásadu.
Podrobnosti o využití a verzi
Important
Od 31. srpna 2025 musí všichni klienti a back-endové servery pracující se službou Aplikace Azure lication Gateway používat protokol TLS (Transport Layer Security) 1.2 nebo vyšší, protože podpora protokolu TLS 1.0 a 1.1 bude ukončena. Pro více informací o vyřazení zásad a změnách konfigurace prostředků navštivte stránku TLS 1.0 a 1.1.
Pokud klienti a back-endy používají protokol TLS 1.2 nebo vyšší, změny zásad nejsou rušivé. Doporučujeme aktualizovat zásady protokolu TLS pro vaše brány před tím, než se jejich vynucení začne týkat všech oblastí Azure.
- Protokoly SSL 2.0 a 3.0 jsou zakázané pro všechny aplikační brány a nedají se konfigurovat.
- Vlastní zásady TLS umožňují vybrat libovolný protokol TLS jako minimální verzi protokolu pro bránu: TLSv1_0, TLSv1_1, TLSv1_2 nebo TLSv1_3.
- Pokud není zvolena žádná zásada PROTOKOLU TLS, použije se výchozí zásada TLS na základě verze rozhraní API použité k vytvoření daného prostředku.
- Předdefinované zásady 2022 a Customv2 zásady, které podporují TLS v1.3, jsou dostupné jenom se skladovými položkami služby Application Gateway V2 (Standard_v2 nebo WAF_v2).
- Použití předdefinované zásady 2022 nebo Customv2 vylepšuje zabezpečení a výkonnostní profil SSL celé brány (pro zásadu SSL a SSL profil). Staré i nové zásady proto nemůžou na bráně existovat společně. Pokud klienti vyžadují starší verze protokolu TLS nebo šifry (například TLS verze 1.0), musíte v bráně použít některou ze starších předdefinovaných nebo vlastních zásad.
- Šifrovací sady TLS používané pro připojení jsou také založené na typu použitého certifikátu. Šifrovací sady používané v připojeních mezi klientem a aplikační bránou jsou založeny na typu certifikátů posluchače na aplikační bráně. Šifrovací sady, které se používají při navazování spojení mezi "aplikační bránou a backendovým fondem", jsou založeny na typu serverových certifikátů prezentovaných backendovými servery.
Předdefinované zásady TLS
Application Gateway nabízí několik předdefinovaných zásad zabezpečení. Bránu můžete nakonfigurovat s kteroukoli z těchto zásad, abyste získali odpovídající úroveň zabezpečení. Názvy zásad jsou anotovány podle roku a měsíce, ve kterém byly nakonfigurované (AppGwSslPolicy<YYYYMMDDD>). Každá zásada nabízí různé verze protokolu TLS nebo šifrovací sady. Tyto předdefinované zásady se konfigurují s ohledem na osvědčené postupy a doporučení od týmu zabezpečení Microsoftu. Doporučujeme používat nejnovější zásady TLS, abyste zajistili nejlepší zabezpečení protokolu TLS.
Následující tabulka uvádí seznam šifrovacích sad a minimální podpory verzí protokolu pro každou předdefinovanou zásadu. Pořadí řazení šifrovacích sad určuje pořadí priority během vyjednávání protokolu TLS. Pokud chcete zjistit přesné pořadí šifrovacích sad pro tyto předdefinované zásady, můžete se podívat na prostředí PowerShellu, rozhraní příkazového řádku, rozhraní REST API nebo panel Posluchači v portálu.
| Předdefinované názvy zásad (AppGwSslPolicy<YYYYMMDD>) | 20150501 | 20170401 | 20170401S | 20220101 | 20220101S |
|---|---|---|---|---|---|
| Minimální verze protokolu | 1.0 | 1.1 | 1.2 | 1.2 | 1.2 |
| Povolené verze protokolu | 1.0 1.1 1.2 |
1.1 1.2 |
1.2 | 1.2 1.3 |
1.2 1.3 |
| Default | True (pro rozhraní API verze < 2023-02-01) |
False | False | True (pro verzi >rozhraní API = 2023-02-01) |
False |
| TLS_AES_128_GCM_SHA256 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_AES_256_GCM_SHA384 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
Výchozí zásady TLS
Pokud není v konfiguraci prostředku služby Application Gateway zadána žádná konkrétní zásada SSL, použije se výchozí zásada PROTOKOLU TLS. Výběr této výchozí zásady vychází z verze rozhraní API použité k vytvoření této brány.
- Pro rozhraní API verze 2023-02-01 nebo vyšší je minimální verze protokolu nastavená na 1.2 (verze až 1.3 je podporovaná). Brány vytvořené pomocí těchto verzí rozhraní API uvidí ve konfiguraci prostředků vlastnost pouze pro čtení defaultPredefinedSslPolicy:AppGwSslPolicy20220101. Tato vlastnost definuje výchozí zásadu protokolu TLS, která se má použít.
- Pro starší verze < rozhraní API 2023-02-01 je minimální verze protokolu nastavena na 1.0 (verze až 1.2 jsou podporovány), protože používají předdefinované zásady AppGwSslPolicy20150501 jako výchozí.
Pokud výchozí protokol TLS nevyhovuje vašemu požadavku, zvolte jinou předdefinovanou zásadu nebo použijte vlastní.
Note
Brzy bude k dispozici podpora Azure PowerShellu a rozhraní příkazového řádku pro aktualizované výchozí zásady TLS.
Vlastní zásady TLS
Pokud je potřeba nakonfigurovat zásadu PROTOKOLU TLS pro vaše požadavky, můžete použít vlastní zásadu TLS. Pomocí vlastních zásad TLS máte úplnou kontrolu nad minimální verzí protokolu TLS, která se má podporovat, a také podporovaných šifrovacích sad a jejich pořadí priority.
Note
Novější, silnější šifry a podpora TLSv1.3 jsou k dispozici pouze se zásadami CustomV2. Poskytuje vylepšené výhody zabezpečení a výkonu.
Important
- Pokud používáte vlastní zásady SSL ve verzi SKU služby Application Gateway v1 (Standard nebo WAF), nezapomeňte do seznamu přidat povinnou šifru "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256". Tento šifrovací algoritmus je vyžadován k povolení metrik a protokolování v Application Gateway v1 SKU. To není povinné pro skladovou položku služby Application Gateway v2 (Standard_v2 nebo WAF_v2).
- Šifrovací sady "TLS_AES_128_GCM_SHA256" a "TLS_AES_256_GCM_SHA384" jsou povinné pro TLSv1.3. Tyto údaje nemusíte explicitně zmínit při nastavování zásad CustomV2 s minimální verzí protokolu 1.2 nebo 1.3 prostřednictvím PowerShellu nebo rozhraní příkazového řádku. Proto se tyto šifrovací sady nezobrazí ve výstupu "Get Details" s výjimkou Portalu.
Šifrovací sady
Application Gateway podporuje následující šifrovací sady, ze kterých si můžete zvolit vlastní zásady. Pořadí řazení šifrovacích sad určuje pořadí priority během vyjednávání protokolu TLS.
- TLS_AES_128_GCM_SHA256 (k dispozici pouze pro Customv2)
- TLS_AES_256_GCM_SHA384 (k dispozici pouze pro Customv2)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Limitations
- Připojení k back-endovým serverům preferují protokol TLS 1.3, pokud je k dispozici, s záložní podporou protokolu TLS 1.2. Verze protokolu TLS a šifrovací sady pro back-endová připojení nelze přizpůsobit.
- Odteď není implementace protokolu TLS 1.3 povolena s funkcí Nulová doba odezvy (0–RTT).
- Obnovení relace PROTOKOLU TLS (ID nebo lístků) se nepodporuje.
- Application Gateway v2 nepodporuje následující šifry DHE. Ty se nebudou používat pro připojení TLS s klienty, i když jsou uvedené v předdefinovaných zásadách. Místo šifer DHE se doporučuje šifrování ECDHE zabezpečit a zrychlit.
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- Klienti s omezenými možnostmi, kteří hledají podporu pro vyjednávání maximální délky fragmentu, musí používat novější předdefinované zásady 2022 nebo Customv2 politiky.
Další kroky
Pokud se chcete naučit konfigurovat zásady TLS, přečtěte si téma Konfigurace verzí zásad TLS a šifrovacích sad ve službě Application Gateway.