Kompletní TLS se službou Azure Front Door
Protokol TLS (Transport Layer Security), dříve označovaný jako SSL (Secure Sockets Layer), je standardní technologie zabezpečení pro vytvoření šifrovaného propojení mezi webovým serverem a klientem, jako je webový prohlížeč. Toto propojení zajišťuje, že všechna data předaná mezi serverem a klientem zůstanou soukromá a šifrovaná.
Kvůli splnění požadavků na zabezpečení nebo dodržování předpisů podporuje Služba Azure Front Door kompletní šifrování TLS. Přesměrování zpracování TLS/SSL služby Front Door ukončí připojení TLS, dešifruje provoz ve službě Azure Front Door a před předáním do zdroje přenosy znovu zašifruje. Pokud připojení k počátku používají veřejnou IP adresu původu, je vhodné nakonfigurovat HTTPS jako protokol předávání ve službě Azure Front Door. Pomocí protokolu HTTPS jako předávacího protokolu můžete vynutit kompletní šifrování TLS pro celé zpracování požadavku z klienta do původu. Přesměrování zpracování TLS/SSL se podporuje také v případě, že pomocí funkce Private Link nasadíte privátní zdroj se službou Azure Front Door Premium.
Tento článek vysvětluje, jak Služba Azure Front Door funguje s připojeními TLS. Další informace o tom, jak používat certifikáty TLS s vlastními doménami, najdete v tématu HTTPS pro vlastní domény. Informace o tom, jak nakonfigurovat certifikát TLS ve vlastní doméně, najdete v tématu Konfigurace vlastní domény ve službě Azure Front Door pomocí webu Azure Portal.
Kompletní šifrování TLS
Kompletní tls umožňuje zabezpečit citlivá data při přenosu do původu a využívat výhod funkcí služby Azure Front Door, jako je globální vyrovnávání zatížení a ukládání do mezipaměti. Mezi tyto funkce patří také směrování založené na adrese URL, rozdělení protokolu TCP, ukládání do mezipaměti na hraničním umístění nejblíže klientům a přizpůsobení požadavků HTTP na hraničních zařízeních.
Azure Front Door přesměruje relace TLS na hraničních zařízeních a dešifruje požadavky klientů. Potom použije nakonfigurovaná pravidla směrování pro směrování požadavků do příslušného původu ve skupině původu. Azure Front Door pak spustí nové připojení TLS k původu a před přenosem požadavku do zdroje znovu zašifruje všechna data pomocí certifikátu původu. Jakákoli odpověď z původu se zašifruje prostřednictvím stejného procesu zpět koncovému uživateli. Službu Azure Front Door můžete nakonfigurovat tak, aby jako předávací protokol používal protokol HTTPS, který umožňuje kompletní tls.
Podporované verze protokolu TLS
Azure Front Door podporuje čtyři verze protokolu TLS: TLS verze 1.0, 1.1, 1.2 a 1.3. Všechny profily služby Azure Front Door vytvořené po září 2019 používají protokol TLS 1.2 jako výchozí minimum s povoleným protokolem TLS 1.3, ale kvůli zpětné kompatibilitě se stále podporují protokoly TLS 1.0 a TLS 1.1.
I když Azure Front Door podporuje protokol TLS 1.2, který v RFC 5246 v současné době zavedl ověřování klientů/vzájemné ověřování, Azure Front Door zatím nepodporuje klient/vzájemné ověřování (mTLS).
Minimální verzi protokolu TLS ve službě Azure Front Door můžete nakonfigurovat v nastavení HTTPS vlastní domény pomocí webu Azure Portal nebo rozhraní Azure REST API. V současné době si můžete vybrat mezi 1.0 a 1.2. Například zadáním protokolu TLS 1.2 jako minimální verze řídí minimální přijatelnou verzi protokolu TLS, kterou Azure Front Door přijme z klienta. V případě minimální verze PROTOKOLU TLS 1.2 se vyjednávání pokusí navázat protokol TLS 1.3 a potom tls 1.2, zatímco pro minimální verzi TLS 1.0 se pokusí všechny čtyři verze. Když Služba Azure Front Door zahájí přenosy TLS do původu, pokusí se vyjednat nejlepší verzi protokolu TLS, kterou zdroj dokáže spolehlivě a konzistentně přijmout. Podporované verze protokolu TLS pro počáteční připojení jsou TLS 1.0, TLS 1.1, TLS 1.2 a TLS 1.3.
Poznámka:
- Klienti s povoleným protokolem TLS 1.3 musí podporovat jednu z křivek EC kompatibilních s Microsoft SDL, včetně Secp384r1, Secp256r1 a Secp521, aby mohli úspěšně provádět požadavky se službou Azure Front Door pomocí protokolu TLS 1.3.
- Doporučuje se, aby klienti používali jednu z těchto křivek jako upřednostňovanou křivku během požadavků, aby se zabránilo zvýšené latenci handshake protokolu TLS, což může mít za následek několik cest zaokrouhlení, aby vyjednali podporovanou křivku EC.
Podporované certifikáty
Při vytváření certifikátu TLS/SSL musíte vytvořit úplný řetěz certifikátů s povolenou certifikační autoritou (CA), která je součástí seznamu důvěryhodných certifikačních autorit Microsoftu. Pokud použijete nepovolenou certifikační autoritu, vaše žádost se odmítne.
Certifikáty z interních certifikačních autorit nebo certifikáty podepsané svým držitelem nejsou povolené.
Připojení protokolu OCSP (Online Certificate Status Protocol)
Připojení OCSP se ve výchozím nastavení podporuje ve službě Azure Front Door a nevyžaduje se žádná konfigurace.
Připojení TLS zdroje (Azure Front Door k původu)
U připojení HTTPS služba Azure Front Door očekává, že váš původ předloží certifikát od platné certifikační autority (CA) s názvem subjektu, který odpovídá názvu hostitele původu. Pokud je například název hostitele původu nastavený a myapp-centralus.contosonews.net
certifikát, který váš původ prezentuje během metody handshake protokolu TLS, nemá myapp-centralus.contosonews.net
nebo *.contosonews.net
v názvu subjektu, Azure Front Door odmítne připojení a klient zobrazí chybu.
Poznámka:
Certifikát musí mít úplný řetěz certifikátů s listovými a zprostředkujícími certifikáty. Kořenová certifikační autorita musí být součástí seznamu důvěryhodných certifikačních autorit Společnosti Microsoft. Pokud se zobrazí certifikát bez úplného řetězu, požadavky, které zahrnují, nejsou zaručeny, že certifikát funguje podle očekávání.
V některých případech použití, jako je testování, jako alternativní řešení pro řešení neúspěšného připojení HTTPS, můžete zakázat kontrolu názvu subjektu certifikátu pro službu Azure Front Door. Všimněte si, že původ stále potřebuje předložit certifikát s platným důvěryhodným řetězem, ale nemusí odpovídat názvu hostitele původu.
Ve službě Azure Front Door Standard a Premium můžete nakonfigurovat zdroj tak, aby zakázal kontrolu názvu subjektu certifikátu.
Ve službě Azure Front Door (Classic) můžete kontrolu názvu subjektu certifikátu zakázat změnou nastavení služby Azure Front Door na webu Azure Portal. Kontrolu můžete také nakonfigurovat pomocí nastavení back-endového fondu v rozhraních API služby Azure Front Door.
Poznámka:
Z hlediska zabezpečení Microsoft nedoporučuje zakázat kontrolu názvu subjektu certifikátu.
Připojení TLS front-endu (klient ke službě Azure Front Door)
Pokud chcete povolit protokol HTTPS pro zabezpečené doručování obsahu ve vlastní doméně služby Azure Front Door, můžete použít certifikát spravovaný službou Azure Front Door nebo použít vlastní certifikát.
Další informace najdete v tématu HTTPS pro vlastní domény.
Spravovaný certifikát služby Azure Front Door poskytuje standardní certifikát TLS/SSL přes DigiCert a je uložený ve službě Azure Front Door Key Vault.
Pokud se rozhodnete použít vlastní certifikát, můžete připojit certifikát z podporované certifikační autority, která může být standardním certifikátem TLS, rozšířeným ověřovacím certifikátem nebo dokonce zástupným certifikátem. Certifikáty podepsané svým držitelem nejsou podporované. Zjistěte , jak povolit HTTPS pro vlastní doménu.
Autorotace certifikátů
U možnosti spravovaného certifikátu služby Azure Front Door se certifikáty spravují a automaticky se obměňují do 90 dnů od vypršení platnosti službou Azure Front Door. U možnosti spravovaného certifikátu Azure Front Door Standard/Premium se certifikáty spravují a automaticky se obměňují do 45 dnů od vypršení platnosti službou Azure Front Door. Pokud používáte spravovaný certifikát služby Azure Front Door a zjistíte, že datum vypršení platnosti certifikátu je kratší než 60 dnů nebo 30 dnů pro skladovou položku Standard/Premium, vytvořte lístek podpory.
Vlastní certifikát TLS/SSL:
Verzi tajného kódu nastavíte na Nejnovější, aby se certifikát automaticky otočil na nejnovější verzi, když je ve vašem trezoru klíčů k dispozici novější verze certifikátu. U vlastních certifikátů se certifikát automaticky obměňuje do 3 až 4 dnů s novější verzí certifikátu bez ohledu na dobu vypršení platnosti certifikátu.
Pokud je vybraná konkrétní verze, automatické zorotování se nepodporuje. Abyste mohli certifikát otočit, budete muset novou verzi znovu vybrat ručně. Nasazení nové verze certifikátu nebo tajného klíče trvá až 24 hodin.
Poznámka:
Spravované certifikáty služby Azure Front Door (Standard a Premium) se automaticky obměňují, pokud záznam CNAME domény odkazuje přímo na koncový bod služby Front Door nebo nepřímo odkazuje na koncový bod Traffic Manageru. V opačném případě je potřeba znovu ověřit vlastnictví domény, aby se certifikáty obměnaly.
Budete muset zajistit, aby instanční objekt pro službu Front Door získal přístup k trezoru klíčů. Přečtěte si, jak udělit přístup k trezoru klíčů. Aktualizovaná operace zavedení certifikátu službou Azure Front Door nezpůsobí žádné výpadky v produkčním prostředí, pokud se nezměnil název subjektu nebo alternativní název subjektu (SAN) pro certifikát.
Podporované šifrovací sady
Pro protokol TLS 1.2/1.3 jsou podporovány následující šifrovací sady:
- TLS_AES_256_GCM_SHA384 (jenom TLS 1.3)
- TLS_AES_128_GCM_SHA256 (pouze TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Poznámka:
Pro Windows 10 a novější verze doporučujeme povolit jednu nebo obě ECDHE_GCM šifrovací sady pro lepší zabezpečení. Windows 8.1, 8 a 7 nejsou kompatibilní s těmito šifrovacími sadami ECDHE_GCM. Šifrovací sady ECDHE_CBC a DHE byly poskytnuty z důvodu kompatibility s těmito operačními systémy.
Při použití vlastních domén s povoleným protokolem TLS 1.0 a 1.1 se podporují následující šifrovací sady:
- TLS_AES_256_GCM_SHA384 (jenom TLS 1.3)
- TLS_AES_128_GCM_SHA256 (pouze TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Azure Front Door nepodporuje zakázání ani konfiguraci konkrétních šifrovacích sad pro váš profil.
Další kroky
- Seznamte se s vlastními doménami ve službě Azure Front Door.
- Nakonfigurujte vlastní doménu ve službě Azure Front Door pomocí webu Azure Portal.
- Přečtěte si o kompletním protokolu TLS pomocí služby Azure Front Door.
- Nakonfigurujte vlastní doménu pro Azure Front Door.
- Povolte HTTPS pro vlastní doménu.