Konfigurieren listenerspezifischer SSL-Richtlinien für Application Gateway über das Portal
In diesem Artikel erfahren Sie, wie Sie das Azure-Portal verwenden, um listenerspezifische SSL-Richtlinien für Ihre Application Gateway-Instanz zu konfigurieren. Mithilfe listenerspezifischer SSL-Richtlinien können Sie bestimmte Listener für die Verwendung jeweils unterschiedlicher SSL-Richtlinien konfigurieren. Sie können weiterhin eine SSL-Standardrichtlinie festlegen, die von allen Listenern verwendet wird, solange sie nicht durch eine listenerspezifische SSL-Richtlinie überschrieben wird.
Hinweis
Da listenerspezifische Richtlinien Teil von SSL-Profilen sind und SSL-Profile nur für v2-Gateways unterstützt werden, werden listenerspezifische Richtlinien nur von den SKUs „Standard_v2“ und „WAF_v2“ unterstützt.
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Erstellen eines neuen Application Gateway
Erstellen Sie im Portal zunächst wie gewohnt eine neue Application Gateway-Instanz. Bei der Erstellung sind keine zusätzlichen Schritte erforderlich, um listenerspezifische SSL-Richtlinien konfigurieren zu können. Weitere Informationen zur Erstellung einer Application Gateway-Instanz im Portal finden Sie in unserer Schnellstartanleitung für die Erstellung im Portal.
Einrichten einer listenerspezifischen SSL-Richtlinie
Bevor Sie fortfahren, sind hier einige wichtige Punkte im Zusammenhang mit der listenerspezifischen SSL-Richtlinie.
Wir empfehlen die Verwendung von TLS 1.2, da TLS 1.2 in Zukunft obligatorisch sein wird.
Sie müssen keine Clientauthentifizierung für ein SSL-Profil konfigurieren, um es einem Listener zuzuordnen. Clientauthentifizierung und listenerspezifische SSL-Richtlinie können entweder jeweils einzeln oder auch gemeinsam in Ihrem SSL-Profil konfiguriert sein.
Durch die Verwendung einer Richtlinie 2022 Vordefiniert oder „Customv2“ werden die SSL-Sicherheit und Leistungsfähigkeit des gesamten Gateways (SSL-Richtlinie und SSL-Profil) erhöht. Daher können Sie keine verschiedenen Listener auf sowohl alten als auch neuen SSL-Richtlinien (vordefinierte oder benutzerdefinierte) haben.
Sehen Sie sich dieses Beispiel an: Sie verwenden derzeit eine SSL-Richtlinie und ein SSL-Profil mit „älteren“ Richtlinien/Verschlüsselungsverfahren. Um eine „neue“ vordefinierte oder Customv2-Richtlinie für eine dieser Richtlinien verwenden möchten, müssen Sie auch die andere Konfiguration upgraden. Sie können die neuen vordefinierten Richtlinien oder Customv2-Richtlinie oder eine Kombination dieser Richtlinien im gesamten Gateway verwenden.
Wenn Sie eine listenerspezifische SSL-Richtlinie einrichten möchten, müssen Sie im Portal zunächst zur Registerkarte SSL-Einstellungen navigieren und ein neues SSL-Profil erstellen. Bei der SSL-Profilerstellung werden zwei Registerkarten angezeigt: Clientauthentifizierung und SSL-Richtlinie. Die Registerkarte SSL-Richtlinie dient zum Konfigurieren einer listenerspezifischen SSL-Richtlinie. Die Registerkarte Clientauthentifizierung dient zum Hochladen von Clientzertifikaten für die gegenseitige Authentifizierung. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen Authentifizierung in Application Gateway über das Portal (Vorschau).
Suchen Sie im Portal nach Application Gateway, wählen Sie die Option Anwendungsgateways aus, und klicken Sie auf Ihre vorhandene Application Gateway-Instanz.
Wählen Sie im linken Menü SSL-Einstellungen aus.
Klicken Sie oben auf das Pluszeichen neben SSL-Profile, um ein neues SSL-Profil zu erstellen.
Geben Sie unter SSL Profile Name (Name des SSL-Profils) einen Namen ein. In diesem Beispiel geben wir dem SSL-Profil den Namen applicationGatewaySSLProfile.
Wechseln Sie zur Registerkarte SSL-Richtlinie, und aktivieren Sie das Kontrollkästchen Enable listener-specific SSL Policy (Listenerspezifische SSL-Richtlinie aktivieren).
Richten Sie Ihre listenerspezifische SSL-Richtlinie gemäß Ihren Anforderungen ein. Sie können entweder vordefinierte SSL-Richtlinien verwenden oder Ihre eigene SSL-Richtlinie anpassen. Weitere Informationen zu SSL-Richtlinien finden Sie in der Übersicht über SSL-Richtlinien. Wir empfehlen die Verwendung von TLS 1.2.
Wählen Sie die Option Hinzufügen aus, um die Angaben zu speichern.
Zuordnen eines Listeners zum SSL-Profil
Nachdem wir nun über ein SSL-Profil mit einer listenerspezifischen SSL-Richtlinie verfügen, müssen wir das SSL-Profil dem Listener zuordnen, um die listenerspezifische Richtlinie zu aktivieren.
Navigieren Sie zu Ihrer vorhandenen Application Gateway-Instanz. Wenn Sie die obigen Schritte gerade eben abgeschlossen haben, sind hier keine weiteren Aktionen erforderlich.
Wählen Sie im linken Menü Listener aus.
Klicken Sie auf Listener hinzufügen, falls Sie noch keinen HTTPS-Listener eingerichtet haben. Wenn Sie bereits über einen HTTPS-Listener verfügen, können Sie in der Liste darauf klicken.
Füllen Sie die Felder Listenername, Front-End-IP-Adresse, Port, Protokoll und HTTPS-Einstellungen gemäß Ihren Anforderungen aus.
Aktivieren Sie das Kontrollkästchen SSL-Profil aktivieren, damit Sie auswählen können, welches SSL-Profil dem Listener zugeordnet werden soll.
Wählen Sie das von Ihnen erstellte SSL-Profil in der Dropdownliste aus. In diesem Beispiel wählen wir das SSL-Profil aus, das wir in den obigen Schritten erstellt haben: applicationGatewaySSLProfile.
Konfigurieren Sie die restlichen Einstellungen für den Listener gemäß Ihren Anforderungen.
Klicken Sie auf Hinzufügen, um Ihren neuen Listener mit dem zugeordneten SSL-Profil zu speichern.
Begrenzungen
Es gibt derzeit eine Einschränkung für Application Gateway, durch die verschiedene Listener, die denselben Port verwenden, keine SSL-Richtlinien (vordefiniert oder benutzerdefiniert) mit unterschiedlichen TLS-Protokollversionen haben können. Die Auswahl der gleichen TLS-Version für verschiedene Listener funktioniert beim Konfigurieren der Präferenz für die Sammlung mit Verschlüsselungsverfahren für jeden Listener. Wenn Sie jedoch unterschiedliche TLS-Protokollversionen für separate Listener verwenden möchten, müssen Sie jeweils unterschiedliche Ports verwenden.