Compartir a través de

Configuración de directivas SSL específicas del cliente de escucha en Application Gateway mediante el portal

En este artículo se describe cómo usar Azure Portal para configurar directivas SSL específicas del cliente de escucha en Azure Application Gateway. Las directivas SSL específicas del cliente de escucha permiten configurar agentes de escucha específicos para usar directivas SSL diferentes entre sí. Todavía puede establecer una directiva SSL predeterminada que usan todos los clientes de escucha a menos que la directiva SSL específica del cliente de escucha la sobrescriba. En este artículo se describe cómo usar Azure Portal para configurar directivas SSL específicas del cliente de escucha en Application Gateway. Las directivas SSL específicas del cliente de escucha permiten configurar agentes de escucha específicos para usar directivas SSL diferentes entre sí. Todavía podrá establecer una directiva SSL predeterminada que usan todos los clientes de escucha a menos que la directiva SSL específica del cliente de escucha la sobrescriba.

Importante

A partir del 31 de agosto de 2025, todos los clientes y servidores back-end que interactúan con Azure Application Gateway deben usar la seguridad de la capa de transporte (TLS) 1.2 o superior, ya que la compatibilidad con TLS 1.0 y 1.1 se interrumpirá.

Nota:

Solo Standard_v2 y WAF_v2 SKU admiten políticas específicas del oyente. Las directivas específicas del agente de escucha forman parte de los perfiles SSL y los perfiles SSL solo se admiten en Application Gateway v2.

Prerrequisitos

Antes de comenzar, asegúrese de que tiene:

  • Una suscripción de Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.
  • Una instancia existente de Azure Application Gateway (Standard_v2 o SKU de WAF_v2)
  • Permisos adecuados para modificar las configuraciones de Application Gateway

Creación de una nueva instancia de Application Gateway

En primer lugar, crea una nueva instancia de Application Gateway como lo harías normalmente a través del portal. No se necesitan más pasos durante la creación para configurar directivas SSL específicas del agente de escucha. Para más información sobre cómo crear una instancia de Application Gateway en el portal, consulte el tutorial de inicio rápido del portal.

En primer lugar, cree una nueva Application Gateway como lo haría habitualmente a través del portal; no se requieren pasos adicionales en la creación para configurar políticas SSL específicas del oyente. Para más información sobre cómo crear una instancia de Application Gateway en el portal, consulte nuestro tutorial de inicio rápido del portal.

Configuración de una directiva SSL para el listener

Antes de continuar, estos son algunos aspectos importantes para las políticas SSL específicas del receptor:

SSL-Policies

  • Se recomienda usar TLS 1.2 o superior.

  • No es necesario configurar la autenticación de cliente en un perfil SSL para asociarlo a una escucha. Solo puede configurar la autenticación de cliente, solo la directiva SSL específica del agente de escucha o ambas en el perfil SSL.

  • Use una directiva predefinida de 2022 o personalizada v2, mejora la seguridad y el rendimiento de SSL para todo el Application Gateway (la directiva SSL y el perfil SSL). Por lo tanto, no puede tener escuchadores diferentes usando simultáneamente directivas SSL heredadas y las nuevas.

  • Se recomienda usar TLS 1.2, ya que esta versión será obligatoria en el futuro.

  • No es necesario configurar la autenticación de cliente en un perfil SSL para asociarlo a un oyente. Puede tener únicamente la autenticación de cliente, o solo la directiva SSL específica del cliente de escucha, o las dos en el perfil SSL.

  • El uso de una política Predefinida 2022 o Customv2 mejora la seguridad y el rendimiento de SSL para toda la puerta de enlace (política SSL y perfil SSL). Por lo tanto, no puede tener agentes de escucha diferentes en directivas SSL antiguas y nuevas (predefinidas o personalizadas).

    Escenario de ejemplo: si actualmente usa la directiva SSL y el perfil SSL con directivas o cifrados "heredados", la actualización a una directiva predefinida o personalizada v2 "nueva" para cualquier componente también requiere la actualización de la otra configuración. Puede usar las nuevas directivas predefinidas, la directiva Personalizada v2 o una combinación.

SSL-Policies Para configurar una directiva SSL específica del cliente de escucha, primero debe ir a la pestaña Configuración de SSL en Azure Portal y crear un nuevo perfil SSL. Al crear un perfil SSL, verá dos pestañas: Autenticación de cliente y Directiva SSL. La pestaña Directiva SSL se usa para configurar una directiva SSL específica del agente de escucha. La pestaña Autenticación de cliente es donde se cargan los certificados de cliente para la autenticación mutua. Para obtener más información, consulte Configuración de la autenticación mutua.

Para configurar una directiva SSL específica del agente de escucha, primero debe ir a la pestaña Configuración de SSL en el portal y crear un nuevo perfil SSL. Al crear un perfil SSL, verá dos pestañas: Autenticación de cliente y Directiva SSL. La pestaña Directiva SSL es configurar una directiva SSL específica del agente de escucha. La pestaña Autenticación de cliente es donde cargar un certificado de cliente para la autenticación mutua; para obtener más información, consulte Configuración de una autenticación mutua.

  1. Busque Application Gateway en el portal, seleccione Puertas de enlace de aplicaciones y seleccione La puerta de enlace de aplicaciones existente.

  2. Seleccione Configuración de SSL en el menú de la izquierda.

  3. Seleccione el signo más junto a Perfiles SSL en la parte superior para crear un nuevo perfil SSL.

  4. Escriba un nombre en Nombre de perfil SSL. En este ejemplo, denominamos nuestro perfil SSL applicationGatewaySSLProfile.

  5. Vaya a la pestaña Directiva SSL y active la casilla Habilitar directiva SSL específica del agente de escucha .

  6. Configure la directiva SSL específica del oyente de acuerdo con sus necesidades. Puede elegir entre directivas SSL predefinidas y personalizar su propia directiva SSL. Para obtener más información sobre las directivas SSL, consulte Introducción a la directiva SSL. Se recomienda usar TLS 1.2 o superior.

    Nota:

    Esta directiva es la versión más reciente de la directiva SSL disponible, que se recomienda para garantizar la mejor seguridad SSL. Si la puerta de enlace está configurada para controlar el tráfico anterior, es posible que tenga que elegir una directiva anterior para asegurarse de que todo el tráfico se controla correctamente.

  7. Seleccione Agregar para guardar.

    Captura de pantalla de la adición de una directiva SSL específica del agente de escucha al perfil SSL en Azure Portal.

Asociación del perfil SSL con un cliente de escucha

Ahora ha creado un perfil SSL con una directiva SSL específica del cliente de escucha. Debe asociar el perfil SSL con el escuchador para activar la política específica del mismo.

  1. Vaya a su instancia de Application Gateway.

  2. Seleccione Listeners en el menú de la izquierda.

  3. Seleccione Agregar agente de escucha si aún no tiene configurado un agente de escucha HTTPS. Si ya tiene un agente de escucha HTTPS, selecciónelo en la lista.

  4. Rellene el nombre del agente de escucha, la dirección IP de front-end, el puerto y otras configuraciones HTTPS para satisfacer sus requisitos.

  5. Seleccione Agregar para guardar el nuevo agente de escucha con el perfil SSL asociado.

  6. Compruebe que la directiva SSL es correcta o seleccione Cambiar para elegir otra directiva SSL. Entre las opciones disponibles se incluyen:

    • Predeterminado
    • Predefinido
    • Personalizado
    • CustomV2 Seleccione el perfil SSL que creó en la lista desplegable. En este ejemplo, se elige el perfil SSL creado en los pasos anteriores: applicationGatewaySSLProfile.

  7. Seleccione la pestaña Listener TLS Certificates en la segunda pestaña.

  8. Seleccione + Agregar certificado.

  9. Rellene el nombre del certificado, el archivo de certificado PFX, el tipo y otra contraseña para satisfacer sus requisitos.

  10. Seleccione Agregar para guardar el nuevo certificado TLS del agente de escucha con el perfil SSL asociado.

  11. Siga configurando el resto del cliente de escucha de acuerdo con sus requisitos.

    Captura de pantalla de la asociación de perfiles SSL para un nuevo agente de escucha.

Limitaciones

SSL-Policies

Existen limitaciones actuales con Azure Application Gateway con respecto a las directivas SSL:

  • Diferentes agentes de escucha que usan el mismo puerto no pueden tener directivas SSL (predefinidas o personalizadas) con diferentes versiones del protocolo TLS.
  • La configuración de la misma versión de TLS para diferentes agentes de escucha funciona para establecer las preferencias del conjunto de cifrado para cada agente de escucha.
  • Para usar diferentes versiones del protocolo TLS para agentes de escucha independientes, debe usar puertos distintos para cada agente de escucha. Ahora hay una limitación en Application Gateway que los distintos agentes de escucha que usan el mismo puerto no pueden tener directivas SSL (predefinidas o personalizadas) con diferentes versiones del protocolo TLS. Elegir la misma versión de TLS para diferentes agentes de escucha funciona para configurar la preferencia del conjunto de cifrado para cada agente de escucha. Sin embargo, para usar diferentes versiones del protocolo TLS para agentes de escucha independientes, debe usar puertos distintos para cada uno.

Pasos siguientes

Administrar el tráfico web con Application Gateway mediante la CLI de Azure

  • Last updated on