Compartir vía


Configuración de directivas SSL específicas del cliente de escucha en Application Gateway mediante el portal

En este artículo se describe cómo usar Azure Portal para configurar directivas SSL específicas del cliente de escucha en Application Gateway. Las directivas SSL específicas del cliente de escucha permiten configurar clientes de escucha determinados para usar diferentes directivas SSL entre sí. Todavía podrá establecer una directiva SSL predeterminada que usarán todos los clientes de escucha a menos que la directiva SSL específica del cliente de escucha la sobrescriba.

Nota:

Solo las SKU Standard_v2 y WAF_v2 admiten directivas específicas del cliente de escucha, ya que estas directivas forman parte de los perfiles SSL, y estos solo se admiten en las puertas de enlace v2.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Crear una nueva instancia de Application Gateway

En primer lugar, cree una instancia de Application Gateway como lo haría normalmente mediante el portal: no se necesitan pasos adicionales en esta fase para configurar directivas SSL específicas del cliente de escucha. Para más información sobre cómo crear una instancia de Application Gateway en el portal, consulte nuestro tutorial de inicio rápido del portal.

Configuración de una directiva SSL específica del cliente de escucha

Antes de continuar, estos son algunos puntos importantes relacionados con la directiva SSL específica del cliente de escucha.

  • Se recomienda usar TLS 1.2, ya que esta versión será obligatoria en el futuro.

  • No es necesario configurar la autenticación de cliente en un perfil SSL para asociarlo a un cliente de escucha. Puede tener únicamente la autenticación de cliente, o solo la directiva SSL específica del cliente de escucha, o las dos en el perfil SSL.

  • El uso de una directiva Predefinida en 2022 o Personalizadav2 mejora la seguridad y el rendimiento de SSL para toda la puerta de enlace (directiva SSL y perfil SSL). Por lo tanto, no puede tener agentes de escucha diferentes tanto en las antiguas directivas SSL como en las nuevas directivas (predefinidas o personalizadas).

    Considere este ejemplo, actualmente está usando la directiva SSL y el perfil SSL con directivas o cifrados "más antiguos". Para usar una directiva predefinida o Personalizadav2 "nueva" para cualquiera de ellas, también necesitará actualizar la otra configuración. Puede usar las nuevas directivas predefinidas, o la directiva personalizadav2, o combinarlas en la puerta de enlace.

Para configurar una directiva SSL específica del cliente de escucha, primero debe ir a la pestaña Configuración de SSL del portal y crear un perfil SSL. Cuando cree un perfil SSL, verá dos pestañas: Autenticación de cliente y Directiva SSL. La pestaña Directiva SSL sirve para configurar una directiva SSL específica del cliente de escucha. En la pestaña Autenticación de cliente se cargan los certificados de cliente para la autenticación mutua. Para más información, consulte Configuración de una autenticación mutua.

  1. Busque Application Gateway en el portal, seleccione Puertas de enlace de aplicaciones y haga clic en la instancia de Application Gateway existente.

  2. Seleccione Configuración de SSL en el menú de la izquierda.

  3. Haga clic en el signo más situado junto a SSL Profiles (Perfiles SSL) en la parte superior para crear un perfil SSL.

  4. En SSL Profile Name (Nombre del perfil SSL), escriba un nombre. En este ejemplo, el perfil se llama applicationGatewaySSLProfile.

  5. Vaya a la pestaña Directiva SSL y active la casilla Enable listener-specific SSL Policy (Habilitar directiva SSL específica del cliente de escucha).

  6. Configure la directiva SSL específica del cliente de escucha según sus requisitos. Puede elegir entre las directivas SSL predefinidas o personalizar la suya propia. Para más información sobre las directivas SSL, consulte Introducción a la directiva SSL. Se recomienda el uso de TLS 1.2.

  7. Seleccione Agregar para guardar la configuración.

    Add listener specific SSL policy to SSL profile

Asociación del perfil SSL con un cliente de escucha

Ahora que hemos creado un perfil SSL con una directiva SSL específica del cliente de escucha, es necesario asociar el perfil SSL al cliente de escucha para poner en marcha la directiva.

  1. Vaya a su instancia de Application Gateway. Si acaba de completar los pasos anteriores, no es necesario hacer nada aquí.

  2. Seleccione Clientes de escucha en el menú de la izquierda.

  3. Haga clic en Agregar agente de escucha si aún no tiene configurado un cliente de escucha HTTPS. Si ya tiene un cliente de escucha HTTPS, haga clic en él en la lista.

  4. Rellene los campos Nombre del agente de escucha, IP de front-end, Puerto y Protocolo, y configure otros valores HTTPS para que se adapten a sus necesidades.

  5. Active la casilla Enable SSL Profile (Habilitar perfil SSL) para poder seleccionar el perfil SSL que se va a asociar con el cliente de escucha.

  6. En la lista desplegable, seleccione el perfil SSL que ha creado. En este ejemplo, elegimos el perfil SSL que hemos creado en los pasos anteriores: applicationGatewaySSLProfile.

  7. Siga configurando el resto del cliente de escucha de acuerdo con sus requisitos.

  8. Haga clic en Agregar para guardar el nuevo cliente de escucha con el perfil SSL asociado.

    Associate SSL profile to new listener

Limitaciones

Hay una limitación en este momento en Application Gateway por la que los distintos clientes de escucha que usan el mismo puerto no pueden tener directivas SSL (predefinidas o personalizadas) con versiones de protocolo TLS diferentes. La elección de la misma versión de TLS para distintos clientes de escucha funcionará a fin de configurar la preferencia del conjunto de cifrado para cada cliente de escucha. Pero a fin de usar diferentes versiones del protocolo TLS para clientes de escucha independientes, deberá usar puertos distintos para cada uno.

Pasos siguientes