Partager via

Configurer des stratégies SSL spécifiques à l’écouteur sur Application Gateway via le portail

Cet article explique comment utiliser le portail Azure pour configurer des stratégies SSL spécifiques à l’écouteur sur votre instance Azure Application Gateway. Les stratégies SSL spécifiques à l’écouteur vous permettent de configurer des écouteurs spécifiques pour utiliser différentes stratégies SSL les unes des autres. Vous pouvez toujours définir une stratégie SSL par défaut que tous les écouteurs utilisent, sauf substitution par la stratégie SSL spécifique à l’écouteur. Cet article explique comment utiliser le portail Azure pour configurer des stratégies SSL spécifiques à l’écouteur sur votre application Gateway. Les stratégies SSL spécifiques à l’écouteur vous permettent de configurer des écouteurs spécifiques pour utiliser différentes stratégies SSL les unes des autres. Vous pourrez toujours définir une stratégie SSL par défaut que tous les auditeurs utilisent, à moins qu'elle ne soit remplacée par la stratégie SSL spécifique à l'auditeur.

Important

À compter du 31 août 2025, tous les clients et serveurs back-end qui interagissent avec Azure Application Gateway doivent utiliser le protocole TLS (Transport Layer Security) 1.2 ou une version plus récente, car la prise en charge des protocoles TLS 1.0 et 1.1 sera interrompue.

Remarque

Seuls les SKU Standard_v2 et WAF_v2 prennent en charge les stratégies spécifiques à l'écouteur. Les stratégies spécifiques à l’écouteur font partie des profils SSL, et les profils SSL ne sont pris en charge que sur les passerelles d’application v2.

Conditions préalables

Avant de commencer, vérifiez que vous disposez des points suivants :

  • Un abonnement Azure. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
  • Une Application Gateway d'Azure existante (SKU Standard_v2 ou WAF_v2)
  • Autorisations appropriées pour modifier les configurations d’Application Gateway

Créer une passerelle d'application

Tout d'abord, créez une passerelle d'application comme d'habitude via le portail. Il n’y a plus d’étapes nécessaires lors de la création pour configurer des stratégies SSL spécifiques à l’écouteur. Pour plus d’informations sur la création d’une passerelle Application Gateway dans le portail, consultez le didacticiel de démarrage rapide du portail.

Commencez par créer une passerelle applicative comme vous le feriez généralement sur le portail. Il n’y a pas d’étape supplémentaire nécessaire dans la création pour configurer des stratégies SSL spécifiques à l’écouteur. Pour plus d’informations sur la création d’une passerelle Application Gateway dans le portail, consultez notre didacticiel de démarrage rapide sur le portail.

Configurer une stratégie SSL spécifique à l’écouteur

Avant de continuer, voici quelques considérations importantes pour les stratégies SSL spécifiques à l’écouteur :

Stratégies SSL

  • Nous vous recommandons d’utiliser TLS 1.2 ou version ultérieure

  • Vous n’avez pas besoin de configurer l’authentification du client sur un profil SSL pour l’associer à un écouteur. Vous pouvez configurer uniquement l’authentification du client, uniquement une stratégie SSL spécifique à l’écouteur ou les deux dans votre profil SSL.

  • Utilisez une stratégie 2022 prédéfinie ou personnalisée v2, améliore la sécurité et les performances SSL pour l’ensemble de la passerelle Application Gateway (stratégie SSL et profil SSL). Par conséquent, vous ne pouvez pas avoir d’écouteurs différents en utilisant simultanément des stratégies SSL héritées et nouvelles.

  • Nous vous recommandons d’utiliser TLS 1.2, car cette version sera mandatée à l’avenir.

  • Vous n’avez pas besoin de configurer l’authentification du client sur un profil SSL pour l’associer à un écouteur. Vous ne pouvez avoir que l’authentification cliente ou une stratégie SSL spécifique à l’écouteur configurée, ou les deux configurées dans votre profil SSL.

  • L’utilisation d’une stratégie prédéfinie ou Customv2 2022 améliore la sécurité et les performances SSL pour l’ensemble de la passerelle (stratégie SSL et profil SSL). Par conséquent, vous ne pouvez pas avoir d'auditeurs différents sur les anciennes et nouvelles stratégies SSL (prédéfinies ou personnalisées).

    Exemple de scénario : si vous utilisez actuellement une stratégie SSL et un profil SSL avec des stratégies/chiffrements « hérités », la mise à niveau vers une stratégie prédéfinie ou personnalisée v2 pour n’importe quel composant nécessite également la mise à niveau de l’autre configuration. Vous pouvez utiliser les nouvelles stratégies prédéfinies, la stratégie v2 personnalisée ou une combinaison.

SSL-Policies Pour configurer une stratégie SSL spécifique à l’écouteur, vous devez d’abord accéder à l’onglet Paramètres SSL dans le portail Azure et créer un profil SSL. Lorsque vous créez un profil SSL, vous voyez deux onglets : Authentification du client et stratégie SSL. L’onglet Stratégie SSL est utilisé pour configurer une stratégie SSL spécifique à l’écouteur. L’onglet Authentification du client est l’emplacement où vous chargez des certificats clients pour l’authentification mutuelle. Pour plus d’informations, consultez Configuration de l’authentification mutuelle.

Pour configurer une stratégie SSL spécifique à l’écouteur, vous devez d’abord accéder à l’onglet Paramètres SSL dans le portail et créer un profil SSL. Lorsque vous créez un profil SSL, vous voyez deux onglets : Authentification du client et stratégie SSL. L’onglet Stratégie SSL consiste à configurer une stratégie SSL spécifique à l’écouteur. L’onglet Authentification du client consiste à charger un certificat client pour l’authentification mutuelle. Pour plus d’informations, consultez Configuration d’une authentification mutuelle.

  1. Recherchez Application Gateway dans le portail, sélectionnez Passerelles d’application, puis sélectionnez votre passerelle Application Gateway existante.

  2. Sélectionnez les paramètres SSL dans le menu de gauche.

  3. Sélectionnez le signe plus en regard des profils SSL en haut pour créer un profil SSL.

  4. Entrez un nom sous nom de profil SSL. Dans cet exemple, nous nomlons notre application de profil SSLGatewaySSLProfile.

  5. Accédez à l’onglet Stratégie SSL et cochez la case Activer la stratégie SSL spécifique à l’écouteur .

  6. Configurez votre stratégie SSL spécifique à l’écouteur en fonction de vos besoins. Vous pouvez choisir entre les stratégies SSL prédéfinies et la personnalisation de votre propre stratégie SSL. Pour plus d’informations sur les stratégies SSL, consultez la vue d’ensemble de la stratégie SSL. Nous vous recommandons d’utiliser TLS 1.2 ou version ultérieure.

    Remarque

    Cette stratégie est la dernière version de la stratégie SSL disponible, qui est recommandée pour garantir la meilleure sécurité SSL. Si votre passerelle est configurée pour gérer le trafic plus ancien, vous devrez peut-être choisir une stratégie plus ancienne pour vous assurer que tout le trafic est géré correctement.

  7. Sélectionnez Ajouter pour enregistrer.

    Capture d’écran de l’ajout d’une stratégie SSL spécifique à l’écouteur au profil SSL dans le portail Azure.

Associer le profil SSL à un écouteur

Vous avez maintenant créé un profil SSL avec une stratégie SSL spécifique à l’écouteur. Vous devez associer le profil SSL à l'auditeur pour activer la stratégie propre à l'auditeur.

  1. Accédez à votre application Gateway existante.

  2. Sélectionnez Écouteurs dans le menu de gauche.

  3. Sélectionnez Ajouter un écouteur si vous n’avez pas encore configuré d’écouteur HTTPS. Si vous disposez déjà d’un écouteur HTTPS, sélectionnez-le dans la liste.

  4. Renseignez le nom de l’écouteur, l’adresse IP frontale, le port et d’autres paramètres HTTPS pour répondre à vos besoins.

  5. Sélectionnez Ajouter pour enregistrer votre nouvel écouteur avec le profil SSL associé.

  6. Vérifiez que la stratégie SSL est correcte ou sélectionnez Modifier pour choisir une autre stratégie SSL. Les options disponibles sont les suivantes :

    • Par défaut
    • Prédéfinis
    • Coutume
    • CustomV2 Sélectionnez le profil SSL que vous avez créé dans la liste déroulante. Dans cet exemple, nous choisissons le profil SSL créé dans les étapes précédentes : applicationGatewaySSLProfile.

  7. Sélectionnez l'onglet Certificats TLS de l’auditeur du deuxième onglet.

  8. Sélectionnez + Ajouter un certificat.

  9. Renseignez le nom du certificat, le fichier de certificat PFX, le type et un autre mot de passe pour répondre à vos besoins.

  10. Sélectionnez Ajouter pour enregistrer votre nouveau certificat TLS de l’écouteur avec le profil SSL associé.

  11. Continuez à configurer le reste de l’écouteur en fonction de vos besoins.

    Capture d’écran de l’association de profil SSL pour un nouvel auditeur.

Limites

Stratégies SSL

Il existe des limitations actuelles avec Azure Application Gateway concernant les stratégies SSL :

  • Différents écouteurs utilisant le même port ne peuvent pas avoir de stratégies SSL (prédéfinies ou personnalisées) avec différentes versions de protocole TLS.
  • La configuration de la même version TLS pour différents écouteurs fonctionne pour définir les préférences de suite de chiffrement pour chaque écouteur.
  • Pour utiliser différentes versions de protocole TLS pour les écouteurs distincts, vous devez utiliser des ports distincts pour chaque écouteur. Il existe actuellement une limitation sur Application Gateway que différents écouteurs utilisant le même port ne peuvent pas avoir de stratégies SSL (prédéfinies ou personnalisées) avec différentes versions de protocole TLS. Le choix de la même version TLS pour différents écouteurs fonctionne pour la configuration de la préférence de suite de chiffrement pour chaque écouteur. Toutefois, pour utiliser différentes versions de protocole TLS pour les écouteurs distincts, vous devez utiliser des ports distincts pour chacun d’eux.

Étapes suivantes

Gérer le trafic web avec une passerelle d’application à l’aide d’Azure CLI

  • Last updated on