Végpontok közötti TLS az Azure Front Door használatával

A Transport Layer Security (TLS), korábbi nevén Secure Sockets Layer (SSL) a webkiszolgáló és az ügyfél közötti titkosított kapcsolat, például a webböngészők közötti titkosított kapcsolat létrehozására szolgáló szabványos biztonsági technológia. Ez a hivatkozás biztosítja, hogy a kiszolgáló és az ügyfél között átadott összes adat privát és titkosított maradjon.

A biztonsági vagy megfelelőségi követelmények teljesítése érdekében az Azure Front Door támogatja a teljes körű TLS-titkosítást. A Front Door TLS/SSL kiszervezés megszakítja a TLS-kapcsolatot, visszafejti a forgalmat az Azure Front Doorban, és újra titkosítja a forgalmat, mielőtt továbbítanák a forráshoz. Ha a forráshoz való csatlakozás a forrás nyilvános IP-címét használja, érdemes a HTTPS-t továbbítási protokollként konfigurálni az Azure Front Dooron. A HTTPS továbbítási protokoll használatával teljes körű TLS-titkosítást kényszeríthet ki az ügyféltől a forrásig irányuló kérés teljes feldolgozásához. A TLS/SSL-kiszervezés akkor is támogatott, ha privát forrást helyez üzembe az Azure Front Door Premiumban a Private Link funkcióval.

Ez a cikk bemutatja, hogyan működik az Azure Front Door TLS-kapcsolatokkal. A TLS-tanúsítványok saját egyéni tartományokkal való használatáról további információt az egyéni tartományok HTTPS-jével kapcsolatban talál. Ha tudni szeretné, hogyan konfigurálhat TLS-tanúsítványt saját egyéni tartományán, olvassa el az Egyéni tartomány konfigurálása az Azure Front Dooron az Azure Portal használatával című témakört.

Végpontok közötti TLS-titkosítás

A végpontok közötti TLS lehetővé teszi a bizalmas adatok biztonságossá tételét a forrásba való átvitel során, miközben kihasználja az Azure Front Door olyan funkcióit, mint a globális terheléselosztás és gyorsítótárazás. Egyes funkciók közé tartozik az URL-alapú útválasztás, a TCP felosztása, az ügyfelekhez legközelebbi peremhálózati gyorsítótárazás, valamint a HTTP-kérések testreszabása a peremhálózaton.

Az Azure Front Door kicsomagolja a TLS-munkameneteket a peremhálózaton, és visszafejti az ügyfélkéréseket. Ezután alkalmazza a konfigurált útválasztási szabályokat, hogy a kéréseket a forráscsoport megfelelő forrásához irányíthassa. Az Azure Front Door ezután elindít egy új TLS-kapcsolatot a forráshoz, és újra titkosítja az összes adatot a forrástanúsítvány használatával, mielőtt továbbítanák a kérést a forrásnak. A forrásból érkező összes válasz titkosítva lesz ugyanazon a folyamaton keresztül a végfelhasználónak. Az Azure Front Door úgy konfigurálható, hogy a https protokollt használja továbbítási protokollként a teljes körű TLS engedélyezéséhez.

Támogatott TLS-verziók

Az Azure Front Door a TLS protokoll négy verzióját támogatja: a TLS 1.0-s, 1.1-s, 1.2-s és 1.3-os verzióját. A 2019 szeptembere után létrehozott összes Azure Front Door-profil a TLS 1.2-t használja alapértelmezett minimumként a TLS 1.3 engedélyezésével, de a TLS 1.0 és a TLS 1.1 továbbra is támogatott a visszamenőleges kompatibilitás érdekében.

Bár az Azure Front Door támogatja a TLS 1.2-t, amely az 5246-os RFC-ben bevezette az ügyfél-kölcsönös hitelesítést, az Azure Front Door jelenleg nem támogatja az ügyfél-/kölcsönös hitelesítést (mTLS).

A minimális TLS-verziót az Azure Front Doorban az egyéni tartomány HTTPS-beállításai között konfigurálhatja az Azure Portal vagy az Azure REST API használatával. Jelenleg 1.0 és 1.2 között választhat. Ezért a TLS 1.2 minimális verzióként való megadása szabályozza, hogy az Azure Front Door minimálisan elfogadható TLS-verziót fogadja el az ügyféltől. Az 1.2-es minimális TLS-verzió esetében a tárgyalás megkísérli létrehozni a TLS 1.3-as, majd a TLS 1.2-es verzióját, a minimális TLS 1.0-s verzió esetében pedig mind a négy verziót. Amikor az Azure Front Door TLS-forgalmat kezdeményez a forrás felé, megkísérli egyeztetni a legjobb TLS-verziót, amelyet a forrás megbízhatóan és következetesen elfogad. A forráskapcsolatok támogatott TLS-verziói a TLS 1.0, a TLS 1.1, a TLS 1.2 és a TLS 1.3.

Feljegyzés

• A TLS 1.3-kompatibilis ügyfeleknek támogatniuk kell a Microsoft SDL-kompatibilis EC-görbék egyikét, beleértve a Secp384r1, a Secp256r1 és a Secp521 protokollt is, hogy az Azure Front Door segítségével sikeresen lehessen kéréseket küldeni a TLS 1.3 használatával.
• Javasoljuk, hogy az ügyfelek a kérések során ezen görbék egyikét használják előnyben részesített görbeként a megnövekedett TLS kézfogási késés elkerülése érdekében, ami a támogatott EK-görbe egyeztetéséhez több körúttal is járhat.

Támogatott tanúsítványok

A TLS/SSL-tanúsítvány létrehozásakor létre kell hoznia egy teljes tanúsítványláncot egy engedélyezett hitelesítésszolgáltatóval (CA), amely a Microsoft megbízható hitelesítésszolgáltatói listájának része. Ha nem engedélyezett hitelesítésszolgáltatót használ, a kérelme el lesz utasítva.

A belső hitelesítésszolgáltatóktól vagy önaláírt tanúsítványoktól származó tanúsítványok nem engedélyezettek.

Online tanúsítványállapot-protokoll (OCSP) stapling

Az OCSP-stapling alapértelmezés szerint támogatott az Azure Front Doorban, és nincs szükség konfigurációra.

Origin TLS-kapcsolat (Azure Front Door to origin)

HTTPS-kapcsolatok esetén az Azure Front Door elvárja, hogy a forrás egy érvényes hitelesítésszolgáltatótól (CA) származó tanúsítványt mutasson be a forrás gazdagép nevével egyező tulajdonosnévvel. Ha például a forrás állomásneve be van állítva myapp-centralus.contosonews.net , és a TLS-kézfogás során a forrás által megadott tanúsítvány nem rendelkezik myapp-centralus.contosonews.net vagy *.contosonews.net szerepel a tulajdonos nevével, akkor az Azure Front Door elutasítja a kapcsolatot, és az ügyfél hibát lát.

Feljegyzés

A tanúsítványnak teljes tanúsítványlánccal kell rendelkeznie levél- és köztes tanúsítványokkal. A legfelső szintű hitelesítésszolgáltatónak a Microsoft megbízható hitelesítésszolgáltatói listájának részét kell képeznie. Ha teljes lánc nélküli tanúsítvány jelenik meg, a tanúsítványt tartalmazó kérések nem garantáltan a várt módon fognak működni.

Bizonyos használati esetekben, például teszteléshez, a sikertelen HTTPS-kapcsolat megoldásának kerülő megoldásaként letilthatja a tanúsítvány tulajdonosának névellenőrzését az Azure Front Doorhoz. Vegye figyelembe, hogy a forrásnak továbbra is érvényes megbízható lánccal kell bemutatnia egy tanúsítványt, de nem kell megegyeznie a forrás gazdagép nevével.

Az Azure Front Door Standardban és a Premiumban konfigurálhat egy forrást a tanúsítvány tulajdonosának névellenőrzésének letiltásához.

Az Azure Front Doorban (klasszikus) az Azure Portalon az Azure Front Door beállításainak módosításával letilthatja a tanúsítvány tulajdonosának névellenőrzését. Az ellenőrzést a háttérkészlet beállításaival is konfigurálhatja az Azure Front Door API-kban.

Feljegyzés

Biztonsági szempontból a Microsoft nem javasolja a tanúsítvány tulajdonosának névellenőrzésének letiltását.

Előtérbeli TLS-kapcsolat (ügyfél az Azure Front Doorhoz)

Ha engedélyezni szeretné a HTTPS protokollt a tartalmak biztonságos kézbesítéséhez egy Egyéni Azure Front Door-tartományon, használhat egy, az Azure Front Door által felügyelt tanúsítványt, vagy használhatja a saját tanúsítványát.

További információ: HTTPS az egyéni tartományokhoz.

Az Azure Front Door felügyelt tanúsítványa szabványos TLS/SSL-tanúsítványt biztosít a DigiCerten keresztül, és az Azure Front Door Key Vaultjában tárolja.

Ha úgy dönt, hogy saját tanúsítványt használ, létrehozhat egy tanúsítványt egy támogatott hitelesítésszolgáltatótól, amely lehet standard TLS, kiterjesztett érvényesítési tanúsítvány vagy akár helyettesítő tanúsítvány is. Az önaláírt tanúsítványok nem támogatottak. Megtudhatja , hogyan engedélyezheti a HTTPS-t egyéni tartományokhoz.

Tanúsítvány automatikus kiírása

Az Azure Front Door által felügyelt tanúsítványbeállítás esetében a tanúsítványokat az Azure Front Door a lejárati időtől számított 90 napon belül kezeli és automatikusan elforgatja. Az Azure Front Door Standard/Premium felügyelt tanúsítvány lehetőség esetén a tanúsítványokat az Azure Front Door a lejárati időtől számított 45 napon belül kezeli és automatikusan elforgatja. Ha felügyelt Azure Front Door-tanúsítványt használ, és azt látja, hogy a tanúsítvány lejárati dátuma kevesebb, mint 60 nap, a Standard/Premium termékváltozat esetében pedig 30 nap, küldjön támogatási jegyet.

Saját egyéni TLS/SSL-tanúsítvány esetén:

1. A titkos verziót a "Legújabb" értékre állítja, hogy a tanúsítvány automatikusan a legújabb verzióra váltson, ha a tanúsítvány újabb verziója elérhető a kulcstartóban. Egyéni tanúsítványok esetén a tanúsítvány automatikusan 3–4 napon belül automatikusan el lesz forgatva a tanúsítvány újabb verziójával, függetlenül attól, hogy a tanúsítvány lejárt-e.

2. Ha egy adott verzió van kiválasztva, az automatikus kiírás nem támogatott. A tanúsítvány elforgatásához manuálisan kell újra kijelölnie az új verziót. A tanúsítvány/titkos kód új verziójának üzembe helyezése akár 24 órát is igénybe vehet.

   Feljegyzés

   Az Azure Front Door (Standard és Premium) által felügyelt tanúsítványok automatikusan el lesznek forgatva, ha a tartomány CNAME rekordja közvetlenül egy Front Door-végpontra mutat, vagy közvetve egy Traffic Manager-végpontra mutat. Ellenkező esetben újra kell ellenőriznie a tartomány tulajdonjogát a tanúsítványok elforgatásához.

   Gondoskodnia kell arról, hogy a Front Door szolgáltatásnév hozzáférhessen a kulcstartóhoz. Tekintse meg, hogyan adhat hozzáférést a kulcstartóhoz. Az Azure Front Door által frissített tanúsítvány-bevezetési művelet nem okoz éles üzemszünetet, ha a tanúsítvány tulajdonosának vagy tulajdonosának alternatív neve (SAN) nem változott.

Támogatott titkosítási csomagok

A TLS 1.2/1.3-hoz a következő titkosítási csomagok támogatottak:

• TLS_AES_256_GCM_SHA384 (csak TLS 1.3)
• TLS_AES_128_GCM_SHA256 (csak TLS 1.3)
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Feljegyzés

Windows 10 és újabb verziók esetén javasoljuk, hogy engedélyezze az egyik vagy mindkét ECDHE_GCM titkosítási csomagot a jobb biztonság érdekében. A Windows 8.1, 8 és 7 nem kompatibilis ezekkel a ECDHE_GCM titkosítási csomagokkal. A ECDHE_CBC és a DHE titkosítási csomagokat az operációs rendszerekkel való kompatibilitás érdekében biztosítottuk.

Ha egyéni tartományokat használ a TLS 1.0 és az 1.1 engedélyezésével, a következő titkosítási csomagok támogatottak:

• TLS_AES_256_GCM_SHA384 (csak TLS 1.3)
• TLS_AES_128_GCM_SHA256 (csak TLS 1.3)
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Az Azure Front Door nem támogatja adott titkosítási csomagok letiltását vagy konfigurálását a profilhoz.

Következő lépések

• Az Azure Front Door egyéni tartományainak ismertetése.
• Egyéni tartomány konfigurálása az Azure Front Dooron az Azure Portal használatával.
• Ismerje meg a végpontok közötti TLS-t az Azure Front Door használatával.

• Egyéni tartomány konfigurálása az Azure Front Doorhoz.
• Engedélyezze a HTTPS-t egy egyéni tartományhoz.