Figyelőspecifikus SSL-szabályzatok konfigurálása az Application Gatewayen a portálon keresztül
Ez a cikk azt ismerteti, hogyan konfigurálhat figyelőspecifikus SSL-szabályzatokat az Azure Portal használatával az Application Gatewayen. A figyelőspecifikus SSL-szabályzatok lehetővé teszik adott figyelők konfigurálását, hogy egymástól eltérő SSL-szabályzatokat használjanak. Továbbra is beállíthat egy alapértelmezett SSL-házirendet, amelyet az összes figyelő használ, kivéve, ha a figyelőspecifikus SSL-szabályzat felülírja.
Megjegyzés:
Csak Standard_v2 és WAF_v2 termékváltozatok támogatják a figyelőspecifikus szabályzatokat, mivel a figyelőspecifikus szabályzatok az SSL-profilok részét képezik, és az SSL-profilok csak a v2-átjárókon támogatottak.
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Új Application Gateway létrehozása
Először hozzon létre egy új Application Gatewayt, ahogyan azt általában a portálon tenné – a figyelőspecifikus SSL-szabályzatok konfigurálásához nincs szükség további lépésekre a létrehozás során. Az Application Gateway portálon való létrehozásáról további információt a portál rövid útmutatójában talál.
Figyelőspecifikus SSL-szabályzat beállítása
A folytatás előtt íme néhány fontos pont a figyelőspecifikus SSL-szabályzattal kapcsolatban.
Javasoljuk a TLS 1.2 használatát, mivel ez a verzió a jövőben lesz kötelező.
Nem kell ügyfél-hitelesítést konfigurálnia egy SSL-profilon ahhoz, hogy azt egy figyelőhöz társítsa. Csak ügyfélhitelesítést vagy figyelőspecifikus SSL-szabályzatot konfigurálhat, vagy mindkettő konfigurálható az SSL-profilban.
A 2022-es előre definiált vagy Customv2-szabályzatok használata növeli az SSL biztonságát és teljesítményét a teljes átjárón (SSL-szabályzat és SSL-profil). Ezért nem rendelkezhet különböző figyelőkkel mind a régi, mind az új SSL-szabályzatokon (előre definiált vagy egyéni).
Vegyük ezt a példát, jelenleg SSL-szabályzatot és SSL-profilt használ a "régebbi" szabályzatokkal/titkosításokkal. Ha egy "új" előre definiált vagy Customv2 szabályzatot szeretne használni bármelyikükhöz, a másik konfiguráció frissítésére is szükség lesz. Használhatja az új előre definiált szabályzatokat, vagy a customv2 szabályzatot, vagy ezek kombinációját az átjárón keresztül.
Egy figyelőspecifikus SSL-szabályzat beállításához először a Portál SSL-beállítások lapjára kell lépnie, és létre kell hoznia egy új SSL-profilt. Ssl-profil létrehozásakor két lap jelenik meg: ügyfél-hitelesítés és SSL-szabályzat. Az SSL-házirend lap egy figyelőspecifikus SSL-szabályzat konfigurálása. Az Ügyfélhitelesítés lapon tölthet fel egy ügyféltanúsítványt a kölcsönös hitelesítéshez – további információt a kölcsönös hitelesítés konfigurálásával kapcsolatban talál.
Keresse meg az Application Gatewayt a portálon, válassza az Application Gateway-eket, és kattintson a meglévő Application Gatewayre.
Válassza ki az SSL-beállításokat a bal oldali menüből.
Kattintson a felül található SSL-profilok melletti pluszjelre egy új SSL-profil létrehozásához.
Adjon meg egy nevet az SSL-profil neve alatt. Ebben a példában az SSL-profilalkalmazásunkatGatewaySSLProfile-nak hívjuk.
Lépjen az SSL-házirend lapra, és jelölje be a figyelőspecifikus SSL-házirend engedélyezése jelölőnégyzetet.
Állítsa be a figyelőspecifikus SSL-szabályzatot a követelményeknek megfelelően. Választhat az előre definiált SSL-szabályzatok és a saját SSL-szabályzatok testreszabása között. Az SSL-szabályzatokkal kapcsolatos további információkért tekintse meg az SSL-szabályzatok áttekintését. A TLS 1.2 használatát javasoljuk
A mentéshez válassza a Hozzáadás lehetőséget.
Az SSL-profil társítása egy figyelőhöz
Most, hogy létrehoztunk egy SSL-profilt egy figyelőspecifikus SSL-szabályzattal, társítanunk kell az SSL-profilt a figyelőhöz, hogy működésbe hozza a figyelőspecifikus szabályzatot.
Lépjen a meglévő Application Gatewayre. Ha most hajtotta végre a fenti lépéseket, itt semmit sem kell tennie.
Válassza a Figyelők lehetőséget a bal oldali menüből.
Ha még nincs beállítva HTTPS-figyelő, kattintson a Figyelő hozzáadása elemre. Ha már rendelkezik HTTPS-figyelőjével, kattintson rá a listából.
Töltse ki a figyelő nevét, az előtérbeli IP-címet, a portot, a protokollt és más HTTPS-Gépház a követelményeknek megfelelően.
Jelölje be az SSL-profil engedélyezése jelölőnégyzetet, hogy kiválaszthatja, hogy melyik SSL-profilt társítja a figyelőhöz.
Válassza ki a legördülő listából létrehozott SSL-profilt. Ebben a példában a korábbi lépésekből létrehozott SSL-profilt választjuk ki: applicationGatewaySSLProfile.
Folytassa a figyelő fennmaradó részének konfigurálását a követelményeknek megfelelően.
A Hozzáadás gombra kattintva mentse az új figyelőt a hozzá társított SSL-profillal.
Korlátozások
Jelenleg az Application Gatewayen van egy korlátozás, amely szerint az azonos portot használó különböző figyelők nem rendelkezhet ssl-szabályzatokkal (előre definiált vagy egyéni) különböző TLS-protokollverziókkal. Ha ugyanazt a TLS-verziót választja a különböző figyelőkhöz, az minden figyelőhöz konfigurálja a titkosítási csomag beállításait. Ha azonban különböző TLS protokollverziókat szeretne használni a különálló figyelőkhöz, mindegyikhez külön portokat kell használnia.