Megosztás a következőn keresztül:

Figyelőspecifikus SSL-szabályzatok konfigurálása az Application Gatewayen a portálon keresztül

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhat figyelőspecifikus SSL-szabályzatokat az Azure Portal használatával az Application Gatewayen. A figyelőspecifikus SSL-szabályzatok lehetővé teszik adott figyelők konfigurálását, hogy egymástól eltérő SSL-szabályzatokat használjanak. Továbbra is beállíthat egy alapértelmezett SSL-házirendet, amelyet az összes figyelő használ, kivéve, ha a figyelőspecifikus SSL-szabályzat felülírja.

Megjegyzés:

Csak Standard_v2 és WAF_v2 termékváltozatok támogatják a figyelőspecifikus szabályzatokat, mivel a figyelőspecifikus szabályzatok az SSL-profilok részét képezik, és az SSL-profilok csak a v2-átjárókon támogatottak.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Új Application Gateway létrehozása

Először hozzon létre egy új Application Gatewayt, ahogyan azt általában a portálon tenné – a figyelőspecifikus SSL-szabályzatok konfigurálásához nincs szükség további lépésekre a létrehozás során. Az Application Gateway portálon való létrehozásáról további információt a portál rövid útmutatójában talál.

Figyelőspecifikus SSL-szabályzat beállítása

A folytatás előtt íme néhány fontos pont a figyelőspecifikus SSL-szabályzattal kapcsolatban.

  • Javasoljuk a TLS 1.2 használatát, mivel ez a verzió a jövőben lesz kötelező.

  • Nem kell ügyfél-hitelesítést konfigurálnia egy SSL-profilon ahhoz, hogy azt egy figyelőhöz társítsa. Csak ügyfélhitelesítést vagy figyelőspecifikus SSL-szabályzatot konfigurálhat, vagy mindkettő konfigurálható az SSL-profilban.

  • A 2022-es előre definiált vagy Customv2-szabályzatok használata növeli az SSL biztonságát és teljesítményét a teljes átjárón (SSL-szabályzat és SSL-profil). Ezért nem rendelkezhet különböző figyelőkkel mind a régi, mind az új SSL-szabályzatokon (előre definiált vagy egyéni).

    Vegyük ezt a példát, jelenleg SSL-szabályzatot és SSL-profilt használ a "régebbi" szabályzatokkal/titkosításokkal. Ha egy "új" előre definiált vagy Customv2 szabályzatot szeretne használni bármelyikükhöz, a másik konfiguráció frissítésére is szükség lesz. Használhatja az új előre definiált szabályzatokat, vagy a customv2 szabályzatot, vagy ezek kombinációját az átjárón keresztül.

Egy figyelőspecifikus SSL-szabályzat beállításához először a Portál SSL-beállítások lapjára kell lépnie, és létre kell hoznia egy új SSL-profilt. Ssl-profil létrehozásakor két lap jelenik meg: ügyfél-hitelesítés és SSL-szabályzat. Az SSL-házirend lap egy figyelőspecifikus SSL-szabályzat konfigurálása. Az Ügyfélhitelesítés lapon tölthet fel egy ügyféltanúsítványt a kölcsönös hitelesítéshez – további információt a kölcsönös hitelesítés konfigurálásával kapcsolatban talál.

  1. Keresse meg az Application Gatewayt a portálon, válassza az Application Gateway-eket, és kattintson a meglévő Application Gatewayre.

  2. Válassza ki az SSL-beállításokat a bal oldali menüből.

  3. Kattintson a felül található SSL-profilok melletti pluszjelre egy új SSL-profil létrehozásához.

  4. Adjon meg egy nevet az SSL-profil neve alatt. Ebben a példában az SSL-profilalkalmazásunkatGatewaySSLProfile-nak hívjuk.

  5. Lépjen az SSL-házirend lapra, és jelölje be a figyelőspecifikus SSL-házirend engedélyezése jelölőnégyzetet.

  6. Állítsa be a figyelőspecifikus SSL-szabályzatot a követelményeknek megfelelően. Választhat az előre definiált SSL-szabályzatok és a saját SSL-szabályzatok testreszabása között. Az SSL-szabályzatokkal kapcsolatos további információkért tekintse meg az SSL-szabályzatok áttekintését. A TLS 1.2 használatát javasoljuk

  7. A mentéshez válassza a Hozzáadás lehetőséget.

    Add listener specific SSL policy to SSL profile

Az SSL-profil társítása egy figyelőhöz

Most, hogy létrehoztunk egy SSL-profilt egy figyelőspecifikus SSL-szabályzattal, társítanunk kell az SSL-profilt a figyelőhöz, hogy működésbe hozza a figyelőspecifikus szabályzatot.

  1. Lépjen a meglévő Application Gatewayre. Ha most hajtotta végre a fenti lépéseket, itt semmit sem kell tennie.

  2. Válassza a Figyelők lehetőséget a bal oldali menüből.

  3. Ha még nincs beállítva HTTPS-figyelő, kattintson a Figyelő hozzáadása elemre. Ha már rendelkezik HTTPS-figyelőjével, kattintson rá a listából.

  4. Töltse ki a figyelő nevét, az előtérbeli IP-címet, a portot, a protokollt és más HTTPS-Gépház a követelményeknek megfelelően.

  5. Jelölje be az SSL-profil engedélyezése jelölőnégyzetet, hogy kiválaszthatja, hogy melyik SSL-profilt társítja a figyelőhöz.

  6. Válassza ki a legördülő listából létrehozott SSL-profilt. Ebben a példában a korábbi lépésekből létrehozott SSL-profilt választjuk ki: applicationGatewaySSLProfile.

  7. Folytassa a figyelő fennmaradó részének konfigurálását a követelményeknek megfelelően.

  8. A Hozzáadás gombra kattintva mentse az új figyelőt a hozzá társított SSL-profillal.

    Associate SSL profile to new listener

Korlátozások

Jelenleg az Application Gatewayen van egy korlátozás, amely szerint az azonos portot használó különböző figyelők nem rendelkezhet ssl-szabályzatokkal (előre definiált vagy egyéni) különböző TLS-protokollverziókkal. Ha ugyanazt a TLS-verziót választja a különböző figyelőkhöz, az minden figyelőhöz konfigurálja a titkosítási csomag beállításait. Ha azonban különböző TLS protokollverziókat szeretne használni a különálló figyelőkhöz, mindegyikhez külön portokat kell használnia.

Következő lépések

Webes forgalom kezelése Application Gatewayjel az Azure CLI segítségével