Condividi tramite

Configurare criteri SSL specifici del listener nell'Application Gateway tramite il portale

Questo articolo descrive come usare il portale di Azure per configurare criteri SSL specifici per il listener nell'Azure Application Gateway. I criteri SSL specifici del listener consentono di configurare listener specifici per l'uso di criteri SSL diversi l'uno dall'altro. È comunque possibile impostare un criterio SSL predefinito che tutti i listener usano a meno che non venga sottoposto a override dai criteri SSL specifici del listener. Questo articolo descrive come usare il portale di Azure per configurare criteri SSL specifici per il listener nel Application Gateway. I criteri SSL specifici del listener consentono di configurare listener specifici per l'uso di criteri SSL diversi l'uno dall'altro. Sarà comunque possibile impostare un criterio SSL predefinito che tutti i listener usano a meno che non vengano sovrascritti dai criteri SSL specifici del listener.

Importante

A partire dal 31 agosto 2025, tutti i client e i server back-end che interagiscono con il Gateway applicazione di Azure devono usare Transport Layer Security (TLS) 1.2 o versione successiva, perché il supporto per TLS 1.0 e 1.1 verrà sospeso.

Annotazioni

Solo le SKU Standard_v2 e WAF_v2 supportano criteri specifici del listener. Le politiche specifiche del listener fanno parte dei profili SSL e i profili SSL sono supportati solo nei gateway applicativi v2.

Prerequisiti

Prima di iniziare, assicurarsi di disporre di:

  • Una sottoscrizione di Azure. Se non ne hai uno, crea un account gratuito prima di iniziare.
  • Un Gateway applicativo di Azure esistente (SKU Standard_v2 o WAF_v2)
  • Autorizzazioni appropriate per modificare le configurazioni del gateway delle applicazioni

Creare un nuovo gateway di applicazione

Prima di tutto, creare un nuovo gateway applicazione come si farebbe normalmente tramite il portale. Non sono necessari altri passaggi durante la creazione per configurare criteri SSL specifici del listener. Per ulteriori informazioni su come creare un Application Gateway nel portale, consultare la guida rapida del portale.

Per prima cosa, crea un nuovo Application Gateway normalmente tramite il portale. Non sono necessari passaggi aggiuntivi durante la creazione per configurare criteri SSL specifici per il listener. Per ulteriori informazioni su come creare un gateway applicativo nel portale, consulta la nostra guida introduttiva rapida sul portale.

Criteri SSL specifici per il listener

Prima di procedere, ecco alcune considerazioni importanti per i criteri SSL specifici del listener:

Criteri SSL

  • È consigliabile usare TLS 1.2 o versione successiva

  • Non è necessario configurare l'autenticazione client in un profilo SSL per associarla a un listener. È possibile configurare nel profilo SSL solo l'autenticazione client, solo la policy SSL specifica del listener o entrambe.

  • Usare un criterio 2022 predefinito o personalizzato v2, migliora la sicurezza e le prestazioni SSL per l'intero gateway applicazione (criteri SSL e profilo SSL). Pertanto, non è possibile avere listener diversi usando contemporaneamente nuovi criteri SSL e legacy.

  • È consigliabile usare TLS 1.2 perché questa versione sarà obbligatorio in futuro.

  • Non è necessario configurare l'autenticazione client in un profilo SSL per associarla a un listener. Nel profilo SSL è possibile configurare solo l'autenticazione client e/o un criterio SSL specifico per il listener.

  • L'uso di un criterio 2022 predefinito o Customv2 migliora la sicurezza e le prestazioni SSL per l'intero gateway (criteri SSL e profilo SSL). Pertanto, non è possibile avere listener diversi nei criteri SSL precedenti e nuovi (predefiniti o personalizzati).

    Scenario di esempio: se attualmente si usano criteri SSL e profilo SSL con criteri/crittografie "legacy", l'aggiornamento a un criterio predefinito "nuovo" o personalizzato v2 per qualsiasi componente richiede anche l'aggiornamento dell'altra configurazione. È possibile usare i nuovi criteri predefiniti, i criteri personalizzati v2 o una combinazione.

SSL-Policies Per configurare un criterio SSL specifico del listener, è necessario passare prima alla scheda Impostazioni SSL nel portale di Azure e creare un nuovo profilo SSL. Quando si crea un profilo SSL, vengono visualizzate due schede: Autenticazione client e Criteri SSL. La scheda Criteri SSL viene usata per configurare un criterio SSL specifico del listener. La scheda Autenticazione client è la posizione in cui si caricano i certificati client per l'autenticazione reciproca. Per altre informazioni, vedere Configurazione dell'autenticazione reciproca.

Per configurare un criterio SSL specifico del listener, è prima necessario passare alla scheda Impostazioni SSL nel portale e creare un nuovo profilo SSL. Quando si crea un profilo SSL, vengono visualizzate due schede: Autenticazione client e Criteri SSL. La scheda Criteri SSL consiste nel configurare un criterio SSL specifico del listener. La scheda Autenticazione client è la posizione in cui caricare un certificato client per l'autenticazione reciproca. Per altre informazioni, vedere Configurazione di un'autenticazione reciproca.

  1. Cercare gateway applicazione nel portale, selezionare Gateway applicazione e selezionare il gateway applicazione esistente.

  2. Selezionare Impostazioni SSL dal menu a sinistra.

  3. Selezionare il segno più accanto a Profili SSL nella parte superiore per creare un nuovo profilo SSL.

  4. Immettere un nome in Nome profilo SSL. In questo esempio, assegniamo al nostro profilo SSL il nome applicationGatewaySSLProfile.

  5. Passare alla scheda Criteri SSL e selezionare la casella di controllo Abilita criteri SSL specifici del listener .

  6. Configurare i criteri SSL specifici del listener in base ai tuoi requisiti. È possibile scegliere tra criteri SSL predefiniti e personalizzare i propri criteri SSL. Per altre informazioni sui criteri SSL, vedere Panoramica dei criteri SSL. È consigliabile usare TLS 1.2 o versione successiva.

    Annotazioni

    Questo criterio è la versione più recente dei criteri SSL disponibili, consigliata per garantire la migliore sicurezza SSL. Se il gateway è configurato per gestire il traffico meno recente, potrebbe essere necessario scegliere un criterio precedente per assicurarsi che tutto il traffico venga gestito correttamente.

  7. Selezionare Aggiungi per salvare.

    Screenshot dell'aggiunta di criteri SSL specifici del listener al profilo SSL nel portale di Azure.

Associare il profilo SSL a un listener

Ora è stato creato un profilo SSL con criteri SSL specifici del listener. È necessario associare il profilo SSL al listener per attivare i criteri specifici del listener.

  1. Passare al gateway applicazione esistente.

  2. Selezionare Listener dal menu a sinistra.

  3. Selezionare Aggiungi listener se non è già configurato un listener HTTPS. Se si dispone già di un listener HTTPS, selezionarlo nell'elenco.

  4. Compilare il nome del listener, l'IP front-end, la porta e altre impostazioni HTTPS in base alle esigenze.

  5. Selezionare Aggiungi per salvare il nuovo listener con il profilo SSL associato.

  6. Verificare che i criteri SSL siano corretti o selezionare Cambia per scegliere un altro criterio SSL. Le opzioni disponibili includono:

    • Default
    • Predefinito
    • Personalizzato
    • CustomV2 Selezionare il profilo SSL creato dall'elenco a discesa. In questo esempio si sceglie il profilo SSL creato nei passaggi precedenti: applicationGatewaySSLProfile.

  7. Selezionare la scheda Certificati TLS listener nella seconda scheda.

  8. Selezionare + Aggiungi certificato.

  9. Compilare il nome del certificato, il file di certificato PFX, il tipo e altre password in base alle esigenze.

  10. Selezionare Aggiungi per salvare il nuovo certificato TLS del listener con il profilo SSL associato.

  11. Continuare a configurare il resto del listener in base alle esigenze.

    Screenshot dell'associazione del profilo SSL per un nuovo listener.

Limitazioni

Criteri SSL

Ci sono limitazioni attuali con Azure Application Gateway per quanto riguarda le politiche SSL.

  • I listener diversi che usano la stessa porta non possono avere criteri SSL (predefiniti o personalizzati) con versioni diverse del protocollo TLS.
  • La configurazione della stessa versione TLS per listener diversi funziona per impostare le preferenze della suite di crittografia per ogni listener.
  • Per usare versioni del protocollo TLS diverse per listener separati, è necessario usare porte distinte per ogni listener. Attualmente su Application Gateway esiste una limitazione per cui diversi listener che utilizzano la stessa porta non possono avere criteri SSL (predefiniti o personalizzati) con diverse versioni del protocollo TLS. La scelta della stessa versione TLS per listener diversi funziona per configurare la preferenza della suite di crittografia per ogni listener. Tuttavia, per usare versioni del protocollo TLS diverse per listener separati, è necessario usare porte distinte per ognuna.

Passaggi successivi

Gestire il traffico Web con un gateway applicazione mediante l'interfaccia della riga di comando di Azure

  • Last updated on