Configurare le versioni dei criteri TLS e le suite di cifratura su Application Gateway

Informazioni su come configurare le versioni dei criteri TLS/SSL e le suite di crittografia nell'Application Gateway. È possibile selezionare un elenco di criteri predefiniti che contengono configurazioni diverse delle versioni dei criteri TLS e dei pacchetti di crittografia abilitati. È anche possibile definire criteri TLS personalizzati in base ai requisiti.

Importante

È consigliabile usare TLS 1.2 come versione minima del protocollo TLS per una maggiore sicurezza nel gateway applicazione. A partire dal 31 agosto 2025, tutti i client e i server back-end che interagiscono con il Gateway applicazione di Azure devono usare Transport Layer Security (TLS) 1.2 o versione successiva, perché il supporto per TLS 1.0 e 1.1 verrà sospeso.

Annotazioni

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Ottenere le opzioni TLS disponibili

Il Get-AzApplicationGatewayAvailableSslOptions cmdlet fornisce un elenco dei criteri predefiniti disponibili, delle suite di crittografia disponibili e delle versioni del protocollo che possono essere configurate. Nell'esempio seguente viene illustrato un esempio di output dall'esecuzione del cmdlet.

Importante

Il criterio TLS predefinito è impostato su AppGwSslPolicy20220101 per le versioni api 2023-02-01 o successive. Per altre informazioni , vedere Panoramica dei criteri TLS .

DefaultPolicy: AppGwSslPolicy20150501
PredefinedPolicies:
    /subscriptions/xxx-xxx/resourceGroups//providers/Microsoft.Network/ApplicationGatewayAvailableSslOptions/default/Applic
ationGatewaySslPredefinedPolicy/AppGwSslPolicy20150501
    /subscriptions/xxx-xxx/resourceGroups//providers/Microsoft.Network/ApplicationGatewayAvailableSslOptions/default/Applic
ationGatewaySslPredefinedPolicy/AppGwSslPolicy20170401
    /subscriptions/xxx-xxx/resourceGroups//providers/Microsoft.Network/ApplicationGatewayAvailableSslOptions/default/Applic
ationGatewaySslPredefinedPolicy/AppGwSslPolicy20170401S
    /subscriptions/xxx-xxx/resourceGroups//providers/Microsoft.Network/ApplicationGatewayAvailableSslOptions/default/Applic
ationGatewaySslPredefinedPolicy/AppGwSslPolicy20220101
    /subscriptions/xxx-xxx/resourceGroups//providers/Microsoft.Network/ApplicationGatewayAvailableSslOptions/default/Applic
ationGatewaySslPredefinedPolicy/AppGwSslPolicy20220101S

AvailableCipherSuites:
    TLS_AES_128_GCM_SHA256
    TLS_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA256
    TLS_RSA_WITH_AES_128_CBC_SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA
    TLS_RSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
    TLS_DHE_DSS_WITH_AES_256_CBC_SHA
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA
    TLS_RSA_WITH_3DES_EDE_CBC_SHA
    TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

AvailableProtocols:
    TLSv1_0
    TLSv1_1
    TLSv1_2
    TLSv1_3

Elenca le politiche TLS predefinite

Il gateway applicativo include più policy predefinite che possono essere usate. Il Get-AzApplicationGatewaySslPredefinedPolicy cmdlet recupera questi criteri. Ogni criterio ha versioni del protocollo e suite di crittografia diverse abilitate. Questi criteri predefiniti possono essere usati per configurare rapidamente un criterio TLS nel gateway di applicazione. Per impostazione predefinita , AppGwSslPolicy20150501 è selezionato se non è definito alcun criterio TLS specifico.

L'output seguente è un esempio di esecuzione di Get-AzApplicationGatewaySslPredefinedPolicy.

Name: AppGwSslPolicy20150501
MinProtocolVersion: TLSv1_0
CipherSuites:
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA
    TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    TLS_RSA_WITH_AES_256_GCM_SHA384
 ...
Name: AppGwSslPolicy20170401
MinProtocolVersion: TLSv1_1
CipherSuites:
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
...

Configurare un criterio TLS personalizzato

Quando si configura un criterio TLS personalizzato, si passano i parametri seguenti: PolicyType, MinProtocolVersion, CipherSuite e ApplicationGateway. Se si tenta di passare altri parametri, viene visualizzato un errore durante la creazione o l'aggiornamento del gateway applicazione. Nell'esempio seguente viene impostata una politica TLS personalizzata in un gateway applicativo. Imposta la versione minima del protocollo su TLSv1_1 e abilita le suite di crittografia seguenti:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

# get an application gateway resource
$gw = Get-AzApplicationGateway -Name AdatumAppGateway -ResourceGroup AdatumAppGatewayRG

# set the TLS policy on the application gateway
Set-AzApplicationGatewaySslPolicy -ApplicationGateway $gw -PolicyType Custom -MinProtocolVersion TLSv1_1 -CipherSuite "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"

# validate the TLS policy locally
Get-AzApplicationGatewaySslPolicy -ApplicationGateway $gw

# update the gateway with validated TLS policy
Set-AzApplicationGateway -ApplicationGateway $gw

Importante

• Se si usa un criterio SSL personalizzato nello SKU del gateway applicazione v1 (Standard o WAF), assicurarsi di aggiungere la crittografia obbligatoria "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" all'elenco. Questa crittografia è necessaria per abilitare le metriche e la registrazione nello SKU v1 del gateway applicazione. Non è obbligatorio per lo SKU v2 del gateway applicazione (Standard_v2 o WAF_v2).
• I pacchetti di crittografia "TLS_AES_128_GCM_SHA256" e "TLS_AES_256_GCM_SHA384" con TLSv1.3 non sono personalizzabili e inclusi per impostazione predefinita quando si imposta un criterio CustomV2 con una versione minima di TLS 1.2 o 1.3. Queste due suite di crittografia non verranno visualizzate nell'output Get Details, ad eccezione di Portal.

Per impostare la versione minima del protocollo su 1.3, è necessario usare il comando seguente:

Set-AzApplicationGatewaySslPolicy -ApplicationGateway $AppGW -MinProtocolVersion TLSv1_3 -PolicyType CustomV2 -CipherSuite @()

Questa figura illustra ulteriormente l'utilizzo dei criteri CustomV2 con le versioni minime del protocollo 1.2 e 1.3.

Creare un gateway applicazione con criteri TLS predefiniti

Quando si configura un criterio TLS predefinito, si passano i parametri seguenti: PolicyType, PolicyName e ApplicationGateway. Se si tenta di passare altri parametri, viene visualizzato un errore durante la creazione o l'aggiornamento del gateway applicazione.

Nell'esempio seguente viene creato un nuovo application gateway con i criteri TLS predefiniti.

# Create a resource group
$rg = New-AzResourceGroup -Name ContosoRG -Location "East US"

# Create a subnet for the application gateway
$subnet = New-AzVirtualNetworkSubnetConfig -Name subnet01 -AddressPrefix 10.0.0.0/24

# Create a virtual network with a 10.0.0.0/16 address space
$vnet = New-AzVirtualNetwork -Name appgwvnet -ResourceGroupName $rg.ResourceGroupName -Location "East US" -AddressPrefix 10.0.0.0/16 -Subnet $subnet

# Retrieve the subnet object for later use
$subnet = $vnet.Subnets[0]

# Create a public IP address
$publicip = New-AzPublicIpAddress -ResourceGroupName $rg.ResourceGroupName -name publicIP01 -location "East US" -AllocationMethod Dynamic

# Create an ip configuration object
$gipconfig = New-AzApplicationGatewayIPConfiguration -Name gatewayIP01 -Subnet $subnet

# Create a backend pool for backend web servers
$pool = New-AzApplicationGatewayBackendAddressPool -Name pool01 -BackendIPAddresses 134.170.185.46, 134.170.188.221,134.170.185.50

# Define the backend http settings to be used.
$poolSetting = New-AzApplicationGatewayBackendHttpSettings -Name poolsetting01 -Port 80 -Protocol Http -CookieBasedAffinity Enabled

# Create a new port for TLS
$fp = New-AzApplicationGatewayFrontendPort -Name frontendport01  -Port 443

# Upload an existing pfx certificate for TLS offload
$password = ConvertTo-SecureString -String "P@ssw0rd" -AsPlainText -Force
$cert = New-AzApplicationGatewaySslCertificate -Name cert01 -CertificateFile C:\folder\contoso.pfx -Password $password

# Create a frontend IP configuration for the public IP address
$fipconfig = New-AzApplicationGatewayFrontendIPConfig -Name fipconfig01 -PublicIPAddress $publicip

# Create a new listener with the certificate, port, and frontend ip.
$listener = New-AzApplicationGatewayHttpListener -Name listener01  -Protocol Https -FrontendIPConfiguration $fipconfig -FrontendPort $fp -SslCertificate $cert

# Create a new rule for backend traffic routing
$rule = New-AzApplicationGatewayRequestRoutingRule -Name rule01 -RuleType Basic -BackendHttpSettings $poolSetting -HttpListener $listener -BackendAddressPool $pool

# Define the size of the application gateway
$sku = New-AzApplicationGatewaySku -Name Standard_Small -Tier Standard -Capacity 2

# Configure the TLS policy to use a different predefined policy
$policy = New-AzApplicationGatewaySslPolicy -PolicyType Predefined -PolicyName AppGwSslPolicy20170401S

# Create the application gateway.
$appgw = New-AzApplicationGateway -Name appgwtest -ResourceGroupName $rg.ResourceGroupName -Location "East US" -BackendAddressPools $pool -BackendHttpSettingsCollection $poolSetting -FrontendIpConfigurations $fipconfig  -GatewayIpConfigurations $gipconfig -FrontendPorts $fp -HttpListeners $listener -RequestRoutingRules $rule -Sku $sku -SslCertificates $cert -SslPolicy $policy

Aggiornare un gateway applicativo esistente con una policy TLS predefinita

Per impostare criteri TLS personalizzati, passare i parametri seguenti: PolicyType, MinProtocolVersion, CipherSuite e ApplicationGateway. Per impostare un criterio TLS predefinito, passare i parametri seguenti: PolicyType, PolicyName e ApplicationGateway. Se si tenta di passare altri parametri, viene visualizzato un errore durante la creazione o l'aggiornamento del gateway applicazione.

Annotazioni

L'uso di un nuovo criterio predefinito o Customv2 migliora la sicurezza SSL e il comportamento delle prestazioni dell'intero gateway (criteri SSL e profilo SSL). Di conseguenza, sia i vecchi che i nuovi criteri non possono coesistere. È necessario usare uno dei criteri predefiniti o personalizzati precedenti nel gateway, nel caso in cui siano presenti client che richiedono versioni o crittografie TLS precedenti ( ad esempio TLS v1.0).

Nell'esempio seguente sono disponibili esempi di codice per criteri personalizzati e criteri predefiniti. Rimuovere il commento dal criterio che si vuole usare.

# You have to change these parameters to match your environment.
$AppGWname = "YourAppGwName"
$RG = "YourResourceGroupName"

$AppGw = get-Azapplicationgateway -Name $AppGWname -ResourceGroupName $RG

# Choose either custom policy or predefined policy and uncomment the one you want to use.

# TLS Custom Policy
# Set-AzApplicationGatewaySslPolicy -PolicyType Custom -MinProtocolVersion TLSv1_2 -CipherSuite "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_RSA_WITH_AES_128_CBC_SHA256" -ApplicationGateway $AppGw

# TLS Predefined Policy
# Set-AzApplicationGatewaySslPolicy -PolicyType Predefined -PolicyName "AppGwSslPolicy20170401S" -ApplicationGateway $AppGW

# Update AppGW
# The TLS policy options are not validated or updated on the Application Gateway until this cmdlet is executed.
$SetGW = Set-AzApplicationGateway -ApplicationGateway $AppGW

Passaggi successivi

Per informazioni su come reindirizzare il traffico HTTP a un endpoint HTTPS, vedere Panoramica del reindirizzamento nel gateway applicazione.

Vedere Configurazione di criteri SSL specifici del listener durante la configurazione di criteri specifici del listener SSL tramite il portale