この記事では、Azure portal を使用して、Azure Application Gateway でリスナー固有の SSL ポリシーを構成する方法について説明します。 リスナー固有の SSL ポリシーを使用すると、相互に異なる SSL ポリシーを使用するように特定のリスナーを構成できます。 リスナー固有の SSL ポリシーによってオーバーライドされない限り、すべてのリスナーが使用する既定の SSL ポリシーを設定できます。 この記事では、Azure portal を使用して、Application Gateway でリスナー固有の SSL ポリシーを構成する方法について説明します。 リスナー固有の SSL ポリシーを使用すると、相互に異なる SSL ポリシーを使用するように特定のリスナーを構成できます。 リスナー固有の SSL ポリシーによって上書きされない限り、すべてのリスナーが使用する既定の SSL ポリシーを設定できます。
Von Bedeutung
2025 年 8 月 31 日以降、Azure Application Gateway とやり取りするすべてのクライアントとバックエンド サーバーは、TLS 1.0 および 1.1 のサポートが中止されるため、トランスポート層セキュリティ (TLS) 1.2 以降を使用する必要があります。
注
リスナー固有のポリシーをサポートするのは、Standard_v2 SKU とWAF_v2 SKU のみです。 リスナー固有のポリシーは SSL プロファイルの一部であり、SSL プロファイルは v2 Application Gateway でのみサポートされます。
[前提条件]
開始する前に、次のことを確認します。
- Azure サブスクリプション。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- 既存の Azure Application Gateway (Standard_v2 または WAF_v2 SKU)
- Application Gateway の構成を変更するための適切なアクセス許可
新しい Application Gateway を作成する
最初に、ポータルで通常どおりに新しい Application Gateway を作成します。 リスナー固有の SSL ポリシーを構成するために、作成中に必要な手順はこれ以上ありません。 ポータルで Application Gateway を作成する方法の詳細については、ポータルの クイックスタート チュートリアルを参照してください。
最初に、ポータルで通常と同様に新しい Application Gateway を作成します。リスナー固有の SSL ポリシーを構成するための追加の手順は作成に必要ありません。 ポータルで Application Gateway を作成する方法の詳細については、 ポータルのクイックスタート チュートリアルを参照してください。
リスナー固有の SSL ポリシーを設定する
先に進む前に、リスナー固有の SSL ポリシーに関するいくつかの重要な考慮事項を次に示します。
SSL ポリシー
TLS 1.2 以降を使用することをお勧めします
SSL プロファイルをリスナーに関連付けるために、クライアント認証を構成する必要はありません。 SSL プロファイルでは、クライアント認証のみ、リスナー固有の SSL ポリシーのみ、またはその両方を構成できます。
2022 定義済みまたはカスタム v2 ポリシーを使用すると、Application Gateway 全体の SSL セキュリティとパフォーマンスが向上します (SSL ポリシーと SSL プロファイル)。 そのため、従来の SSL ポリシーと新しい SSL ポリシーの両方を同時に使用して異なるリスナーを作成することはできません。
TLS 1.2 を使用することをお勧めします。このバージョンは今後義務付けられます。
SSL プロファイルをリスナーに関連付けるために、クライアント認証を構成する必要はありません。 クライアント認証またはリスナー固有の SSL ポリシーのみを構成することも、SSL プロファイルで両方を構成することもできます。
2022 定義済みポリシーまたは Customv2 ポリシーを使用すると、ゲートウェイ全体の SSL セキュリティとパフォーマンスが向上します (SSL ポリシーと SSL プロファイル)。 そのため、古い SSL ポリシーと新しい SSL ポリシー (定義済みポリシーまたはカスタム ポリシー) の両方で異なるリスナーを使用することはできません。
シナリオ例: 現在、"レガシ" ポリシー/暗号で SSL ポリシーと SSL プロファイルを使用している場合、コンポーネントの "新しい" 定義済みまたはカスタム v2 ポリシーにアップグレードするには、他の構成もアップグレードする必要があります。 新しい定義済みポリシー、カスタム v2 ポリシー、または組み合わせを使用できます。
SSL-Policies リスナー固有の SSL ポリシーを設定するには、まず Azure portal の [SSL 設定 ] タブに移動し、新しい SSL プロファイルを作成する必要があります。 SSL プロファイルを作成すると、 クライアント認証 と SSL ポリシーという 2 つのタブが表示されます。 [ SSL ポリシー ] タブは、リスナー固有の SSL ポリシーを構成するために使用されます。 [ クライアント認証 ] タブでは、相互認証用にクライアント証明書をアップロードします。 詳細については、 相互認証の構成を参照してください。
リスナー固有の SSL ポリシーを設定するには、まずポータルの [SSL 設定 ] タブに移動し、新しい SSL プロファイルを作成する必要があります。 SSL プロファイルを作成すると、 クライアント認証 と SSL ポリシーという 2 つのタブが表示されます。 [ SSL ポリシー ] タブでは、リスナー固有の SSL ポリシーを構成します。 [クライアント認証] タブには、相互認証用にクライアント証明書をアップロードする場所があります。詳細については、「相互認証の構成」を参照してください。
ポータルで Application Gateway を検索し、 アプリケーション ゲートウェイを選択して、既存の Application Gateway を選択します。
左側のメニューから [SSL 設定 ] を選択します。
上部にある SSL プロファイル の横にあるプラス記号を選択して、新しい SSL プロファイルを作成します。
[SSL プロファイル名] に名前を入力します。 この例では、SSL プロファイル applicationGatewaySSLProfile という名前を付けます。
[ SSL ポリシー ] タブに移動し、[ リスナー固有の SSL ポリシーを有効にする ] チェック ボックスをオンにします。
要件に従ってリスナー固有の SSL ポリシーを構成します。 定義済みの SSL ポリシーと独自の SSL ポリシーのカスタマイズを選択できます。 SSL ポリシーの詳細については、 SSL ポリシーの概要を参照してください。 TLS 1.2 以降を使用することをお勧めします。
注
このポリシーは、使用可能な SSL ポリシーの最新バージョンであり、最適な SSL セキュリティを確保するために推奨されます。 古いトラフィックを処理するようにゲートウェイが構成されている場合は、古いポリシーを選択して、すべてのトラフィックが正しく処理されるようにする必要がある場合があります。
[ 追加] を選択して保存します。
SSL プロファイルをリスナーに関連付ける
次に、リスナー固有の SSL ポリシーを使用して SSL プロファイルを作成しました。 リスナー固有のポリシーをアクティブにするには、SSL プロファイルをリスナーに関連付ける必要があります。
既存の Application Gateway に移動します。
左側のメニューから [リスナー ] を選択します。
HTTPS リスナーがまだ設定されていない場合は、[ リスナーの追加] を選択します。 既に HTTPS リスナーがある場合は、一覧からそのリスナーを選択します。
要件に合わせて 、リスナー名、 フロントエンド IP、 ポート、およびその他の HTTPS 設定を入力します。
[追加] を選択して、新しいリスナーを SSL プロファイルに関連付けて保存します。
SSL ポリシーが正しいことを確認するか、[変更] を選択して別の SSL ポリシーを選択します。 使用できるオプションは次のとおりです。
- 既定値
- 定義済み
- 習慣
- CustomV2 ドロップダウン リストから作成した SSL プロファイルを選択します。 この例では、前の手順で作成した SSL プロファイル applicationGatewaySSLProfile を選択します。
2 番目のタブの [ リスナー TLS 証明書 ] タブを選択します。
[ + 証明書の追加] を選択します。
要件に合わせて、 証明書名、 PFX 証明書ファイル、 種類 、その他の パスワード を入力します。
[ 追加] を選択して、新しいリスナー TLS 証明書を関連付けられた SSL プロファイルと共に保存します。
要件に従って、リスナーの残りの部分を構成し続けます。
制限事項
SSL ポリシー
AZURE Application Gateway には、SSL ポリシーに関する現在の制限事項があります。
- 同じポートを使用するリスナーごとに、異なる TLS プロトコル バージョンの SSL ポリシー (定義済みまたはカスタム) を使用することはできません。
- 異なるリスナーに同じ TLS バージョンを構成すると、リスナーごとに暗号スイートの基本設定を設定できます。
- 個別のリスナーに異なる TLS プロトコル バージョンを使用するには、リスナーごとに個別のポートを使用する必要があります。 現在、Application Gateway には、同じポートを使用する異なるリスナーが、異なる TLS プロトコル バージョンの SSL ポリシー (定義済みまたはカスタム) を持つことができないという制限があります。 リスナーごとに同じ TLS バージョンを選択すると、各リスナーの暗号スイートの優先設定を構成できます。 ただし、個別のリスナーに異なる TLS プロトコル バージョンを使用するには、それぞれに個別のポートを使用する必要があります。