Listenerspecifiek SSL-beleid configureren in Application Gateway via de portal

  • Artikel

In dit artikel wordt beschreven hoe u Azure Portal gebruikt om listenerspecifiek SSL-beleid te configureren op uw Application Gateway. Met een listenerspecifiek SSL-beleid kunt u specifieke listeners configureren voor het gebruik van verschillende SSL-beleidsregels van elkaar. U kunt nog steeds een standaard-SSL-beleid instellen dat alle listeners gebruiken, tenzij ze worden overschreven door het specifieke SSL-beleid van de listener.

Notitie

Alleen Standard_v2 en WAF_v2 SKU's ondersteunen listenerspecifiek beleid, omdat listenerspecifieke beleidsregels deel uitmaken van SSL-profielen en SSL-profielen worden alleen ondersteund op v2-gateways.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een nieuwe Application Gateway maken

Maak eerst een nieuwe Toepassingsgateway, zoals gewoonlijk via de portal. Er zijn geen extra stappen nodig om listenerspecifiek SSL-beleid te configureren. Voor meer informatie over het maken van een Toepassingsgateway in de portal raadpleegt u de quickstart voor de portal.

Een listenerspecifiek SSL-beleid instellen

Voordat u verdergaat, zijn hier enkele belangrijke punten met betrekking tot het listenerspecifieke SSL-beleid.

  • We raden u aan TLS 1.2 te gebruiken, omdat deze versie in de toekomst wordt verplicht.

  • U hoeft clientverificatie niet te configureren voor een SSL-profiel om dit te koppelen aan een listener. U kunt alleen clientverificatie of listenerspecifiek SSL-beleid configureren, of beide geconfigureerd in uw SSL-profiel.

  • Het gebruik van een vooraf gedefinieerd 2022- of Customv2-beleid verbetert ssl-beveiliging en -prestaties voor de gehele gateway (SSL-beleid en SSL-profiel). Daarom kunt u geen verschillende listeners hebben op zowel oude als nieuwe SSL-beleidsregels (vooraf gedefinieerd of aangepast).

    In dit voorbeeld gebruikt u momenteel SSL-beleid en SSL-profiel met 'oudere' beleidsregels/coderingen. Als u een 'nieuw' vooraf gedefinieerd of Customv2-beleid voor een van deze beleidsregels wilt gebruiken, moet u ook de andere configuratie bijwerken. U kunt het nieuwe vooraf gedefinieerde beleid of het aangepastev2-beleid of de combinatie hiervan op de gateway gebruiken.

Als u een specifiek SSL-beleid voor een listener wilt instellen, gaat u eerst naar het tabblad SSL-instellingen in de portal en maakt u een nieuw SSL-profiel. Wanneer u een SSL-profiel maakt, ziet u twee tabbladen: Clientverificatie en SSL-beleid. Het tabblad SSL-beleid is het configureren van een listenerspecifiek SSL-beleid. Op het tabblad Clientverificatie kunt u een of meer clientcertificaten uploaden voor wederzijdse verificatie. Raadpleeg voor meer informatie het configureren van een wederzijdse verificatie.

  1. Zoek naar Application Gateway in de portal, selecteer Application Gateways en klik op uw bestaande Application Gateway.

  2. Selecteer SSL-instellingen in het menu aan de linkerkant.

  3. Klik op het plusteken naast SSL-profielen bovenaan om een nieuw SSL-profiel te maken.

  4. Voer een naam in onder SSL-profielnaam. In dit voorbeeld noemen we ons SSL-profiel applicationGatewaySSLProfile.

  5. Ga naar het tabblad SSL-beleid en schakel het selectievakje Listenerspecifiek SSL-beleid inschakelen in.

  6. Stel uw listenerspecifieke SSL-beleid in op basis van uw vereisten. U kunt kiezen tussen vooraf gedefinieerd SSL-beleid en het aanpassen van uw eigen SSL-beleid. Ga naar het overzicht van SSL-beleid voor meer informatie over SSL-beleid. We raden u aan TLS 1.2 te gebruiken

  7. Selecteer Toevoegen om op te slaan.

    Add listener specific SSL policy to SSL profile

Het SSL-profiel koppelen aan een listener

Nu we een SSL-profiel hebben gemaakt met een listenerspecifiek SSL-beleid, moeten we het SSL-profiel koppelen aan de listener om het specifieke beleid voor de listener in actie te brengen.

  1. Navigeer naar uw bestaande Application Gateway. Als u de bovenstaande stappen zojuist hebt voltooid, hoeft u hier niets te doen.

  2. Selecteer Listeners in het menu aan de linkerkant.

  3. Klik op Listener toevoegen als u nog geen HTTPS-listener hebt ingesteld. Als u al een HTTPS-listener hebt, klikt u erop in de lijst.

  4. Vul de naam van de listener, front-end-IP, poort, protocol en andere HTTPS-Instellingen in om aan uw vereisten te voldoen.

  5. Schakel het selectievakje SSL-profiel inschakelen in, zodat u kunt selecteren welk SSL-profiel u aan de listener wilt koppelen.

  6. Selecteer het SSL-profiel dat u hebt gemaakt in de vervolgkeuzelijst. In dit voorbeeld kiezen we het SSL-profiel dat we hebben gemaakt op basis van de eerdere stappen: applicationGatewaySSLProfile.

  7. Ga door met het configureren van de rest van de listener om aan uw vereisten te voldoen.

  8. Klik op Toevoegen om de nieuwe listener op te slaan waaraan het SSL-profiel is gekoppeld.

    Associate SSL profile to new listener

Beperkingen

Er is momenteel een beperking op Application Gateway die verschillende listeners met dezelfde poort geen SSL-beleid (vooraf gedefinieerd of aangepast) met verschillende TLS-protocolversies kunnen hebben. Het kiezen van dezelfde TLS-versie voor verschillende listeners werkt voor het configureren van de voorkeur voor coderingssuites voor elke listener. Als u echter verschillende TLS-protocolversies wilt gebruiken voor afzonderlijke listeners, moet u afzonderlijke poorten voor elk van deze poorten gebruiken.

Volgende stappen

Webverkeer met een toepassingsgateway beheren met behulp van Azure CLI