Поделиться через

Настройка политик SSL для конкретного прослушивателя на шлюзе приложений с помощью портала

В этой статье описывается, как использовать портал Azure для настройки политик SSL для конкретного прослушивателя в шлюзе приложений Azure. Политики SSL, относящиеся к прослушивателю, позволяют настроить определенные прослушиватели для использования разных политик SSL друг от друга. Вы по-прежнему можете задать политику SSL по умолчанию, которая используется всеми прослушивателями, если не переопределяется политикой SSL для конкретного прослушивателя. В этой статье описывается, как использовать портал Azure для настройки политик SSL для конкретного прослушивателя в шлюзе приложений. Политики SSL, относящиеся к прослушивателю, позволяют настроить определенные прослушиватели для использования разных политик SSL друг от друга. Вы по-прежнему сможете задать политику SSL по умолчанию, которая используется всеми прослушивателями, если не перезаписывается политикой SSL для конкретного прослушивателя.

Это важно

Начиная с 31 августа 2025 г. все клиенты и серверные серверы, взаимодействующие с Шлюз приложений Azure, должны использовать tls 1.2 или более поздней версии, так как поддержка TLS 1.0 и 1.1 будет прекращена.

Примечание.

Только SKUs Standard_v2 и WAF_v2 поддерживают политики, специфичные для слушателей. Политики, относящиеся к прослушивателю, являются частью профилей SSL, а профили SSL поддерживаются только в шлюзах приложений версии 2.

Предпосылки

Прежде чем начать, убедитесь, что у вас есть следующее:

  • Подписка Azure. Если у вас еще нет аккаунта, создайте бесплатную учетную запись, прежде чем начать.
  • Существующий шлюз приложений Azure (Standard_v2 или номер SKU WAF_v2)
  • Соответствующие разрешения для изменения конфигураций шлюза приложений

Создание шлюза приложений

Сначала создайте новый шлюз приложений, как обычно, через портал. Во время создания для настройки политик SSL для конкретного прослушивателя не требуется никаких действий. Дополнительные сведения о создании шлюза приложений на портале см. в кратком руководстве по порталу.

Сначала создайте новый Шлюз приложений на портале, как обычно; дополнительных шагов для настройки SSL-политик для конкретного слушателя не требуется. Дополнительные сведения о создании шлюза приложений на портале см. в кратком руководстве по работе с порталом.

Настройка политики SSL для конкретного прослушивателя

Прежде чем продолжить, ниже приведены некоторые важные рекомендации по политикам SSL для конкретного прослушивателя:

SSL-Policies

  • Рекомендуется использовать TLS 1.2 или более поздней версии.

  • Вам не нужно настраивать проверку подлинности клиента в профиле SSL, чтобы связать его с прослушивателем. Вы можете настроить только проверку подлинности клиента, только политику SSL для прослушивателя или оба в профиле SSL.

  • Используйте предопределенную политику 2022 или настраиваемую политику версии 2, повышает безопасность и производительность SSL для всего шлюза приложений (политика SSL и профиль SSL). Таким образом, вы не можете одновременно использовать разные прослушиватели с использованием устаревших и новых политик SSL.

  • Мы рекомендуем использовать TLS 1.2, так как эта версия будет обязательной в будущем.

  • Вам не нужно настраивать проверку подлинности клиента в профиле SSL, чтобы связать его с прослушивателем. Вы можете настроить только проверку подлинности клиента или политику SSL для прослушивателя или оба параметра, настроенные в профиле SSL.

  • Использование предопределенной или настраиваемой политики 2022 повышает безопасность и производительность SSL для всего шлюза (политика SSL и профиль SSL). Таким образом, вы не можете использовать разные прослушиватели как в старых, так и в новых политиках SSL (предопределенных или настраиваемых).

    Пример сценария. Если вы используете политику SSL и профиль SSL с "устаревшими" политиками и шифрами, обновление до новой предварительно определенной или пользовательской политики версии 2 для любого компонента также требует обновления другой конфигурации. Вы можете использовать новые предопределенные политики, настраиваемую политику версии 2 или сочетание.

SSL-Policies Чтобы настроить политику SSL для конкретного прослушивателя, сначала перейдите на вкладку параметров SSL на портале Azure и создайте новый профиль SSL. При создании профиля SSL вы увидите две вкладки: проверка подлинности клиента и политика SSL. Вкладка "Политика SSL " используется для настройки политики SSL для конкретного прослушивателя. Вкладка "Проверка подлинности клиента" — это вкладка" для отправки сертификатов клиента для взаимной проверки подлинности. Дополнительные сведения см. в разделе "Настройка взаимной проверки подлинности".

Чтобы настроить политику SSL для конкретного прослушивателя, сначала перейдите на вкладку параметров SSL на портале и создайте новый профиль SSL. При создании профиля SSL вы увидите две вкладки: проверка подлинности клиента и политика SSL. Вкладка "Политика SSL " — настройка политики SSL для конкретного прослушивателя. Вкладка "Проверка подлинности клиента " — это место для отправки сертификата клиента для взаимной проверки подлинности. Дополнительные сведения см. в описании настройки взаимной проверки подлинности.

  1. Найдите шлюз приложений на портале, выберите шлюзы приложений и выберите существующий шлюз приложений.

  2. Выберите параметры SSL в меню слева.

  3. Выберите знак плюса рядом с профилями SSL в верхней части, чтобы создать новый профиль SSL.

  4. Введите имя в поле "Имя профиля SSL". В этом примере мы назовем наш профиль SSL applicationGatewaySSLProfile.

  5. Перейдите на вкладку "Политика SSL" и установите флажок "Включить политику SSL для конкретного прослушивателя ".

  6. Настройте политику SSL для конкретного прослушивателя в соответствии с вашими требованиями. Вы можете выбрать между предопределенными политиками SSL и настройкой собственной политики SSL. Дополнительные сведения о политиках SSL см. в обзоре политики SSL. Рекомендуется использовать TLS 1.2 или более поздней версии.

    Примечание.

    Эта политика является последней версией доступной политики SSL, которая рекомендуется обеспечить лучшую безопасность SSL. Если шлюз настроен для обработки старого трафика, может потребоваться выбрать старую политику, чтобы убедиться, что весь трафик обрабатывается правильно.

  7. Нажмите кнопку "Добавить " для сохранения.

    Снимок экрана: добавление политики SSL для конкретного прослушивателя в профиль SSL на портале Azure.

Сопряжение профиля SSL с прослушивателем

Теперь вы создали профиль SSL с политикой SSL для конкретного прослушивателя. Для активации политики, связанной с прослушивателем, необходимо связать профиль SSL с прослушивателем.

  1. Перейдите к существующему шлюзу приложений.

  2. Выберите прослушиватели в меню слева.

  3. Выберите " Добавить прослушиватель" , если у вас еще нет прослушивателя HTTPS. Если у вас уже есть прослушиватель HTTPS, выберите его из списка.

  4. Заполните имя прослушивателя, внешний IP-адрес, порт и другие параметры HTTPS, чтобы соответствовать вашим требованиям.

  5. Нажмите кнопку "Добавить", чтобы сохранить новый прослушиватель с соответствующим профилем SSL.

  6. Проверьте правильность политики SSL или выберите "Изменить " для выбора другой политики SSL. Доступны следующие варианты:

    • По умолчанию
    • Предварительно определенный
    • Обычай
    • CustomV2 Выберите профиль SSL, созданный из раскрывающегося списка. В этом примере мы выбираем профиль SSL, созданный на предыдущих шагах: applicationGatewaySSLProfile.

  7. На второй вкладке выберите сертификаты TLS слушателя.

  8. Выберите +Добавить сертификат.

  9. Заполните имя сертификата, PFX-файл сертификата, тип и другой пароль, чтобы соответствовать вашим требованиям.

  10. Нажмите кнопку "Добавить ", чтобы сохранить новый TLS-сертификат прослушивателя с соответствующим профилем SSL.

  11. Продолжайте настраивать оставшуюся часть прослушивателя в соответствии с вашими требованиями.

    Снимок экрана: привязка профиля SSL для нового слушателя.

Ограничения

SSL-Policies

Существуют текущие ограничения шлюза приложений Azure относительно политик SSL:

  • Разные прослушиватели, использующие один и тот же порт, не могут иметь политики SSL (предопределенные или настраиваемые) с различными версиями протокола TLS.
  • Настройка одной и той же версии TLS для разных прослушивателей подходит для настройки параметров набора шифров для каждого прослушивателя.
  • Чтобы использовать разные версии протокола TLS для отдельных прослушивателей, необходимо использовать отдельные порты для каждого прослушивателя. Сейчас в шлюзе приложений существует ограничение, согласно которому разные прослушиватели, использующие один и тот же порт, не могут применять политики SSL (предопределенные или настраиваемые) с разными версиями протокола TLS. Выбор одной и той же версии TLS для разных прослушивателей работает для настройки предпочтений набора шифров для каждого прослушивателя. Однако для использования разных версий протокола TLS для отдельных прослушивателей необходимо использовать отдельные порты для каждого.

Дальнейшие действия

Управление веб-трафиком с помощью шлюза приложений с помощью Azure CLI

  • Last updated on