Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете использовать Шлюз приложений Azure для централизованного управления сертификатами TLS/SSL и уменьшения нагрузки на шифрование и расшифровку с серверной фермы. Такая централизованная обработка TLS также дает возможность задать центральную политику TLS в соответствии с корпоративными требованиями безопасности. Это помогает обеспечить соответствие требованиям, а также рекомендациям по безопасности и организации работы.
Политика TLS включает управление версией протокола TLS и наборами шифров, а также порядком применения шифров во время рукопожатия TLS. Шлюз приложений предоставляет два механизма управления политикой TLS. Можно использовать предопределённую или пользовательскую политику.
Сведения об использовании и версии
Important
Начиная с 31 августа 2025 г. все клиенты и серверные серверы, взаимодействующие с Шлюз приложений Azure, должны использовать tls 1.2 или более поздней версии, так как поддержка TLS 1.0 и 1.1 будет прекращена. Чтобы ознакомиться с дополнительными сведениями об устаревших политиках и изменениях конфигурации ресурсов, посетите TLS 1.0 и 1.1.
Изменения политики не являются нарушающими, если клиенты и серверы используют TLS 1.2 или выше. Рекомендуется обновить политику TLS для ваших шлюзов до начала обязательного применения во всех регионах Azure.
- ПРОТОКОЛ SSL 2.0 и 3.0 отключен для всех шлюзов приложений и не настраивается.
- Настраиваемая политика TLS позволяет выбрать любой протокол TLS в качестве минимальной версии протокола для шлюза: TLSv1_0, TLSv1_1, TLSv1_2 или TLSv1_3.
- Если политика TLS не выбрана, политика TLS по умолчанию применяется на основе версии API, используемой для создания этого ресурса.
- Стандартные и настраиваемые политики2022, поддерживающие TLS версии 1.3, доступны только с номерами SKU шлюза приложений версии 2 (Standard_v2 или WAF_v2).
- Использование предопределенной политики 2022 или Customv2 повышает безопасность SSL и производительность всего шлюза (для политики SSL и профиля SSL). Поэтому старые и новые политики не могут совместно существовать в шлюзе. В шлюзе необходимо использовать любую из старых предопределенных или пользовательских политик, если клиентам требуются старые версии TLS или шифры (например, TLS версии 1.0).
- Наборы шифров TLS, используемые для подключения, также зависят от типа используемого сертификата. Наборы шифров, используемые в "подключениях клиента к шлюзу приложений", основаны на типе сертификатов прослушивателя в шлюзе приложений. В то время как наборы шифров, используемые при создании "шлюза приложений для подключений внутреннего пула", основаны на типе сертификатов сервера, представленных серверными серверами.
Предопределенная политика TLS
Шлюз приложений предлагает несколько стандартных политик безопасности. Для настройки шлюза можно использовать любую из этих политик, чтобы обеспечить надлежащий уровень безопасности. Имена политик помечены годом и месяцем, в котором они были настроены (AppGwSslPolicy<YYYYMMDDD>). Каждая политика предлагает разные версии протокола TLS и /или наборы шифров. Эти предварительно настроенные политики конфигурируются с учетом лучших практик и рекомендаций команды информационной безопасности Microsoft. Мы рекомендуем использовать новейшие политики TLS, чтобы задействовать наилучшие средства безопасности TLS.
В следующей таблице показан список наборов шифров и минимальная поддержка версий протокола для каждой предопределенной политики. Порядок комплектов шифров определяет порядок приоритета во время согласования TLS. Чтобы узнать точное упорядочение наборов шифров для этих предопределенных политик, можно обратиться к разделу PowerShell, CLI, REST API или разделу Прослушиватели на портале.
| Предопределенные имена политик (AppGwSslPolicy<YYYYMMDDD>) | 20150501 | 20170401 | 20170401S | 20220101 | 20220101S |
|---|---|---|---|---|---|
| Минимальная версия протокола | 1.0 | 1.1 | 1.2 | 1.2 | 1.2 |
| Включенные версии протокола | 1.0 1.1 1.2 |
1.1 1.2 |
1.2 | 1.2 1.3 |
1.2 1.3 |
| Default | True (для API версии < 2023-02-01) |
False | False | True (для версии >API = 2023-02-01) |
False |
| TLS_AES_256_GCM_SHA384 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_AES_128_GCM_SHA256 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
Политика TLS по умолчанию
Если в конфигурации ресурсов шлюза приложений не указана определенная политика SSL, применяется политика TLS по умолчанию. Выбор этой политики по умолчанию основан на версии API, используемой для создания этого шлюза.
- Для API версии 2023-02-01 или выше минимальная версия протокола имеет значение 1.2 (поддерживается до 1.3). Шлюзы, созданные с этими версиями API, получат свойство только для чтения defaultPredefinedSslPolicy:AppGwSslPolicy20220101 в конфигурации ресурса. Это свойство определяет политику TLS по умолчанию для использования.
- Для старых < версий API 2023-02-01 минимальная версия протокола имеет значение 1.0 (поддерживаются версии до 1.2), так как по умолчанию используется предопределенная политика AppGwSslPolicy20150501 .
Если протокол TLS по умолчанию не соответствует вашему требованию, выберите другую предопределенную политику или используйте пользовательскую.
Note
Поддержка Azure PowerShell и CLI для обновленной политики TLS по умолчанию скоро ожидается.
Настраиваемая политика TLS
Если политика TLS должна быть настроена для ваших требований, можно использовать настраиваемую политику TLS. В этом случае вы получаете полный контроль над минимальной версией протокола TLS, которую следует поддерживать, а также над поддерживаемыми комплектами шифров и порядком их приоритета.
Note
Более новые, более сильные шифры и поддержка TLSv1.3 доступны только в политике CustomV2. Он обеспечивает расширенные преимущества безопасности и производительности.
Important
- Если вы используете настраиваемую политику SSL в Шлюзе приложений SKU версии 1 (Standard или WAF), убедитесь, что в список добавлена обязательная цифра "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256". Этот шифр необходим для включения метрик и ведения журнала в SKU Application Gateway версии 1. Он необязателен для SKU Шлюза приложений версии 2 (Standard_v2 или WAF_v2).
- Наборы шифров "TLS_AES_128_GCM_SHA256" и "TLS_AES_256_GCM_SHA384" являются обязательными для TLSv1.3. При настройке политики CustomV2 с минимальной версией протокола 1.2 или 1.3 с помощью PowerShell или CLI вам не нужно явно упоминать их. Соответственно, эти наборы шифров не отображаются в выходных данных раздела "Получение сведений", за исключением "Портала".
Комплекты шифров
Шлюз приложений поддерживает следующие комплекты шифров, из которых можно выбрать пользовательскую политику. Порядок комплектов шифров определяет порядок приоритета во время согласования TLS.
- TLS_AES_128_GCM_SHA256 (доступно только в Customv2)
- TLS_AES_256_GCM_SHA384 (доступно только в Customv2)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Limitations
- Подключения к серверным серверам предпочитают TLS 1.3, если они доступны, с резервной поддержкой TLS 1.2. Не удается настроить версию TLS и наборы шифров для внутренних подключений.
- По состоянию на данный момент реализация TLS 1.3 не включена с функцией "Нулевое время кругового пути (0-RTT)".
- Возобновление сеанса TLS (идентификатор или тикеты) не поддерживается.
- Шлюз приложений версии 2 не поддерживает следующие шифры DHE. Они не будут использоваться для подключений TLS с клиентами, даже если они упоминаются в предопределенных политиках. Вместо шифров DHE рекомендуется использовать безопасные и более быстрые шифры ECDHE.
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- Ограниченные клиенты, которые ищут поддержку "Максимальное согласование длины фрагментов", должны использовать более новые политики 2022 предварительно определенных или Customv2.
Дальнейшие шаги
Сведения о настройке политики TLS см. в статье Настройка версий политики TLS и комплектов шифров для Шлюза приложений.