Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS), web sunucusu ile tarayıcı arasında şifreli bağlantı oluşturmaya yönelik standart güvenlik teknolojisidir. Bu bağlantı, web sunucusu ve tarayıcılar arasında geçirilen tüm verilerin özel ve şifreli kalmasını sağlar. Application Gateway hem ağ geçidinde TLS sonlandırmayı hem de uçtan uca TLS şifrelemesini destekler.
Önemli
31 Ağustos 2025 itibaren, Azure Uygulama Ağ Geçidi ile etkileşim kuran tüm istemciler ve arka uç sunucuları, TLS 1.0 ve 1.1 desteğinin sona erecek olmasından dolayı Aktarım Katmanı Güvenliği (TLS) 1.2 veya üzerini kullanmalıdır.
TLS sonlandırma
Application Gateway, ağ geçidinde TLS sonlandırmasını destekler ve bundan sonra trafik genellikle arka uç sunucularına şifrelenmemiş olarak akar. Uygulama ağ geçidinde TLS sonlandırması yapmanın çeşitli avantajları vardır:
- Geliştirilmiş performans – TLS şifre çözme işlemi sırasında en büyük performans isabeti ilk el sıkışmadır. Performansı geliştirmek için şifre çözme işlemini yapan sunucu TLS oturum kimliklerini önbelleğe alır ve TLS oturum biletlerini yönetir. Bu işlem uygulama ağ geçidinde yapılırsa, aynı istemciden gelen tüm istekler önbelleğe alınmış değerleri kullanabilir. Arka uç sunucularında yapılırsa, istemcinin istekleri farklı bir sunucuya her gittiği zaman istemcinin yeniden kimlik doğrulaması yapması gerekir. TLS biletlerinin kullanılması bu sorunun azaltılmasına yardımcı olabilir, ancak tüm istemciler tarafından desteklenmez ve yapılandırılması ve yönetilmesi zor olabilir.
- Arka uç sunucularının daha iyi kullanımı – SSL/TLS işleme çok YOĞUN CPU kullanımına sahiptir ve anahtar boyutları arttıkça daha yoğun hale gelmektedir. Bu çalışmayı arka uç sunucularından kaldırmak, içerik sunma konusunda en verimli oldukları şeye odaklanmalarını sağlar.
- Akıllı yönlendirme – Uygulama ağ geçidi trafiğin şifresini çözerek üst bilgiler, URI gibi istek içeriğine erişebilir ve istekleri yönlendirmek için bu verileri kullanabilir.
- Sertifika yönetimi – Sertifikaların tüm arka uç sunucularında değil, yalnızca uygulama ağ geçidinde satın alınması ve yüklenmesi gerekir. Bu hem zamandan hem de paradan tasarruf sağlar.
TLS sonlandırmayı yapılandırmak için dinleyiciye bir TLS/SSL sertifikası eklenmelidir. Bu, Application Gateway'in gelen trafiğin şifresini çözmesine ve istemciye gelen yanıt trafiğini şifrelemesine olanak tanır. Application Gateway'e sağlanan sertifika, hem özel hem de ortak anahtarları içeren Kişisel Bilgi Değişimi (PFX) biçiminde olmalıdır. Desteklenen PFX algoritmaları PFXImportCertStore işlevinde listelenir.
Önemli
Dinleyicideki sertifika, güven zincirini oluşturmak için sertifika zincirinin tamamının (CA'dan kök sertifika, ara sertifikalar ve yaprak sertifika) yüklenmesini gerektirir.
Note
Application Gateway, yeni bir sertifika oluşturma veya sertifika yetkilisine sertifika isteği gönderme özelliği sağlamaz.
TLS bağlantısının çalışması için TLS/SSL sertifikasının aşağıdaki koşulları karşıladığından emin olmanız gerekir:
- Geçerli tarih ve saatin sertifikadaki "Geçerlilik başlangıç" ve "Geçerlilik bitiş" tarih aralığında olması.
- Sertifikanın "Ortak Ad" (CN) değeri, istekteki sunucu başlığıyla eşleştiğini. Örneğin, istemci
https://www.contoso.com/'a bir istekte bulunuyorsa, CNwww.contoso.comolmalıdır.
Arka uç sertifikası ortak adı (CN) ile ilgili hatalarla karşı karşıyaysanız sorun giderme kılavuzumuza bakın.
TLS sonlandırma için desteklenen sertifikalar
Application Gateway aşağıdaki sertifika türlerini destekler:
- CA (Sertifika Yetkilisi) sertifikası: CA sertifikası, sertifika yetkilisi (CA) tarafından verilen dijital bir sertifikadır
- EV (Genişletilmiş Doğrulama) sertifikası: EV sertifikası, endüstri standardı sertifika yönergelerine uyan bir sertifikadır. Bu, tarayıcı bulucu çubuğunu yeşile çevirir ve şirket adını da yayımlar.
- Joker Sertifika: Bu sertifika, *.site.com tabanlı herhangi bir sayıda alt etki alanını destekler; burada alt etki alanınız * öğesinin yerini alır. Ancak, site.com desteklemez, bu nedenle kullanıcıların öndeki "www" yazmadan web sitenize erişmesi durumunda joker karakter sertifikası bunu kapsamaz.
- Otomatik olarak imzalanan sertifikalar: İstemci tarayıcıları bu sertifikalara güvenmez ve kullanıcıyı sanal hizmetin sertifikasının bir güven zincirinin parçası olmadığı konusunda uyarır. Otomatik olarak imzalanan sertifikalar, yöneticilerin istemcileri denetlediği ve tarayıcının güvenlik uyarılarını güvenli bir şekilde atladığı test veya ortamlar için uygundur. Üretim iş yükleri hiçbir zaman otomatik olarak imzalanan sertifikaları kullanmamalıdır.
Daha fazla bilgi için bkz . Application Gateway ile TLS sonlandırmasını yapılandırma.
Sertifikanın boyutu
Desteklenen en yüksek TLS/SSL sertifika boyutunu öğrenmek için Application Gateway sınırları bölümüne bakın.
Uçtan uca TLS şifrelemesi
Arka uç sunucularına şifrelenmemiş iletişim sağlamak istemeyebilirsiniz. Güvenlik gereksinimleriniz, uyumluluk gereksinimleriniz olabilir veya uygulama yalnızca güvenli bir bağlantı kabul edebilir. Azure Uygulama Ağ Geçidi, bu gereksinimleri desteklemek için uçtan uca TLS şifrelemesine sahiptir.
Uçtan uca TLS, Application Gateway'in Katman 7 yük dengeleme özelliklerini kullanırken hassas verileri şifrelemenize ve güvenli bir şekilde arka uca iletmenize olanak tanır. Bu özellikler, çerez tabanlı oturum yapışkanlığı, URL tabanlı yönlendirme, site tabanlı yönlendirme desteği, X-Forwarded-* üst bilgilerini yeniden yazma veya ekleme yeteneği gibi özellikleri içerir.
Application Gateway, uçtan uca TLS iletişim moduyla yapılandırıldığında, ağ geçidindeki TLS oturumlarını sonlandırır ve kullanıcı trafiğinin şifresini çözer. Ardından trafiğin yönlendirileceği uygun arka uç havuzunu seçmek için yapılandırılan kuralları uygular. Application Gateway daha sonra arka uç sunucusuna yeni bir TLS bağlantısı başlatır ve isteği arka uca iletmeden önce arka uç sunucusunun ortak anahtar sertifikasını kullanarak verileri yeniden şifreler. Web sunucusundan alınan herhangi bir yanıt, son kullanıcıya dönerken aynı süreci izler. Uçtan uca TLS, Arka Uç HTTP Ayarı'nda protokol ayarı HTTPS olarak ayarlanarak etkinleştirilir ve bu ayar arka uç havuzuna uygulanır.
Application Gateway v1 SKU ağ geçitlerinde TLS ilkesi TLS sürümünü yalnızca ön uç trafiğine ve tanımlı şifreleri hem ön uç hem de arka uç hedeflerine uygular. Application Gateway v2 SKU'sunda TLS ilkesi yalnızca ön uç trafiği için geçerlidir. Arka uç TLS bağlantıları her zaman TLS 1.3 kullanılarak görüşülür ve kullanılamıyorsa TLS 1.2'ye geri döner.
Application Gateway yalnızca sertifikalarını Application Gateway ile izin verilen şekilde listeleyen veya sertifikaları iyi bilinen CA yetkilileri tarafından imzalanan ve sertifikanın CN'si HTTP arka uç ayarlarındaki ana bilgisayar adıyla eşleşen arka uç sunucularıyla iletişim kurar. Bunlar Azure Uygulaması Service/Web Apps ve Azure API Management gibi güvenilir Azure hizmetlerini içerir.
Arka uç havuzundaki üyelerin sertifikaları iyi bilinen CA yetkilileri tarafından imzalanmamışsa, arka uç havuzundaki uçtan uca TLS'nin etkinleştirildiği her örnek, güvenli iletişime izin vermek için bir sertifikayla yapılandırılmalıdır. Sertifikanın eklenmesi, uygulama ağ geçidinin yalnızca bilinen arka uç örnekleriyle iletişim kurmasını sağlar. Bu, uçtan uca iletişimin güvenliğini daha da sağlar.
Note
Arka uç sunucularının kimliğini doğrulamak için Arka Uç HTTP Ayarı'na eklenen sertifika, uygulama ağ geçidinde TLS sonlandırması için dinleyiciye eklenen sertifikayla aynı veya gelişmiş güvenlik için farklı olabilir.
Bu örnekte TLS1.2 kullanan istekler, uçtan uca TLS kullanılarak Pool1'deki arka uç sunucularına yönlendirilir.
Uçtan uca TLS ve sertifikaların listelenmesine izin ver
Application Gateway yalnızca sertifikalarını Application Gateway ile izin verilen şekilde listeleyen veya sertifikaları iyi bilinen CA yetkilileri tarafından imzalanan ve sertifikanın CN'si HTTP arka uç ayarlarındaki ana bilgisayar adıyla eşleşen arka uç sunucularıyla iletişim kurar. Kullanılan Application Gateway sürümüyle ilgili olarak uçtan uca TLS kurulum işleminde bazı farklılıklar vardır. Aşağıdaki bölümde sürümler ayrı ayrı açıklanmaktadır.
v1 SKU ile uçtan uca TLS
Arka uç sunucularıyla uçtan uca TLS'yi etkinleştirmek ve Application Gateway'in istekleri bunlara yönlendirmesi için sistem durumu yoklamalarının başarılı olması ve iyi durumda yanıt döndürmesi gerekir.
HTTPS sistem durumu yoklamaları için Application Gateway v1 SKU'su, HTTP ayarlarına yüklenecek kimlik doğrulama sertifikasının (kök sertifikanın değil arka uç sunucu sertifikasının ortak anahtarı) tam eşleşmesini kullanır.
Daha sonra yalnızca bilinen ve izin verilen arka uçlara bağlantılara izin verilir. Geri kalan sunucular sağlık yoklamaları tarafından sağlıksız olarak değerlendirilmektedir. Otomatik olarak imzalanan sertifikalar, yalnızca test amaçlarına yöneliktir ve üretim iş yükleri için önerilmez. Bu tür sertifikaların kullanılabilmesi için önceki adımlarda açıklandığı gibi uygulama ağ geçidine izin listesine alınması gerekir.
Note
Azure Uygulaması Hizmeti gibi güvenilen Azure hizmetleri için kimlik doğrulaması ve güvenilen kök sertifika kurulumu gerekli değildir. Bunlar varsayılan olarak güvenilir olarak kabul edilir.
v2 SKU ile uçtan uca TLS
Application Gateway v2 SKU'sunda Kimlik Doğrulama Sertifikaları kullanım dışı bırakıldı ve yerini Güvenilen Kök Sertifikalar aldı. Kimlik Doğrulama Sertifikaları'na benzer şekilde çalışır ve birkaç önemli fark vardır:
CN'si HTTP arka uç ayarlarındaki ana bilgisayar adıyla eşleşen iyi bilinen CA yetkilileri tarafından imzalanan sertifikalar, uçtan uca TLS'nin çalışması için ek bir adım gerektirmez.
Örneğin, arka uç sertifikaları iyi bilinen bir CA tarafından verildiyse ve CN contoso.com sahipse ve arka uç http ayarının konak alanı da contoso.com olarak ayarlandıysa, ek adım gerekmez. Arka uç http ayarı protokolunu HTTPS olarak ayarlayabilirsiniz ve hem sistem durumu yoklaması hem de veri yolu TLS etkin olur. Arka ucunuz olarak Azure Uygulaması Hizmeti veya diğer Azure web hizmetlerini kullanıyorsanız, bunlar da örtük olarak güvenilirdir ve uçtan uca TLS için başka adım gerekmez.
Note
Bir TLS/SSL sertifikasına güvenilebilmesi için arka uç sunucusunun sertifikasının iyi bilinen bir CA tarafından verilmiş olması gerekir. Sertifika güvenilir bir CA tarafından verilmediyse, uygulama ağ geçidi sertifika veren CA'nın sertifikasının güvenilir bir CA tarafından verildiğini denetler ve bu şekilde, güvenilen bir CA bulunana (bu noktada güvenilir, güvenli bağlantı kurulacak) veya hiçbir güvenilir CA bulunamayana kadar (bu noktada uygulama ağ geçidi arka ucu iyi durumda değil olarak işaretler). Bu nedenle, arka uç sunucu sertifikasının hem kök hem de ara CA'ları içermesi önerilir.
Arka uç sunucu sertifikası otomatik olarak imzalanmışsa veya bilinmeyen CA/aracılar tarafından imzalanmışsa, Application Gateway v2'de uçtan uca TLS'yi etkinleştirmek için güvenilir bir kök sertifikanın karşıya yüklenmesi gerekir. Application Gateway yalnızca sunucu sertifikasının kök sertifikasının, havuzla ilişkilendirilen arka uç için http ayarındaki güvenilen kök sertifikalar listesinden biriyle eşleştiği arka uçlarla iletişim kurar.
Kök sertifika eşleşmesine ek olarak, Application Gateway v2 arka uç http ayarında belirtilen Konak ayarının arka uç sunucusunun TLS/SSL sertifikası tarafından sunulan ortak adla (CN) eşleşip eşleşmediğini de doğrular. Application Gateway v2, arka uçla TLS bağlantısı kurmaya çalışırken, Sunucu Adı Göstergesi (SNI) uzantısını arka uç http ayarında belirtilen Konak olarak ayarlar.
tr-TR: Arka uç http ayarında Konak alanı yerine arka uç hedefinden konak adı seçilirse, SNI üst bilgisi her zaman arka uç havuzunun FQDN'sine ayarlanır ve arka uç sunucusunun TLS/SSL sertifikasında bulunan CN, FQDN'si ile eşleşmelidir. IP adresine sahip arka uç havuz üyeleri bu senaryoda desteklenmez.
Kök sertifika, arka uç sunucu sertifikalarından base64 ile kodlanmış bir kök sertifikadır.
v1 ve v2 SKU'sunda SNI farklılıkları
Daha önce belirtildiği gibi Application Gateway, Application Gateway Dinleyicisi'ndeki istemciden gelen TLS trafiğini sonlandırır (bunu ön uç bağlantısı olarak adlandıralım), trafiğin şifresini çözer, isteğin iletilmesi gereken arka uç sunucusunu belirlemek için gerekli kuralları uygular ve arka uç sunucusuyla yeni bir TLS oturumu oluşturur (arka uç bağlantısı diyelim).
Aşağıdaki tablolarda, ön uç ve arka uç bağlantıları açısından v1 ile v2 SKU arasındaki SNI farklılıkları özetlenmiştir.
Ön uç TLS bağlantısı (istemciden uygulama ağ geçidine)
| Senaryo | v1 | v2 |
|---|---|---|
| İstemci SNI üst bilgisini belirtirse ve tüm çok siteli dinleyiciler "SNI gerektir" bayrağıyla etkinleştirilirse | Uygun sertifikayı döndürür ve web sitesi yoksa (server_name'e göre) bağlantı sıfırlanır. | Varsa uygun sertifikayı döndürür, aksi takdirde, https dinleyicileriyle ilişkilendirilmiş istek yönlendirme kuralları tarafından belirtilen sıraya göre ilk HTTPS dinleyicisinin sertifikasını döndürür |
| İstemci bir SNI üst bilgisi belirtmezse ve tüm çok siteli üst bilgiler "SNI gerektir" ile etkinleştirildiyse | Bağlantıyı sıfırlar | https dinleyicileriyle ilişkilendirilmiş istek yönlendirme kuralları tarafından belirtilen sıraya göre ilk HTTPS dinleyicisinin sertifikasını döndürür |
| İstemci SNI üst bilgisini belirtmezse ve sertifikayla yapılandırılmış temel bir dinleyici varsa | İstemcinin temel dinleyicisinde yapılandırılan sertifikayı döndürür (varsayılan veya geri dönüş sertifikası) | En yüksek öncelikli yönlendirme kuralına sahip HTTPS dinleyicisinin sertifikasını döndürür. Temel dinleyici sertifikası geri dönüş olarak kullanılmaz . |
Önemli
V2 SKU varsayılan sertifika davranışı: bir istemci SNI üst bilgisi olmadan bağlandığında (örneğin, bir IP adresi kullanarak), Application Gateway V2 temel dinleyici sertifikasına geri dönmez . Bunun yerine, her zaman ilişkili istek yönlendirme kuralı en yüksek önceliğe (en düşük öncelik numarasına) sahip olan HTTPS dinleyicisinden sertifikayı döndürür. Bu davranış, temel dinleyicinin sertifikasını yedek olarak döndüren V1 SKU'sundan farklıdır.
Tip
Varsayılan sertifikayı bir SNI deliğiyle denetleme: İstemciler SNI olmadan IP adresiyle bağlandığında Application Gateway V2'nin üretim sitesi sertifikasını göstermesini önlemek için bir "SNI deliği" yapılandırabilirsiniz:
- Herhangi bir gerçek siteyle eşleşmeyen sahte bir ana bilgisayar adına sahip çok siteli bir HTTPS dinleyicisi oluşturun (örneğin,
sni-hole.invalid). - Kendi kendine imzalanmış bir sertifikayı bu dinleyiciye yükleyin.
- Bu dinleyiciyle ilişkilendirilmiş bir istek yönlendirme kuralı oluşturun ve tüm kurallarınız arasında en yüksek önceliğe (en düşük öncelik numarası) atayın.
Bu yapılandırmayla, eşleşen bir SNI üst bilgisi olmayan tüm bağlantılar geçerli bir site sertifikası yerine otomatik olarak imzalanan sertifikayı alır. Bu, yalnızca IP bağlantılarının barındırılan siteleriniz hakkında bilgi almasını engeller.
Arka uç TLS bağlantısı (arka uç sunucusuna uygulama ağ geçidi)
Yoklama trafiği için
| Senaryo | v1 | v2 |
|---|---|---|
| FQDN veya SNI yapılandırıldığında | Arka uç havuzundan FQDN olarak ayarlayın. RFC 6066'ya göre, SNI ana bilgisayar adında değişmez IPv4 ve IPv6 adreslerine izin verilmez. | SNI değeri, Arka Uç Ayarları'ndaki TLS doğrulama türüne göre ayarlanır. 1. Tam doğrulama – Yoklamalar SNI'yi aşağıdaki öncelik sırasına göre kullanır: a) Özel Sağlık Yoklaması'nın ana bilgisayar adı b) Backend Ayarı'nın sunucu adı (Arka uç sunucusundan veya geçersiz kılınan değere göre seç) 2. Yapılandırılabilir Belirli bir SNI kullanın: Problar doğrulama için bu sabit konak adını kullanır. SNI atla: Konu Adı doğrulaması yok. |
| FQDN veya SNI yapılandırılmadığında (yalnızca IP adresi kullanılabilir) | SNI (server_name) ayarlanamaz. Not: Bu durumda, arka uç sunucusu varsayılan/geri dönüş sertifikası döndürebilmelidir ve bu, kimlik doğrulama sertifikası altındaki HTTP ayarlarında izin ver listesinde olmalıdır. Arka uç sunucusunda yapılandırılmış varsayılan/geri dönüş sertifikası yoksa ve SNI bekleniyorsa sunucu bağlantıyı sıfırlayabilir ve yoklama hatalarına yol açabilir |
Özel Yoklama veya Arka Uç Ayarları konak adı alanında bir IP adresi kullanıyorsa, RFC 6066'ya uygun olarak SNI ayarlanmaz. Bu, varsayılan yoklamanın 127.0.0.1 kullandığı durumları içerir. |
Canlı trafik için
| Senaryo | v1 | v2 |
|---|---|---|
| FQDN veya SNI kullanılabilir olduğunda | SNI, arka uç sunucusunun FQDN'sini kullanarak ayarlanır. | SNI değeri, Arka Uç Ayarları'ndaki TLS doğrulama türüne göre ayarlanır. 1. Tam doğrulama – SNI, aşağıdaki öncelik sırasına göre ayarlanır: a) Arka Uç Ayarı'nın ana bilgisayar adı (Geçersiz kılınan değere göre veya Arka uç sunucusundan seç'e göre) b) Gelen istemci isteğinin host üstbilgisi 2. Yapılandırılabilir Belirli SNI kullanma: Doğrulama için bu sabit ana bilgisayar adını kullanır. SNI atla: Konu Adı doğrulaması yok. |
| FQDN veya SNI kullanılmıyorsa (yalnızca IP adresi kullanılabilir) | Arka uç havuz girişi bir FQDN olmadığında SNI, RFC 6066'ya göre ayarlanmayacaktır. | SNI RFC 6066'ya göre ayarlanamaz. |
Sonraki adımlar
Uçtan uca TLS hakkında bilgi edindikten sonra, uçtan uca TLS kullanarak uygulama ağ geçidi oluşturmak için PowerShell ile Application Gateway kullanarak uçtan uca TLS yapılandırma bölümüne gidin.