Azure Front Door ile uçtan uca TLS

  • Makale

Daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS), web tarayıcısı gibi bir web sunucusu ile istemci arasında şifreli bağlantı oluşturmaya yönelik standart güvenlik teknolojisidir. Bu bağlantı, sunucu ile istemci arasında geçirilen tüm verilerin özel ve şifrelenmiş kalmasını sağlar.

Azure Front Door, güvenlik veya uyumluluk gereksinimlerinizi karşılamak için uçtan uca TLS şifrelemesini destekler. Front Door TLS/SSL yük boşaltması TLS bağlantısını sonlandırır, Azure Front Door'daki trafiğin şifresini çözer ve trafiği çıkış kaynağına iletmeden önce yeniden şifreler. Kaynakla bağlantılar kaynağın genel IP adresini kullandığında, Azure Front Door'unuzda iletme protokolü olarak HTTPS'yi yapılandırmak iyi bir güvenlik uygulamasıdır. İletme protokolü olarak HTTPS'yi kullanarak, istemciden kaynağına isteğin tüm işlenmesi için uçtan uca TLS şifrelemesi uygulayabilirsiniz. Özel Bağlantı özelliğini kullanarak Azure Front Door Premium ile özel bir kaynak dağıtırsanız TLS/SSL boşaltması da desteklenir.

Bu makalede, Azure Front Door'un TLS bağlantılarıyla nasıl çalıştığı açıklanmaktadır. TLS sertifikalarını kendi özel etki alanlarınızla kullanma hakkında daha fazla bilgi için bkz . Özel etki alanları için HTTPS. Kendi özel etki alanınızda TLS sertifikası yapılandırmayı öğrenmek için bkz . Azure portalını kullanarak Azure Front Door'da özel etki alanı yapılandırma.

Uçtan uca TLS şifrelemesi

Uçtan uca TLS, küresel yük dengeleme ve önbelleğe alma gibi Azure Front Door özelliklerinden yararlanırken çıkış noktası üzerinden aktarım sırasında hassas verilerin güvenliğini sağlamanızı sağlar. Bazı özellikler url tabanlı yönlendirme, TCP bölme, istemcilere en yakın kenar konumunda önbelleğe alma ve uçta HTTP isteklerini özelleştirmeyi de içerir.

Azure Front Door, uçta TLS oturumlarını boşaltıp istemci isteklerinin şifresini çözer. Ardından, istekleri kaynak grubundaki uygun orijine yönlendirmek için yapılandırılan yönlendirme kurallarını uygular. Azure Front Door daha sonra kaynakla yeni bir TLS bağlantısı başlatır ve isteği kaynağın sertifikasına iletmeden önce kaynağın sertifikasını kullanarak tüm verileri yeniden şifreler. Kaynaktan gelen tüm yanıtlar aynı işlemle son kullanıcıya geri şifrelenir. Azure Front Door'unuzu uçtan uca TLS'yi etkinleştirmek için iletme protokolü olarak HTTPS kullanacak şekilde yapılandırabilirsiniz.

Desteklenen TLS sürümleri

Azure Front Door, TLS protokolünün dört sürümünü destekler: TLS sürüm 1.0, 1.1, 1.2 ve 1.3. Eylül 2019'un ardından oluşturulan tüm Azure Front Door profilleri TLS 1.3 etkinken varsayılan en düşük değer olarak TLS 1.2 kullanır, ancak geriye dönük uyumluluk için TLS 1.0 ve TLS 1.1 hala desteklenmektedir.

Azure Front Door şu anda RFC 5246'da istemci/karşılıklı kimlik doğrulaması sunan TLS 1.2'yi desteklese de, Azure Front Door henüz istemci/karşılıklı kimlik doğrulamayı (mTLS) desteklememektedir.

Azure portalını veya Azure REST API'sini kullanarak özel etki alanı HTTPS ayarlarında Azure Front Door'da en düşük TLS sürümünü yapılandırabilirsiniz. Şu anda 1.0 ile 1.2 arasında seçim yapabilirsiniz. Bu nedenle, en düşük sürüm olarak TLS 1.2 belirtilmesi, Azure Front Door'un istemciden kabul edeceği en düşük kabul edilebilir TLS sürümünü denetler. En düşük TLS sürüm 1.2 için anlaşma TLS 1.3 ve ardından TLS 1.2 oluşturmaya çalışırken, en düşük TLS sürüm 1.0 için dört sürümün tümü denenecektir. Azure Front Door çıkış noktası için TLS trafiğini başlattığında kaynağın güvenilir ve tutarlı bir şekilde kabul edeceği en iyi TLS sürümünü belirlemeye çalışır. Kaynak bağlantıları için desteklenen TLS sürümleri TLS 1.0, TLS 1.1, TLS 1.2 ve TLS 1.3'lerdir.

Not

  • TLS 1.3 etkinleştirilmiş istemcilerin, TLS 1.3 kullanarak Azure Front Door ile başarılı bir şekilde istekte bulunmak için Secp384r1, Secp256r1 ve Secp521 gibi Microsoft SDL uyumlu EC Eğrilerinden birini desteklemesi gerekir.
  • İstemcilerin, tls el sıkışma gecikmesinin artmasından kaçınmak için istekler sırasında tercih ettikleri eğri olarak bu eğrilerden birini kullanmaları önerilir. Bu da desteklenen EC eğrisi üzerinde anlaşmak için birden çok gidiş dönüşten kaynaklanabilir.

Desteklenen sertifikalar

TLS/SSL sertifikanızı oluştururken, Microsoft Güvenilen CA Listesi'nin parçası olan izin verilen bir Sertifika Yetkilisi (CA) ile eksiksiz bir sertifika zinciri oluşturmanız gerekir. İzin verilmeyen bir CA kullanırsanız isteğiniz reddedilir.

İç CA'lardan alınan veya otomatik olarak imzalanan sertifikalara izin verilmez.

Çevrimiçi Sertifika Durum Protokolü (OCSP) zımbalama

OCSP zımbalama, Azure Front Door'da varsayılan olarak desteklenir ve yapılandırma gerekmez.

Kaynak TLS bağlantısı (Azure Front Door to origin)

HTTPS bağlantıları için Azure Front Door, kaynağınızın geçerli bir sertifika yetkilisinden (CA) kaynak ana bilgisayar adıyla eşleşen konu adıyla bir sertifika sunmasını bekler. Örneğin, kaynak ana bilgisayar adınız olarak ayarlanmışsa myapp-centralus.contosonews.net ve TLS el sıkışması myapp-centralus.contosonews.net sırasında kaynağınızın sunduğu sertifikada veya *.contosonews.net konu adında yoksa, Azure Front Door bağlantıyı reddeder ve istemci bir hata görür.

Not

Sertifika, yaprak ve ara sertifikalarla eksiksiz bir sertifika zincirine sahip olmalıdır. Kök CA, Microsoft Güvenilen CA Listesi'nin bir parçası olmalıdır. Tam zincir içermeyen bir sertifika sunulursa, bu sertifikayı içeren isteklerin beklendiği gibi çalışması garanti edilmemektedir.

Test etme gibi bazı kullanım örneklerinde, başarısız HTTPS bağlantısını çözmek için geçici bir çözüm olarak Azure Front Door'unuz için sertifika konu adı denetimini devre dışı bırakabilirsiniz. Kaynağın hala geçerli bir güvenilir zincire sahip bir sertifika sunması gerektiğini, ancak kaynak ana bilgisayar adıyla eşleşmesi gerekmeyen bir değer olduğunu unutmayın.

Azure Front Door Standard ve Premium'da, sertifika konu adı denetimini devre dışı bırakmak için bir kaynak yapılandırabilirsiniz.

Azure Front Door'da (klasik), Azure portalında Azure Front Door ayarlarını değiştirerek sertifika konu adı denetimini devre dışı bırakabilirsiniz. Denetimi, Azure Front Door API'lerinde arka uç havuzunun ayarlarını kullanarak da yapılandırabilirsiniz.

Not

Microsoft, güvenlik açısından sertifika konu adı denetimini devre dışı bırakmanızı önermez.

Ön uç TLS bağlantısı (istemciden Azure Front Door'a)

Azure Front Door özel etki alanında içeriğin güvenli teslimi için HTTPS protokolünün etkinleştirilmesi için, Azure Front Door tarafından yönetilen bir sertifika kullanmayı veya kendi sertifikanızı kullanmayı seçebilirsiniz.

Daha fazla bilgi için bkz . Özel etki alanları için HTTPS.

Azure Front Door'un yönetilen sertifikası DigiCert aracılığıyla standart bir TLS/SSL sertifikası sağlar ve Azure Front Door'un Key Vault'unda depolanır.

Kendi sertifikanızı kullanmayı seçerseniz, desteklenen bir CA'dan standart TLS, genişletilmiş doğrulama sertifikası ve hatta joker sertifika olabilecek bir sertifika ekleyebilirsiniz. Otomatik olarak imzalanan sertifikalar desteklenmez. Özel bir etki alanı için HTTPS'yi etkinleştirmeyi öğrenin.

Sertifika otomatik döndürme

Azure Front Door tarafından yönetilen sertifika seçeneği için sertifikalar, Azure Front Door tarafından süresi dolan 90 gün içinde yönetilir ve otomatik olarak döndürülür. Azure Front Door Standard/Premium tarafından yönetilen sertifika seçeneği için sertifikalar, Azure Front Door tarafından süresi dolan 45 gün içinde yönetilir ve otomatik olarak döndürülür. Azure Front Door tarafından yönetilen bir sertifika kullanıyorsanız ve sertifikanın bitiş tarihinin 60 günden az olduğunu veya Standart/Premium SKU için 30 günden az olduğunu görüyorsanız bir destek bileti oluşturun.

Kendi özel TLS/SSL sertifikanız için:

  1. Anahtar kasanızda sertifikanın daha yeni bir sürümü kullanılabilir olduğunda sertifikanın otomatik olarak en son sürüme döndürülecek şekilde gizli dizi sürümünü 'En Son' olarak ayarlarsınız. Özel sertifikalar için sertifika süresi ne olursa olsun sertifikanın daha yeni bir sürümüyle 3-4 gün içinde otomatik olarak döndürülür.

  2. Belirli bir sürüm seçilirse otomatik döndürme desteklenmez. Sertifikayı döndürmek için yeni sürümü el ile yeniden seçmeniz gerekir. Sertifikanın/gizli dizinin yeni sürümünün dağıtılması 24 saat kadar sürer.

    Not

    Etki alanı CNAME kaydı doğrudan bir Front Door uç noktasına veya dolaylı olarak bir Traffic Manager uç noktasına işaret ederse Azure Front Door (Standart ve Premium) yönetilen sertifikaları otomatik olarak döndürülür. Aksi takdirde, sertifikaları döndürmek için etki alanı sahipliğini yeniden doğrulamanız gerekir.

    Front Door hizmet sorumlusunun anahtar kasasına erişimi olduğundan emin olmanız gerekir. Anahtar kasanıza erişim izni verme bölümüne bakın. Sertifikanın konu adı veya konu alternatif adı (SAN) değişmediği sürece Azure Front Door tarafından güncelleştirilmiş sertifika dağıtımı işlemi üretim kesintisine neden olmaz.

Desteklenen şifreleme paketleri

TLS 1.2/1.3 için aşağıdaki şifreleme paketleri desteklenir:

  • TLS_AES_256_GCM_SHA384 (yalnızca TLS 1.3)
  • TLS_AES_128_GCM_SHA256 (yalnızca TLS 1.3)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Not

Windows 10 ve sonraki sürümler için, daha iyi güvenlik için ECDHE_GCM şifreleme paketlerinden birini veya her ikisini etkinleştirmenizi öneririz. Windows 8.1, 8 ve 7, bu ECDHE_GCM şifre paketleriyle uyumlu değildir. ECDHE_CBC ve DHE şifreleme paketleri bu işletim sistemleriyle uyumluluk için sağlanmıştır.

TLS 1.0 ve 1.1 etkin özel etki alanları kullanılırken aşağıdaki şifreleme paketleri desteklenir:

  • TLS_AES_256_GCM_SHA384 (yalnızca TLS 1.3)
  • TLS_AES_128_GCM_SHA256 (yalnızca TLS 1.3)
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Azure Front Door, profiliniz için belirli şifreleme paketlerini devre dışı bırakmayı veya yapılandırmayı desteklemez.

Sonraki adımlar