Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS), web tarayıcısı gibi bir web sunucusu ile istemci arasında şifreli bağlantı oluşturmaya yönelik standart güvenlik teknolojisidir. Bu bağlantı, sunucu ile istemci arasında geçirilen tüm verilerin özel ve şifrelenmiş kalmasını sağlar.
Azure Front Door, güvenlik veya uyumluluk gereksinimlerinizi karşılamak için uçtan uca TLS şifrelemesini destekler. Front Door TLS/SSL yük boşaltması TLS bağlantısını sonlandırır, Azure Front Door'daki trafiğin şifresini çözer ve trafiği çıkış kaynağına iletmeden önce yeniden şifreler. Kaynakla bağlantılar kaynağın genel IP adresini kullandığında, Azure Front Door'unuzda iletme protokolü olarak HTTPS'yi yapılandırmak iyi bir güvenlik uygulamasıdır. İletme protokolü olarak HTTPS'yi kullanarak, istemciden kaynağına isteğin tüm işlenmesi için uçtan uca TLS şifrelemesi uygulayabilirsiniz. Özel Bağlantı özelliğini kullanarak Azure Front Door Premium ile özel bir kaynak dağıtırsanız TLS/SSL boşaltması da desteklenir.
Bu makalede, Azure Front Door'un TLS bağlantılarıyla nasıl çalıştığı açıklanmaktadır. TLS sertifikalarını kendi özel etki alanlarınızla kullanma hakkında daha fazla bilgi için bkz. Özel etki alanları için HTTPS. Kendi özel etki alanınızda TLS sertifikası yapılandırmayı öğrenmek için bkz. Azure portalını kullanarak Azure Front Door'da özel etki alanı yapılandırma.
Uçtan uca TLS şifrelemesi
Uçtan uca TLS, küresel yük dengeleme ve önbelleğe alma gibi Azure Front Door özelliklerinden yararlanırken çıkış noktası üzerinden aktarım sırasında hassas verilerin güvenliğini sağlamanızı sağlar. Bazı özellikler url tabanlı yönlendirme, TCP bölme, istemcilere en yakın kenar konumunda önbelleğe alma ve uçta HTTP isteklerini özelleştirmeyi de içerir.
Azure Front Door, uçta TLS oturumlarını boşaltıp istemci isteklerinin şifresini çözer. Ardından, istekleri kaynak grubundaki uygun orijine yönlendirmek için yapılandırılan yönlendirme kurallarını uygular. Azure Front Door daha sonra kaynakla yeni bir TLS bağlantısı başlatır ve isteği kaynağın sertifikasına iletmeden önce kaynağın sertifikasını kullanarak tüm verileri yeniden şifreler. Kaynaktan gelen tüm yanıtlar aynı işlemle son kullanıcıya geri şifrelenir. Azure Front Door'unuzu uçtan uca TLS'yi etkinleştirmek için iletme protokolü olarak HTTPS kullanacak şekilde yapılandırabilirsiniz.
Desteklenen TLS sürümleri
Azure Front Door, TLS protokolünün iki sürümünü destekler: TLS sürüm 1.2 ve 1.3. Eylül 2019'un ardından oluşturulan tüm Azure Front Door profilleri TLS 1.3 etkinken varsayılan minimum olarak TLS 1.2 kullanır. Azure Front Door şu anda istemci/karşılıklı kimlik doğrulamayı (mTLS) desteklememektedir.
Önemli
1 Mart 2025 itibarıyla yeni Azure Front Door profillerinde TLS 1.0 ve 1.1'e izin verilmez.
Azure Front Door Standard ve Premium için önceden tanımlanmış TLS ilkesini yapılandırabilir veya kuruluşunuzun güvenlik gereksinimlerine göre TLS şifreleme paketini seçebilirsiniz. Daha fazla bilgi için bkz. Azure Front Door TLS ilkesi ve Front oor özel etki alanında TLS ilkesini yapılandırma.
Azure Front Door klasik ve Microsoft CDN klasik için Azure portalını veya Azure REST API'sini kullanarak özel etki alanı HTTPS ayarlarında Azure Front Door'da en düşük TLS sürümünü yapılandırabilirsiniz. En düşük TLS sürüm 1.2 için, anlaşma TLS 1.3 ve ardından TLS 1.2 oluşturmaya çalışır. Azure Front Door çıkış noktası için TLS trafiğini başlattığında kaynağın güvenilir ve tutarlı bir şekilde kabul edeceği en iyi TLS sürümünü belirlemeye çalışır. Kaynak bağlantıları için desteklenen TLS sürümleri TLS 1.2 ve TLS 1.3'lerdir. Şifre paketini ihtiyaçlara göre özelleştirmek istiyorsanız , Front Door klasik ve Microsoft CDN klasik'i Azure Front Door standart ve premium'a geçirin.
Uyarı
- TLS 1.3 etkinleştirilmiş istemcilerin, TLS 1.3 kullanarak Azure Front Door ile başarılı bir şekilde istekte bulunmak için Secp384r1, Secp256r1 ve Secp521 gibi Microsoft SDL uyumlu EC Eğrilerinden birini desteklemesi gerekir.
- İstemcilerin, TLS el sıkışması gecikmesinin artmasından kaçınmak için istekler sırasında tercih ettikleri eğri olarak bu eğrilerden birini kullanması önerilir, çünkü desteklenen EC eğrisi üzerinde anlaşmak için birden çok gidiş dönüşe ihtiyaç duyulabilir.
Desteklenen sertifikalar
TLS/SSL sertifikanızı oluştururken, Microsoft Güvenilen CA Listesi'nin parçası olan izin verilen bir Sertifika Yetkilisi (CA) ile eksiksiz bir sertifika zinciri oluşturmanız gerekir. İzin verilmeyen bir CA kullanırsanız isteğiniz reddedilir.
İç CA'lardan alınan veya otomatik olarak imzalanan sertifikalara izin verilmez.
Çevrimiçi Sertifika Durum Protokolü (OCSP) birleştirme
OCSP zımbalama, Azure Front Door'da varsayılan olarak desteklenir ve yapılandırma gerekmez.
Kaynak TLS bağlantısı (Azure Front Door to origin)
HTTPS bağlantıları için Azure Front Door, kaynağınızın geçerli bir sertifika yetkilisinden (CA) kaynak ana bilgisayar adıyla eşleşen konu adıyla bir sertifika sunmasını bekler. Eğer kaynak ana bilgisayar adınız myapp-centralus.contoso.net olarak ayarlanmışsa ve kaynağınızın TLS el sıkışması sırasında sunduğu sertifikada konu adında myapp-centralus.contoso.net veya *.contoso.net yoksa, Azure Front Door bağlantıyı reddeder ve istemci bir hata alır.
Uyarı
Sertifika, yaprak ve ara sertifikalarla eksiksiz bir sertifika zincirine sahip olmalıdır. Kök CA, Microsoft Güvenilen CA Listesi'nin bir parçası olmalıdır. Tam zincir içermeyen bir sertifika sunulursa, bu sertifikayı içeren isteklerin beklendiği gibi çalışacağı garanti edilmemektedir.
Test gibi bazı kullanım örneklerinde, başarısız HTTPS bağlantılarını çözmek için geçici bir çözüm olarak Azure Front Door'unuz için sertifika konu adı denetimlerini devre dışı bırakabilirsiniz. Kaynağın geçerli, güvenilir bir zincire sahip bir sertifika sunması gerekir, ancak kaynak ana bilgisayar adıyla eşleşmesi gerekmez.
Azure Front Door Standard ve Premium'da, sertifika konu adı denetimini devre dışı bırakmak için bir kaynak yapılandırabilirsiniz.
Azure Front Door'da (klasik), Azure portalında Azure Front Door ayarlarını değiştirerek sertifika konu adı denetimini devre dışı bırakabilirsiniz. Denetimi, Azure Front Door API'lerinde arka uç havuzunun ayarlarını kullanarak da yapılandırabilirsiniz.
Uyarı
Microsoft, güvenlik açısından sertifika konu adı denetimini devre dışı bırakmanızı önermez.
Ön uç TLS bağlantısı (istemciden Azure Front Door'a)
Azure Front Door özel etki alanında içeriğin güvenli teslimi için HTTPS protokolünün etkinleştirilmesi için, Azure Front Door tarafından yönetilen bir sertifika kullanmayı veya kendi sertifikanızı kullanmayı seçebilirsiniz.
Daha fazla bilgi için bkz. Özel etki alanları için HTTPS.
Azure Front Door'un yönetilen sertifikası DigiCert aracılığıyla standart bir TLS/SSL sertifikası sağlar ve Azure Front Door'un Key Vault'unda depolanır.
Kendi sertifikanızı kullanmayı seçerseniz, desteklenen bir CA'dan standart TLS, genişletilmiş doğrulama sertifikası ve hatta joker sertifika olabilecek bir sertifika ekleyebilirsiniz. Otomatik olarak imzalanan sertifikalar desteklenmez. Özel bir etki alanı için HTTPS'yi etkinleştirmeyi öğrenin.
Sertifika otomatik yenileme
Azure Front Door tarafından yönetilen sertifika seçeneği için sertifikalar, süresi dolmadan 90 gün önce Azure Front Door tarafından yönetilir ve otomatik olarak yenilenir. Azure Front Door Standard/Premium tarafından yönetilen sertifika seçeneği için sertifikalar, Azure Front Door tarafından süresi dolmadan 45 gün içinde yönetilir ve otomatik olarak yenilenir. Azure Front Door tarafından yönetilen bir sertifika kullanıyorsanız ve sertifikanın bitiş tarihinin 60 günden az olduğunu veya Standart/Premium SKU için 30 günden az olduğunu görüyorsanız bir destek bileti oluşturun.
Kendi özel TLS/SSL sertifikanız için:
Anahtar kasanızda sertifikanın daha yeni bir sürümü kullanılabilir olduğunda sertifikanın otomatik olarak en son sürüme döndürülecek gizli dizi sürümünü 'En Son' olarak ayarlayın. Özel sertifikalar için, sertifikanın süresi ne olursa olsun, sertifika otomatik olarak daha yeni bir versiyon ile 3-4 gün içinde güncellenir.
Belirli bir sürüm seçilirse otomatik döndürme desteklenmez. Sertifikayı döndürmek için yeni sürümü el ile yeniden seçmeniz gerekir. Sertifikanın/gizli dizinin yeni sürümünün dağıtılması 24 saat kadar sürer.
Uyarı
Etki alanı CNAME kaydı doğrudan bir Front Door uç noktasına veya dolaylı olarak bir Traffic Manager uç noktasına işaret ederse Azure Front Door (Standart ve Premium) yönetilen sertifikaları otomatik olarak döndürülür. Aksi takdirde, sertifikaları döndürmek için etki alanı sahipliğini yeniden doğrulamanız gerekir.
Front Door hizmet sorumlusunun anahtar kasasına erişimi olmalıdır. Sertifikanın konu adı veya konu alternatif adı (SAN) değişmediği sürece Azure Front Door tarafından güncelleştirilmiş sertifika dağıtımı işlemi üretim kesintisine neden olmaz.
Desteklenen şifreleme paketleri
TLS 1.2/1.3 için aşağıdaki şifreleme paketleri desteklenir:
- TLS_AES_256_GCM_SHA384 (yalnızca TLS 1.3)
- TLS_AES_128_GCM_SHA256 (yalnızca TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Uyarı
Eski TLS sürümleri ve zayıf şifrelemeler artık desteklenmiyor.
Belirli şifreleme paketlerini yapılandırmak için TLS ilkesini kullanın. Azure Front Door Standard ve Premium, TLS ilkesini denetlemeye yönelik iki mekanizma sunar: Önceden tanımlanmış bir ilkeyi veya kendi gereksinimlerinize göre özel bir ilke kullanabilirsiniz. Daha fazla bilgi için Front Door özel alan adında TLS ilkesini yapılandırma bölümüne bakın.
Uyarı
Windows 10 ve sonraki sürümler için, daha iyi güvenlik için ECDHE_GCM şifreleme paketlerinden birini veya her ikisini etkinleştirmenizi öneririz. Windows 8.1, 8 ve 7, bu ECDHE_GCM şifre paketleriyle uyumlu değildir. ECDHE_CBC ve DHE şifreleme paketleri bu işletim sistemleriyle uyumluluk için sağlanmıştır.