本文說明如何使用 Azure 入口網站,在 Azure 應用程式閘道上設定接聽程式特定的 SSL 原則。 監聽器特定的 SSL 原則允許您配置特定的監聽器,以便使用不同的 SSL 原則。 除非由接聽程式特定 SSL 原則覆寫,否則您仍然可以設定所有接聽程式使用的預設 SSL 原則。 本文說明如何使用 Azure 入口網站,在應用程式閘道上設定接聽程式特定的 SSL 原則。 監聽器特定的 SSL 原則允許您配置特定的監聽器,以便使用不同的 SSL 原則。 除非由接聽程式特定 SSL 原則覆寫,否則您仍然可以設定所有接聽程式使用的預設 SSL 原則。
這很重要
從 2025 年 8 月 31 日起,所有與 Azure 應用程式閘道互動的用戶端和後端伺服器都必須使用傳輸層安全性 (TLS) 1.2 或更高版本,因為 TLS 1.0 和 1.1 的支援將會停止。
備註
只有Standard_v2和WAF_v2 SKU 支援接聽器特定政策。 接聽程式特定原則是 SSL 配置檔的一部分,而且只有 v2 應用程式閘道才支援 SSL 配置檔。
先決條件
開始之前,請確定您有:
- Azure 訂用帳戶。 如果您沒有帳戶,請在開始之前建立 免費帳戶 。
- 現有的 Azure 應用程式閘道(Standard_v2或WAF_v2 SKU)
- 修改應用程式閘道組態的適當許可權
建立新的應用程式閘道
首先,像平常一樣透過入口建立新的應用程式閘道器。 建立期間不需要再執行任何步驟來設定接聽程式特定的 SSL 原則。 如需如何在入口網站中建立應用程式閘道的詳細資訊,請參閱 入口網站快速入門教學課程。
首先像平常一樣透過入口網站建立新的應用程式閘道 - 在建立時不需要額外的步驟來設定接聽器特定的 SSL 原則。 如需如何在入口網站中建立應用程式閘道的詳細資訊,請參閱我們的 入口網站快速入門教學課程。
設定接聽程式特定的SSL原則
繼續進行之前,以下是接聽程式特定 SSL 原則的一些重要考量:
SSL 原則
我們建議使用 TLS 1.2 或更高版本
您不需要在 SSL 設定檔上設定客戶端驗證,即可將它與接聽程式產生關聯。 您只能設定客戶端驗證、只設定接聽程式特定的 SSL 原則,或在 SSL 配置檔中設定兩者。
使用 2022 預先定義 或自定義 v2 原則,增強整個應用程式閘道的 SSL 安全性和效能(SSL 原則和 SSL 設定檔)。 因此,您無法同時讓不同的監聽器使用舊版和新 SSL 原則。
我們建議使用 TLS 1.2,因為未來會授權此版本。
您不需要在 SSL 設定檔上設定客戶端驗證,即可將它與接聽程式產生關聯。 您只能設定客戶端驗證或接聽程式特定的 SSL 原則,或在 SSL 配置檔中設定兩者。
使用 2022 預先定義 或 Customv2 原則可增強整個閘道的 SSL 安全性和效能(SSL 原則和 SSL 設定檔)。 因此,在舊和新的 SSL(預先定義或自定義)政策上,您不能同時使用不同的監聽器。
範例案例:如果您目前使用SSL原則和SSL配置檔搭配「舊版」原則/密碼,請升級至任何元件的「新」預先定義或自定義 v2 原則,也需要升級其他設定。 您可以使用新的預先定義原則、自定義 v2 原則或組合。
SSL-Policies 若要設定接聽程式特定的 SSL 原則,您必須先移至 Azure 入口網站中的 [ SSL 設定 ] 索引卷標,然後建立新的 SSL 配置檔。 當您建立 SSL 設定檔時,您會看到兩個索引標籤: 客戶端驗證 和 SSL 原則。 [SSL 原則] 索引標籤可用來設定接聽程式特定的 SSL 原則。 [ 客戶端驗證] 索引標籤是您上傳客戶端憑證以進行相互驗證的位置。 如需詳細資訊,請參閱 設定相互驗證。
若要設定接聽程式特定的 SSL 原則,您必須先移至入口網站中的 [ SSL 設定 ] 索引標籤,然後建立新的 SSL 設定檔。 當您建立 SSL 設定檔時,您會看到兩個索引標籤: 客戶端驗證 和 SSL 原則。 [SSL 原則] 索引標籤是設定接聽程式特定的 SSL 原則。 [ 客戶端驗證 ] 索引標籤是上傳客戶端憑證以進行相互驗證的位置 - 如需詳細資訊,請參閱 設定相互驗證。
在入口網站中搜尋 應用程式閘道 ,選取 [應用程式閘道],然後選取現有的應用程式閘道。
從左側功能表中選取 [SSL 設定 ]。
選取頂端 [SSL 配置檔 ] 旁的加號,以建立新的 SSL 配置檔。
在 [SSL 設定檔名稱] 底下輸入名稱。 在此範例中,我們將SSL配置檔 應用程式命名為GatewaySSLProfile。
移至 [SSL 原則] 索引標籤,然後核取 [ 啟用接聽程式特定的 SSL 原則 ] 複選框。
根據您的需求設定您的接聽程式特定 SSL 原則。 您可以選擇預先定義的 SSL 原則和自訂您自己的 SSL 原則。 如需 SSL 原則的詳細資訊,請參閱 SSL 原則概觀。 我們建議使用 TLS 1.2 或更高版本。
備註
此原則是可用的最新版 SSL 原則,建議確保最佳的 SSL 安全性。 如果您的閘道已設定為處理較舊的流量,您可能需要選擇較舊的原則,以確保所有流量都已正確處理。
選取 [新增 ] 以儲存。
將 SSL 設定檔與監聽器產生關聯
現在您已使用聆聽器特定的 SSL 策略建立 SSL 檔案。 您必須將 SSL 配置檔與接聽程式產生關聯,才能啟用接聽程式特定的原則。
導航至現有的應用程式閘道。
從左側功能表中選取 [ 接聽程式 ]。
如果您尚未設定 HTTPS 接聽程式,請選取 [ 新增接聽 程式]。 如果您已經有 HTTPS 接聽程式,請從清單中選取它。
填寫聆聽器名稱、前端IP、端口及其他HTTPS設定,以符合您的需求。
選取 [新增] 以儲存與新接聽程式相關聯的 SSL 配置檔。
檢查 SSL 原則 是否正確,或選取 [變更 ] 選擇另一個 SSL 原則。 可用的選項包括:
- 預設
- 預先定義的
- 習慣
- CustomV2 從下拉式清單中選取您建立的 SSL 配置檔。 在此範例中,我們會選擇在先前步驟中建立的 SSL 配置檔: applicationGatewaySSLProfile。
請選擇第二個索引標籤上的 監聽器 TLS 憑證。
選取 [+ 新增憑證]。
填寫 [憑證名稱]、 [PFX 憑證檔案]、 [類型 ] 和其他 [密碼 ],以符合您的需求。
選取 [新增 ] 以儲存新的接聽程式 TLS 憑證,其中包含與其相關聯的 SSL 配置檔。
根據您的需求,繼續設定其餘的接聽程式。
局限性
SSL 原則
Azure 應用程式閘道目前有關於 SSL 原則的限制:
- 使用相同連接埠的不同接聽程式不能有不同 TLS 通訊協定版本的 SSL 原則 (預先定義或自訂)。
- 為不同的接聽程式設定相同的 TLS 版本適用於為每個接聽程式設定加密套件喜好設定。
- 若要針對不同的接聽程式使用不同的 TLS 通訊協定版本,您必須針對每個接聽程式使用不同的埠。 應用程式閘道目前有一項限制,不同接聽程式使用相同埠時,不能有不同的 SSL 原則(預定義或自定義)以及不同的 TLS 通訊協定版本。 選擇相同的 TLS 版本給不同的監聽器,可以用來配置每個監聽器的密碼套件偏好設定。 不過,若要針對不同的接聽程式使用不同的 TLS 通訊協定版本,您必須針對每個接聽程式使用不同的埠。