透過入口網站在應用程式閘道上設定接聽程式特定 SSL 原則
本文說明如何使用 Azure 入口網站,在您的應用程式閘道上設定接聽程式特定 SSL 原則。 接聽程式特定 SSL 原則可讓您設定特定接聽程式,以使用彼此不同的 SSL 原則。 您仍然可以設定所有接聽程式都會使用的預設 SSL 原則,除非接聽程式特定 SSL 原則覆寫該原則。
注意
只有 Standard_v2 和 WAF_v2 SKU 支援接聽程式特定原則,因為接聽程式特定原則是 SSL 設定檔的一部分,而且只有 v2 閘道才支援 SSL 設定檔。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
建立新的應用程式閘道
首先,像您平常透過入口網站一樣,建立新的應用程式閘道 - 建立時不需要額外的步驟來設定接聽程式特定 SSL 原則。 如需如何在入口網站中建立應用程式閘道的詳細資訊,請參閱入口網站快速入門教學課程。
設定接聽程式特定 SSL 原則
在您繼續之前,以下是與接聽程式特定 SSL 原則相關的一些重點。
建議您使用 TLS 1.2,因為未來將會強制執行此版本。
您不需要在 SSL 設定檔上設定用戶端驗證,即可將它與接聽程式產生關聯。 您只能設定用戶端驗證或接聽程式特定 SSL 原則,或在 SSL 設定檔中設定兩者。
使用 2022 預先定義或 Customv2 原則,可增強整個閘道的 SSL 安全性和效能 (SSL 原則和 SSL 設定檔)。 因此,您無法在舊的和新的 SSL (預先定義或自訂) 原則上擁有不同的接聽程式。
請考慮此範例,您目前使用 SSL 原則和 SSL 設定檔搭配「較舊」的原則/加密。 若要針對其中任何一個原則使用「新的」預先定義或 Customv2 原則,您也必須升級其他設定。 您可以使用新的預先定義原則或 customv2 原則,或跨閘道結合這些原則。
若要設定接聽程式特定 SSL 原則,您必須先移至入口網站中的 [SSL 設定] 索引標籤,然後建立新的 SSL 設定檔。 當您建立 SSL 設定檔時,您會看到兩個索引標籤:[用戶端驗證] 和 [SSL 原則]。 [SSL 原則] 索引標籤是用來設定接聽程式特定 SSL 原則。 [用戶端驗證] 索引標籤是上傳用戶端憑證以進行相互驗證的位置 - 如需詳細資訊,請參閱設定相互驗證。
在入口網站中搜尋「應用程式閘道」,選取 [應用程式閘道],然後按一下您現有的應用程式閘道。
從左側功能表中,選取 [SSL 設定]。
按一下頂端 [SSL 設定檔] 旁的加號,以建立新的 SSL 設定檔。
在 [SSL 設定檔名稱] 下輸入名稱。 在此範例中,我們會呼叫 SSL 設定檔 applicationGatewaySSLProfile。
移至 [SSL 原則] 索引標籤,然後核取 [啟用接聽程式特定 SSL 原則] 方塊。
根據您的需求設定接聽程式特定 SSL 原則。 您可以在預先定義的 SSL 原則和自訂您自己的 SSL 原則之間進行選擇。 如需 SSL 原則的詳細資訊,請瀏覽 SSL 原則概觀。 建議您使用 TLS 1.2
選取 [新增] 以儲存。
將 SSL 設定檔與接聽程式建立關聯
既然我們已建立具有接聽程式特定 SSL 原則的 SSL 設定檔,我們必須將 SSL 設定檔與接聽程式產生關聯,讓接聽程式特定原則可以運作。
瀏覽至您現有的應用程式閘道。 如果您剛完成上述步驟,就不需要在這裡執行任何動作。
從左側功能表中選取 [接聽程式]。
如果您尚未設定 HTTPS 接聽程式,請按一下 [新增接聽程式]。 如果您已經有 HTTPS 接聽程式,請從清單中按一下。
填寫接聽程式名稱、前端 IP、連接埠、通訊協定和其他 HTTPS 設定,以符合您的需求。
核取 [啟用 SSL 設定檔] 核取方塊,以便選取要與接聽程式產生關聯的 SSL 設定檔。
從下拉式清單中選取您建立的 SSL 設定檔。 在此範例中,我們會選擇先前步驟中建立的 SSL 設定檔:applicationGatewaySSLProfile。
繼續設定接聽程式的其餘部分,以符合您的需求。
按一下 [新增],以儲存新的接聽程式與其相關聯的 SSL 設定檔。
限制
應用程式閘道目前有一項限制,就是使用相同連接埠的不同接聽程式,不能具備使用不同 TLS 通訊協定版本的 SSL 原則 (預先定義或自訂)。 針對不同的接聽程式選擇相同的 TLS 版本,將適用於為每個接聽程式設定加密套件喜好設定。 不過,若要針對不同的接聽程式使用不同的 TLS 通訊協定版本,您必須針對每個接聽程式使用不同的連接埠。