Konfigurowanie zasad protokołu SSL specyficznych dla odbiornika w usłudze Application Gateway za pośrednictwem portalu

  • Artykuł

W tym artykule opisano sposób konfigurowania zasad SSL specyficznych dla odbiornika w usłudze Application Gateway przy użyciu witryny Azure Portal. Zasady protokołu SSL specyficzne dla odbiornika umożliwiają skonfigurowanie określonych odbiorników pod kątem używania różnych zasad PROTOKOŁU SSL od siebie. Nadal będzie można ustawić domyślne zasady PROTOKOŁU SSL, które będą używane przez wszystkie odbiorniki, chyba że zostaną zastąpione przez zasady SSL specyficzne dla odbiornika.

Uwaga

Tylko Standard_v2 i WAF_v2 jednostki SKU obsługują zasady specyficzne dla odbiornika, ponieważ zasady specyficzne dla odbiornika są częścią profilów SSL, a profile SSL są obsługiwane tylko w bramach w wersji 2.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie nowej usługi Application Gateway

Najpierw utwórz nową usługę Application Gateway, tak jak zwykle za pośrednictwem portalu — tworzenie nie wymaga dodatkowych kroków w celu skonfigurowania zasad SSL specyficznych dla odbiornika. Aby uzyskać więcej informacji na temat tworzenia usługi Application Gateway w portalu, zapoznaj się z naszym samouczkiem Szybki start dotyczącym portalu.

Konfigurowanie zasad protokołu SSL specyficznych dla odbiornika

Przed kontynuowaniem poniżej przedstawiono kilka ważnych kwestii związanych z zasadami ssl specyficznymi dla odbiornika.

  • Zalecamy używanie protokołu TLS 1.2, ponieważ ta wersja będzie w przyszłości upoważniona.

  • Nie musisz konfigurować uwierzytelniania klienta w profilu SSL, aby skojarzyć je z odbiornikiem. W profilu SSL można skonfigurować tylko uwierzytelnianie klienta lub zasady protokołu SSL specyficzne dla odbiornika albo obie te zasady.

  • Użycie wstępnie zdefiniowanych zasad 2022 lub Customv2 zwiększa bezpieczeństwo i wydajność protokołu SSL dla całej bramy (zasady SSL i profil SSL). W związku z tym nie można mieć różnych odbiorników zarówno dla starych, jak i nowych zasad protokołu SSL (wstępnie zdefiniowanych lub niestandardowych).

    Rozważmy ten przykład, obecnie używasz zasad SSL i profilu SSL ze starszymi zasadami/szyframi. Aby użyć "nowych" wstępnie zdefiniowanych lub niestandardowych zasad dla dowolnej z nich, konieczne będzie również uaktualnienie innej konfiguracji. Możesz użyć nowych wstępnie zdefiniowanych zasad lub zasad customv2 lub kombinacji tych zasad w bramie.

Aby skonfigurować zasady protokołu SSL specyficzne dla odbiornika, musisz najpierw przejść do karty Ustawienia protokołu SSL w portalu i utworzyć nowy profil SSL. Podczas tworzenia profilu SSL zobaczysz dwie karty: Uwierzytelnianie klienta i zasady SSL. Karta Zasady protokołu SSL służy do konfigurowania zasad SSL specyficznych dla odbiornika. Karta Uwierzytelnianie klienta to miejsce, w którym należy przekazać certyfikaty klienta na potrzeby wzajemnego uwierzytelniania — aby uzyskać więcej informacji, zobacz Konfigurowanie wzajemnego uwierzytelniania.

  1. Wyszukaj usługę Application Gateway w portalu, wybierz pozycję Bramy aplikacji i kliknij istniejącą usługę Application Gateway.

  2. Wybierz pozycję Ustawienia protokołu SSL z menu po lewej stronie.

  3. Kliknij znak plus obok pozycji Profile SSL u góry, aby utworzyć nowy profil SSL.

  4. Wprowadź nazwę w obszarze Nazwa profilu SSL. W tym przykładzie wywołujemy aplikację profilu SSLGatewaySSLProfile.

  5. Przejdź do karty Zasady PROTOKOŁU SSL i zaznacz pole Włącz zasady protokołu SSL specyficzne dla odbiornika.

  6. Skonfiguruj zasady protokołu SSL specyficzne dla odbiornika, biorąc pod uwagę wymagania. Możesz wybrać między wstępnie zdefiniowanymi zasadami protokołu SSL i dostosować własne zasady protokołu SSL. Aby uzyskać więcej informacji na temat zasad protokołu SSL, odwiedź stronę Omówienie zasad PROTOKOŁU SSL. Zalecamy używanie protokołu TLS 1.2

  7. Wybierz pozycję Dodaj , aby zapisać.

    Add listener specific SSL policy to SSL profile

Kojarzenie profilu SSL z odbiornikiem

Teraz, gdy utworzyliśmy profil SSL z zasadami SSL specyficznymi dla odbiornika, musimy skojarzyć profil SSL z odbiornikiem, aby wprowadzić zasady specyficzne dla odbiornika.

  1. Przejdź do istniejącej usługi Application Gateway. Jeśli po prostu wykonano powyższe kroki, nie musisz wykonywać żadnych czynności w tym miejscu.

  2. Wybierz pozycję Odbiorniki z menu po lewej stronie.

  3. Kliknij pozycję Dodaj odbiornik , jeśli nie masz jeszcze skonfigurowanego odbiornika HTTPS. Jeśli masz już odbiornik HTTPS, kliknij go z listy.

  4. Wypełnij pola Nazwa odbiornika, Adres IP frontonu, Port, Protokół i inne Ustawienia HTTPS, aby spełnić wymagania.

  5. Zaznacz pole wyboru Włącz profil SSL, aby wybrać profil SSL, który ma być skojarzony z odbiornikiem.

  6. Wybierz profil SSL utworzony z listy rozwijanej. W tym przykładzie wybieramy profil SSL utworzony na podstawie wcześniejszych kroków: applicationGatewaySSLProfile.

  7. Kontynuuj konfigurowanie pozostałej części odbiornika w celu spełnienia wymagań.

  8. Kliknij przycisk Dodaj , aby zapisać nowy odbiornik z skojarzonym profilem SSL.

    Associate SSL profile to new listener

Ograniczenia

Obecnie w usłudze Application Gateway istnieje ograniczenie, że różne odbiorniki korzystające z tego samego portu nie mogą mieć zasad SSL (wstępnie zdefiniowanych lub niestandardowych) z różnymi wersjami protokołu TLS. Wybranie tej samej wersji protokołu TLS dla różnych odbiorników będzie działać w celu skonfigurowania preferencji pakietu szyfrowania dla każdego odbiornika. Jednak aby używać różnych wersji protokołu TLS dla oddzielnych odbiorników, należy użyć odrębnych portów dla każdego z nich.

Następne kroki

Zarządzanie ruchem internetowym przy użyciu bramy aplikacji za pomocą interfejsu wiersza polecenia platformy Azure