Configurar políticas SSL específicas do ouvinte no Gateway de Aplicativo por meio do portal

  • Artigo

Este artigo descreve como usar o portal do Azure para configurar políticas SSL específicas do ouvinte em seu Gateway de Aplicativo. As políticas SSL específicas do ouvinte permitem que você configure ouvintes específicos para usar políticas SSL diferentes entre si. Você ainda poderá definir uma política SSL padrão que todos os ouvintes usarão, a menos que sejam substituídos pela política SSL específica do ouvinte.

Observação

Somente Standard_v2 SKUs WAF_v2 suporte a políticas específicas do ouvinte, pois as políticas específicas do ouvinte fazem parte dos perfis SSL e os perfis SSL só têm suporte em gateways v2.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar um Gateway de Aplicativo

Primeiro, crie um novo Gateway de Aplicativo como faria normalmente por meio do portal - não há etapas adicionais necessárias na criação para configurar políticas SSL específicas do ouvinte. Para obter mais informações sobre como criar um Gateway de Aplicativo no portal, confira o nosso tutorial de início rápido do portal.

Definir política SSL específica do ouvinte

Antes de prosseguir, confira alguns pontos importantes relacionados à política SSL específica ao ouvinte.

  • Recomendamos o uso de TLS 1.2, pois essa versão será obrigatória no futuro.

  • Você não precisa configurar a autenticação de cliente em um perfil SSL para associá-lo a um ouvinte. Você só pode ter uma política de SSL configurada específica à autenticação de cliente ou ao ouvinte, ou ambas configuradas em seu perfil SSL.

  • O uso de uma política predefinida de 2022 ou Customv2 aprimora a segurança e o desempenho de SSL de todo o gateway (Política SSL e Perfil SSL). Portanto, você não pode ter ouvintes diferentes em políticas SSL novas e antigas (predefinidas ou personalizadas).

    Considere este exemplo: no momento, você está usando a Política SSL e o Perfil SSL com políticas/criptografias "mais antigas". Usar uma política "nova" predefinida ou Customv2 para qualquer uma delas também exigirá que você atualize a outra configuração. Você pode usar as novas políticas predefinidas ou a política customv2, ou uma combinação delas no gateway.

Para configurar uma política SSL específica do ouvinte, primeiro você precisará ir para a guia de configurações de SSL no Portal e criar um novo perfil SSL. Ao criar um perfil SSL, você verá duas guias: Autenticação de Cliente e Política SSL. A guia Política SSL é configurar uma política SSL específica do ouvinte. A guia Autenticação do Cliente é onde carregar um(s) certificado(s) de cliente para autenticação mútua – para obter mais informações, confira Configurar uma autenticação mútua.

  1. Pesquise Gateway de Aplicativo no portal, selecione Gateways de apliativoe clique em seu Gateway de Aplicativo existente.

  2. Selecione Configurações de SSL no menu do lado esquerdo.

  3. Clique no sinal de adição próximo a perfis SSL na parte superior para criar um novo perfil SSL.

  4. Insira um nome em nome do perfil SSL. Neste exemplo, chamamos nosso perfil SSL de applicationGatewaySSLProfile.

  5. Vá para a guia política SSL e marque a caixa habilitar política SSL específica do ouvinte.

  6. Configure sua política SSL específica do ouvinte, considerando seus requisitos. Você pode escolher entre políticas de SSL predefinidas e personalizar sua própria política de SSL. Para obter mais informações sobre políticas SSL, visite visão geral da política SSL. É recomendável usar TLS 1.2

  7. Selecione Adicionar para salvar.

    Add listener specific SSL policy to SSL profile

Associar o perfil SSL a um ouvinte

Agora que criamos um perfil SSL com uma política SSL específica do ouvinte, precisamos associar o perfil SSL ao ouvinte para colocar a política específica do ouvinte em ação.

  1. Navegue até o Gateway de Aplicativo. Se você concluiu as etapas acima, não precisará fazer nada aqui.

  2. SelecioneOuvintesdo menu do lado esquerdo.

  3. Clique em Adicionar ouvinte caso você ainda não tenha um ouvinte HTTPS configurado. Se você já tiver um ouvinte HTTPS, clique nele diretamente da lista.

  4. Preencha o nome do ouvinte, IP de front-end, porta, protocoloe outras configurações de HTTPS para atender às suas necessidades.

  5. Marque a caixa de seleção Habilitar perfil SSL para que você possa selecionar o perfil SSL a ser associado ao ouvinte.

  6. Selecione o perfil SSL que você acabou de criar a partir da lista suspensa. Neste exemplo, escolhemos o perfil SSL que criamos nas etapas anteriores: applicationGatewaySSLProfile.

  7. Continue configurando o restante do ouvinte para se ajustar aos seus requisitos.

  8. Clique em Adicionar para salvar o novo ouvinte com o perfil SSL associado a ele.

    Associate SSL profile to new listener

Limitações

Há uma limitação no momento no Gateway de Aplicativo em que diferentes ouvintes que usam a mesma porta não podem ter políticas SSL (predefinidas ou personalizadas) com diferentes versões do protocolo TLS. Escolher a mesma versão de TLS para ouvintes diferentes funcionará para configurar a preferência do pacote de codificação para cada ouvinte. No entanto, para usar diferentes versões de protocolo TLS para ouvintes separados, você precisará usar portas distintas para cada uma.

Próximas etapas

Gerenciar o tráfego da web com um gateway de aplicativo usando a CLI do Azure