Panoramica di SSL end-to-end con il gateway applicazioneOverview of end to end SSL with Application Gateway

Il gateway applicazione supporta la terminazione SSL nel gateway, dopo la quale il traffico scorre generalmente non crittografato verso i server back-end.Application gateway supports SSL termination at the gateway, after which traffic typically flows unencrypted to the backend servers. Questa funzionalità consente ai server Web di non gestire il costoso carico di crittografia e decrittografia.This feature allows web servers to be unburdened from costly encryption and decryption overhead. Tuttavia, per alcuni clienti le comunicazioni non crittografate verso i server back-end non rappresentano un'opzione accettabile.However for some customers unencrypted communication to the backend servers is not an acceptable option. Le comunicazioni non crittografate potrebbero essere causate da requisiti di sicurezza o conformità oppure da un'applicazione che può accettare solo una connessione protetta.This unencrypted communication could be due to security requirements, compliance requirements, or the application may only accept a secure connection. Per tali applicazioni, il gateway applicazione supporta ora la crittografia SSL end-to-end.For such applications, application gateway supports end to end SSL encryption.

PanoramicaOverview

La crittografia SSL end-to-end consente di trasmettere in modo sicuro dati sensibili crittografati al back-end, usufruendo comunque dei vantaggi delle funzionalità di bilanciamento del carico di livello 7 offerte dal gateway applicazione.End to end SSL allows you to securely transmit sensitive data to the backend encrypted while still taking advantage of the benefits of Layer 7 load balancing features which application gateway provides. Alcune di queste funzionalità sono l'affinità di sessione basata su cookie, il routing basato su URL, il supporto per il routing basato su siti o la possibilità di inserire intestazioni X-Forwarded-*.Some of these features are cookie-based session affinity, URL-based routing, support for routing based on sites, or ability to inject X-Forwarded-* headers.

Se configurato con la modalità di comunicazione SSL end-to-end, il gateway applicazione termina le sessioni SSL nel gateway ed esegue la decrittografia del traffico utente.When configured with end to end SSL communication mode, application gateway terminates the SSL sessions at the gateway and decrypts user traffic. Applica quindi le regole configurate per selezionare un'istanza del pool di back-end adeguata su cui instradare il traffico.It then applies the configured rules to select an appropriate backend pool instance to route traffic to. Il gateway applicazione avvia a questo punto una nuova connessione SSL al server back-end e crittografa nuovamente i dati usando il certificato di chiave pubblica del server back-end prima di trasmettere la richiesta al back-end.Application gateway then initiates a new SSL connection to the backend server and re-encrypts data using the backend server's public key certificate before transmitting the request to the backend. Per abilitare SSL end-to-end si imposta la configurazione del protocollo in BackendHTTPSetting su HTTPS. Questa impostazione viene quindi applicata a un pool back-end.End to end SSL is enabled by setting protocol setting in BackendHTTPSetting to HTTPS, which is then applied to a backend pool. Per una comunicazione protetta, ogni server back-end nel pool di back-end con SSL end-to-end abilitato deve essere configurato con un certificato.Each backend server in the backend pool with end to end SSL enabled must be configured with a certificate to allow secure communication.

Scenario di SSL end-to-end

In questo esempio, le richieste che usano TLS1.2 vengono instradate ai server back-end in Pool1 con SSL end-to-end.In this example, requests using TLS1.2 are routed to backend servers in Pool1 using end to end SSL.

SSL end-to-end e aggiunta dei certificati all'elenco dei consentitiEnd to end SSL and whitelisting of certificates

Il gateway applicazione comunica solo con istanze back-end note, il cui certificato è incluso nell'elenco dei consentiti del gateway applicazione.Application gateway only communicates with known backend instances that have whitelisted their certificate with the application gateway. Per abilitare l'aggiunta dei certificati all'elenco dei consentiti, è necessario caricare nel gateway applicazione la chiave pubblica dei certificati dei server back-end (non il certificato radice).To enable whitelisting of certificates, you must upload the public key of backend server certificates to the application gateway (not the root certificate). Sono quindi consentite solo le connessioni a back-end noti e inclusi nell'elenco.Only connections to known and whitelisted backends are then allowed. Gli altri back-end generano un errore del gateway.The remaining backends results in a gateway error. I certificati autofirmati vengono usati a scopo di test e non sono consigliati per i carichi di lavoro.Self-signed certificates are for test purposes only and not recommended for production workloads. Prima dell'uso, anche questi certificati devono essere aggiunti all'elenco dei consentiti nel gateway applicazione, come descritto nei passaggi precedenti.Such certificates have to be whitelisted with the application gateway as described in the preceding steps before they can be used.

Passaggi successiviNext steps

Dopo avere appreso i concetti di SSL end-to-end, passare all'articolo che spiega come abilitare SSL end-to-end nel gateway applicazione per creare un gateway applicazione usando SSL end-to-end.After learning about end to end SSL, go to enable end to end SSL on application gateway to create an application gateway using end to end SSL.