ポータルを使用して Application Gateway でリスナー固有の SSL ポリシーを構成する
この記事では、Azure portal を使用して、アプリケーション ゲートウェイにリスナー固有の SSL ポリシーを構成する方法について説明します。 リスナー固有の SSL ポリシーを使用すると、個々のリスナーにそれぞれ異なる SSL ポリシーが使用されるように構成できます。 リスナー固有の SSL ポリシーによって上書きされない限り、すべてのリスナーによって使用される、既定の SSL ポリシーを設定することもできます。
Note
リスナー固有のポリシーは、Standard_v2 と WAF_v2 の SKU のみでサポートされています。リスナー固有のポリシーは SSL プロファイルの一部であり、SSL プロファイルは v2 ゲートウェイのみでサポートされているためです。
Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
新しい Application Gateway の作成
最初に、通常のポータルでの操作と同じようにして、新しいアプリケーション ゲートウェイを作成します。リスナー固有の SSL ポリシーを構成するために、作成時に必要な追加の手順はありません。 ポータルでアプリケーション ゲートウェイを作成する方法の詳細については、ポータルのクイックスタート チュートリアルを参照してください。
リスナー固有の SSL ポリシーを設定する
先に進む前に、ここではリスナー固有の SSL ポリシーに関連するいくつかの重要なポイントを示します。
今後、TLS 1.2 が必須となるため、このバージョンを使うことをお勧めします。
SSL プロファイルをリスナーに関連付けるために、SSL プロファイルでクライアント認証を構成する必要はありません。 クライアント認証またはリスナー固有の SSL ポリシーだけを構成するか、両方を SSL プロファイルで構成することができます。
2022 事前定義済みまたは Customv2 ポリシーを使用すると、ゲートウェイ全体の SSL セキュリティとパフォーマンスが強化されます (SSL ポリシーと SSL プロファイル)。 したがって、旧と新両方の SSL (定義済みまたはカスタム) ポリシーに、異なるリスナーを設定することはできません。
"古い" ポリシーと暗号で SSL ポリシーと SSL プロファイルを現在使用しているという例について考えてみましょう。 そのいずれかに対して "新しい" 定義済みまたは Customv2 ポリシーを使用するには、他の構成のアップグレードも必要になります。 新しい定義済みポリシー、Customv2 ポリシー、またはゲートウェイ全体でこれらを組み合わせて使用できます。
リスナー固有の SSL ポリシーを設定するには、まず、ポータルの [SSL 設定] タブに移動し、新しい SSL プロファイルを作成する必要があります。 SSL プロファイルを作成すると、[クライアント認証] と [SSL ポリシー] の 2 つのタブが表示されます。 [SSL ポリシー] タブでは、リスナー固有の SSL ポリシーを構成します。 [クライアント認証] タブでは、相互認証用のクライアント証明書をアップロードします。詳細については、相互認証の構成に関するページを参照してください。
ポータルで「アプリケーション ゲートウェイ」を検索し、[アプリケーション ゲートウェイ] を選択して、既存のアプリケーション ゲートウェイをクリックします。
左側のメニューで [SSL 設定] を選択します。
上部にある [SSL Profiles]\(SSL プロファイル\) の横にあるプラス記号をクリックして、新しい SSL プロファイルを作成します。
[SSL Profile Name]\(SSL プロファイル名\) に名前を入力します。 この例では、SSL プロファイルに applicationGatewaySSLProfile という名前を付けます。
[SSL ポリシー] タブに移動し、[Enable listener-specific SSL Policy]\(リスナー固有の SSL ポリシーを有効にする\) チェック ボックスをオンにします。
要件に応じて、リスナー固有の SSL ポリシーを設定します。 定義済みの SSL ポリシーの中から選択し、独自の SSL ポリシーにカスタマイズすることもできます。 SSL ポリシーの詳細については、SSL ポリシーの概要に関するページを参照してください。 TLS 1.2 を使用することをお勧めします
[追加] を選択して保存します。
SSL プロファイルをリスナーに関連付ける
これで、リスナー固有の SSL ポリシーがある SSL プロファイルを作成できたので、リスナー固有のポリシーが動作するように、SSL プロファイルをリスナーに関連付ける必要があります。
既存のアプリケーション ゲートウェイに移動します。 上の手順を完了したばかりの場合、ここでは何もする必要がありません。
左側のメニューで [リスナー] を選択します。
まだ HTTPS リスナーを設定していない場合は、[リスナーの追加] をクリックします。 既に HTTPS リスナーがある場合は、一覧でそれをクリックします。
要件に合わせて、[リスナー名]、[フロントエンド IP]、[ポート]、[プロトコル]、およびその他の [HTTPS 設定] を入力します。
リスナーに関連付ける SSL プロファイルを選択できるように、[Enable SSL Profile]\(SSL プロファイルを有効にする\) チェック ボックスをオンにします。
ドロップダウン リストで、作成した SSL プロファイルを選択します。 この例では、前の手順で作成した SSL プロファイル (applicationGatewaySSLProfile) を選択します。
要件に合わせて、リスナーの残りの部分を構成します。
[追加] をクリックして、新しいリスナーと、それに関連付けられている SSL プロファイルを保存します。
制限事項
現在、Application Gateway には、同じポートを使用する異なるリスナーは、TLS プロトコル バージョンが異なる SSL ポリシー (定義済みまたはカスタム) を使用できないという制限があります。 異なるリスナーに対して同じ TLS バージョンを選ぶと、各リスナーの暗号スイート設定を構成することができます。 ただし、個別のリスナーに対して異なる TLS プロトコル バージョンを使うには、それぞれに個別のポートを使う必要があります。