Configurar políticas SSL específicas do ouvinte no Application Gateway por meio do portal

  • Artigo

Este artigo descreve como usar o portal do Azure para configurar políticas SSL específicas do ouvinte em seu Gateway de Aplicativo. As políticas SSL específicas do ouvinte permitem configurar ouvintes específicos para usar políticas SSL diferentes umas das outras. Você ainda poderá definir uma política SSL padrão que todos os ouvintes usarão, a menos que seja substituída pela política SSL específica do ouvinte.

Nota

Somente SKUs Standard_v2 e WAF_v2 suportam políticas específicas do ouvinte, pois as políticas específicas do ouvinte fazem parte dos perfis SSL e os perfis SSL só são suportados em gateways v2.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um novo gateway de aplicativo

Primeiro, crie um novo Application Gateway como faria normalmente através do portal - não há etapas adicionais necessárias na criação para configurar políticas SSL específicas do ouvinte. Para obter mais informações sobre como criar um Application Gateway no portal, confira nosso tutorial de início rápido do portal.

Configurar uma política SSL específica do ouvinte

Antes de prosseguir, aqui estão alguns pontos importantes relacionados à política SSL específica do ouvinte.

  • Recomendamos o uso do TLS 1.2, pois esta versão será obrigatória no futuro.

  • Não é necessário configurar a autenticação do cliente em um perfil SSL para associá-lo a um ouvinte. Você pode ter apenas a autenticação do cliente ou a política SSL específica do ouvinte configurada, ou ambas configuradas no seu perfil SSL.

  • O uso de uma política Predefinida ou Customv2 de 2022 melhora a segurança e o desempenho SSL para todo o gateway (Política SSL e Perfil SSL). Portanto, você não pode ter ouvintes diferentes em políticas SSL antigas e novas (predefinidas ou personalizadas).

    Considere este exemplo, você está usando atualmente a Política SSL e o Perfil SSL com políticas/cifras "mais antigas". Para usar uma "nova" política Predefinida ou Customv2 para qualquer um deles também será necessário atualizar a outra configuração. Você pode usar as novas políticas predefinidas, ou a política customv2, ou a combinação delas no gateway.

Para configurar uma política SSL específica do ouvinte, você precisará primeiro ir para a guia Configurações de SSL no Portal e criar um novo perfil SSL. Ao criar um perfil SSL, você verá duas guias: Autenticação do Cliente e Política SSL. A guia Política de SSL é para configurar uma política SSL específica do ouvinte. A guia Autenticação de Cliente é onde carregar um certificado de cliente para autenticação mútua - para obter mais informações, confira Configurando uma autenticação mútua.

  1. Procure por Application Gateway no portal, selecione Application gateways e clique em seu Application Gateway existente.

  2. Selecione Configurações de SSL no menu do lado esquerdo.

  3. Clique no sinal de mais ao lado de Perfis SSL na parte superior para criar um novo perfil SSL.

  4. Insira um nome em Nome do perfil SSL. Neste exemplo, chamamos nosso aplicativo de perfil SSLGatewaySSLProfile.

  5. Vá para a guia Política SSL e marque a caixa Habilitar Política SSL específica do ouvinte.

  6. Configure sua política SSL específica para ouvintes de acordo com suas necessidades. Você pode escolher entre políticas SSL predefinidas e personalizar sua própria política SSL. Para obter mais informações sobre políticas SSL, visite Visão geral da política SSL. Recomendamos o uso do TLS 1.2

  7. Selecione Adicionar para salvar.

    Add listener specific SSL policy to SSL profile

Associar o perfil SSL a um ouvinte

Agora que criamos um perfil SSL com uma política SSL específica do ouvinte, precisamos associar o perfil SSL ao ouvinte para colocar a política específica do ouvinte em ação.

  1. Navegue até o Application Gateway existente. Se você acabou de concluir as etapas acima, não precisa fazer nada aqui.

  2. Selecione Ouvintes no menu do lado esquerdo.

  3. Clique em Adicionar ouvinte se ainda não tiver um ouvinte HTTPS configurado. Se você já tem um ouvinte HTTPS, clique nele na lista.

  4. Preencha o nome do ouvinte, o IP do Frontend, a Porta, o Protocolo e outras configurações HTTPS para atender às suas necessidades.

  5. Marque a caixa de seleção Habilitar perfil SSL para que você possa selecionar qual perfil SSL associar ao ouvinte.

  6. Selecione o perfil SSL que você criou na lista suspensa. Neste exemplo, escolhemos o perfil SSL que criamos a partir das etapas anteriores: applicationGatewaySSLProfile.

  7. Continue configurando o restante do ouvinte para atender às suas necessidades.

  8. Clique em Adicionar para salvar seu novo ouvinte com o perfil SSL associado a ele.

    Associate SSL profile to new listener

Limitações

Há uma limitação no momento no Application Gateway de que ouvintes diferentes usando a mesma porta não podem ter políticas SSL (predefinidas ou personalizadas) com diferentes versões do protocolo TLS. Escolher a mesma versão TLS para ouvintes diferentes funcionará para configurar a preferência do conjunto de codificação para cada ouvinte. No entanto, para usar diferentes versões do protocolo TLS para ouvintes separados, você precisará usar portas distintas para cada um.

Próximos passos

Gerir o tráfego da Web com um gateway de aplicação com a CLI do Azure