Share via

Настройка политик SSL для конкретного прослушивателя на Шлюз приложений через портал

  • Статья

В этой статье объясняется, как использовать портал Azure для настройки политик SSL для конкретного прослушивателя в Шлюзе приложений. Вы можете настраивать определенные прослушиватели для использования разных политик SSL. При этом можно задать политику SSL по умолчанию, которую будут использовать все прослушиватели при отсутствии специальной политики.

Примечание.

Поддержка политик для конкретных прослушивателей есть только в SKU Standard_v2 и WAF_v2, так как эта функция входит в состав профилей SSL, а профили SSL поддерживаются только для шлюзов версии 2.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание Шлюза приложений.

Сначала создайте на портале новый Шлюз приложений обычным образом. Для настройки политик для конкретных прослушивателей не требуется выполнять какие-либо дополнительные действия. Дополнительные сведения о создании Шлюза приложений на портале см. в кратком руководстве по использованию портала.

Настройка политика SSL для конкретного прослушивателя

Прежде чем продолжить, ниже приведены некоторые важные моменты, связанные с политикой SSL для конкретного прослушивателя.

  • Мы рекомендуем использовать TLS 1.2, так как эта версия будет пользоваться в будущем.

  • Настраивать проверку подлинности клиента для профиля SSL, чтобы связать его с прослушивателем, не требуется. Вы можете настроить только проверку подлинности клиента или политику SSL для прослушивателя или оба параметра, настроенные в профиле SSL.

  • Использование предопределенной или настраиваемой политики 2022 повышает безопасность и производительность SSL для всего шлюза (политика SSL и профиль SSL). Таким образом, вы не можете использовать разные прослушиватели как старых, так и новых политик SSL (предопределенных или настраиваемых).

    Рассмотрим этот пример, вы используете политику SSL и профиль SSL со старыми политиками и шифрами. Для использования предопределенной или настраиваемой политики Customv2 для любого из них также потребуется обновить другую конфигурацию. Вы можете использовать новые предопределенные политики или политику customv2 или комбинацию этих политик в шлюзе.

Чтобы настроить политику SSL для конкретного прослушивателя, сначала перейдите на вкладку параметров SSL на портале и создайте новый профиль SSL. При создании профиля SSL вы увидите две вкладки: Проверка подлинности клиента и Политика SSL. Вкладка Политика SSL предназначена для настройки политики SSL для конкретного прослушивателя. На вкладке Проверка подлинности клиента можно отправить сертификаты клиента для взаимной проверки подлинности (дополнительные сведения см. на этой странице).

  1. На портале найдите пункт Шлюз приложений, выберите Шлюзы приложений и щелкните существующий Шлюз приложений.

  2. Выберите параметры SSL в меню слева.

  3. Щелкните значок плюса рядом с пунктом Профили SSL в верхней части, чтобы создать новый профиль SSL.

  4. Введите имя в поле Имя профиля SSL. В этом примере мы вызовем наш профиль SSL applicationGatewaySSLProfile.

  5. Откройте вкладку Политика SSL и установите флажок Включить политику SSL для конкретного прослушивателя.

  6. Настройте политику SSL для конкретного прослушивателя с учетом своих требований. Вы можете выбрать стандартную политику SSL или настроить собственную. Дополнительные сведения о политиках SSL см. в статье Общие сведения о политике SSL. Мы рекомендуем использовать версию TLS 1.2.

  7. Нажмите кнопку Добавить, чтобы сохранить изменения.

    Add listener specific SSL policy to SSL profile

Связывание профиля SSL с прослушивателем

Создав профиль SSL с политикой SSL для конкретного прослушивателя, мы должны связать профиль с прослушивателем, чтобы применить политику.

  1. Перейдите к своему существующему Шлюзу приложений. Если вы только что выполнили описанные выше действия, вам не нужно ничего делать.

  2. В меню слева выберите пункт Прослушиватели.

  3. Щелкните Добавить прослушиватель, если у вас еще нет настроенного прослушивателя HTTPS. Если у вас уже есть прослушиватель HTTPS, щелкните его в списке.

  4. Заполните поля Имя прослушивателя, Интерфейсный IP-адрес, Порт, Протокол и укажите другие настройки в разделе Параметры HTTPS в соответствии с требованиями.

  5. Установите флажок Включить профиль SSL, чтобы можно было выбрать профиль SSL для связывания с прослушивателем.

  6. В раскрывающемся списке выберите профиль SSL, который создали. В этом примере мы выбираем профиль SSL, созданный на основе предыдущих шагов: applicationGatewaySSLProfile.

  7. Продолжите настройку оставшейся части прослушивателя в соответствии с вашими требованиями.

  8. Нажмите кнопку Добавить, чтобы сохранить новый прослушиватель с соответствующим профилем SSL.

    Associate SSL profile to new listener

Ограничения

Сейчас существует ограничение на Шлюз приложений, что разные прослушиватели, использующие один и тот же порт, не могут иметь политики SSL (предопределенные или настраиваемые) с различными версиями протокола TLS. Выбор одной и той же версии TLS для разных прослушивателей будет работать для настройки предпочтений набора шифров для каждого прослушивателя. Однако для использования разных версий протокола TLS для отдельных прослушивателей необходимо использовать отдельные порты для каждого из них.

Следующие шаги

Руководство по управлению веб-трафиком с помощью шлюза приложений и Azure CLI