TlS sonlandırma ve 2012 ile 9.000 TLS'ye Application Gateway
Daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS), bir web sunucusu ile tarayıcı arasında şifrelenmiş bağlantı kurmak için standart güvenlik teknolojisidir. Bu bağlantı, web sunucusu ve tarayıcılar arasında geçirilen tüm verilerin özel ve şifreli kalmasını sağlar. Application Gateway, ağ geçidinde hem TLS sonlandırmayı hem de uçta TLS şifrelemeyi destekler.
TLS sonlandırma
Application Gateway ağ geçidinde TLS sonlandırmayı destekler. Bu sonlandırma sonrasında trafik genellikle arka uç sunucularına şifrelenmemiş olarak akar. Uygulama ağ geçidinde TLS sonlandırmanın bir dizi avantajı vardır:
- Geliştirilmiş performans – TLS şifre çözme işlemi sırasında en yüksek performans ilk el sıkışmadır. Performansı artırmak için şifre çözmeyi yapan sunucu TLS oturum kimliklerini önbelleğe alıyor ve TLS oturum biletlerini yönetiyor. Bu uygulama ağ geçidinde yapılırsa, aynı istemciden gelen tüm istekler önbelleğe alınmış değerleri kullanabilir. Arka uç sunucularında yapılıyorsa, istemcinin istekleri farklı bir sunucuya her gitse istemcinin yeniden kimlik doğrulaması gerekir. TLS biletlerinin kullanımı bu sorunu hafifleterek yardımcı olabilir, ancak tüm istemciler tarafından desteklanmaz ve yapılandırılması ve yönetimi zor olabilir.
- Arka uç sunucularının daha iyi kullanımı – SSL/TLS işlemesi çok YOĞUN CPU kullanır ve anahtar boyutları artarak daha yoğun hale gelir. Bu işi arka uç sunucularından kaldırmak, içeriği teslim etmek için en verimli işlerine odaklanmalarına olanak sağlar.
- Akıllı yönlendirme: Uygulama ağ geçidi, trafiğin şifresini çözerek üst bilgiler, URI gibi istek içeriğine erişime sahip olur ve bu verileri kullanarak istekleri yönlendirebilir.
- Sertifika yönetimi – Sertifikaların yalnızca satın alınarak uygulama ağ geçidine yüklenmiş olması gerekir; tüm arka uç sunucuları yüklenmez. Bu, hem zamandan hem de paradan tasarruf sağlar.
TLS sonlandırmayı yapılandırmak için dinleyiciye bir TLS/SSL sertifikası eklenmiştir. Bu, Application Gateway trafiğin şifresini çözmesini ve istemciye gelen yanıt trafiğini şifrelemesini sağlar. Sertifikaya sağlanan sertifika Application Gateway hem özel hem de ortak Exchange (PFX) biçiminde olmalıdır.
Önemli
Dinleyicide sertifika, güven zincirini kurmak için sertifika zincirinin tamamının (CA'dan kök sertifika, aralar ve yaprak sertifika) karşıya yüklemesini gerektirir.
Not
Application Gateway, yeni bir sertifika oluşturma veya sertifika yetkilisine sertifika isteği gönderme yeteneği sağlamaz.
TLS bağlantısının çalışması için TLS/SSL sertifikasının aşağıdaki koşulları karşıla olduğundan emin olun:
- Geçerli tarih ve saat, sertifikada "Geçerlilik başlangıç" ve "Geçerlilik bitişi" tarih aralığı içindedir.
- Sertifikanın "Ortak Ad" (CN) değeri, istekteki ana bilgisayar üst bilgisiyle eşleşiyor. Örneğin istemci isteğinin hedefi
https://www.contoso.com/ise CNwww.contoso.comolmalıdır.
TLS sonlandırma için desteklenen sertifikalar
Application Gateway aşağıdaki sertifika türlerini destekler:
- CA (Sertifika Yetkilisi) sertifikası: CA sertifikası, bir sertifika yetkilisi (CA) tarafından verilen dijital bir sertifikadır
- EV (Genişletilmiş Doğrulama) sertifikası: EV sertifikası, endüstri standardı sertifika yönergelerine uygun bir sertifikadır. Bu, tarayıcı bulucu çubuğunu yeşile çevirir ve şirket adını da yayımlar.
- Joker Sertifika: Bu sertifika, *.site.com tabanlı herhangi bir sayıda alt etki alanı destekler. Burada alt etki alanınız * yerine geçmektedir. Bununla birlikte, bu site.com desteklemez, bu nedenle kullanıcıların önde gelen "www" yazmadan web sitenize erişmesi durumunda joker karakter sertifikası bunu desteklemez.
- Self-Signed sertifikalar: İstemci tarayıcıları bu sertifikalara güvenmez ve sanal hizmet sertifikasının bir güven zincirinin parçası olmadığını kullanıcıya uyarı verir. Otomatik olarak imzalanan sertifikalar, yöneticilerin istemcileri kontrol altına alan ve tarayıcının güvenlik uyarılarını güvenle atlayan test veya ortamlar için uygundur. Üretim iş yükleri hiçbir zaman otomatik olarak imzalanan sertifikalar kullanmaz.
Daha fazla bilgi için bkz. Application Gateway ile TLS sonlandırmayı yapılandırma.
Sertifikanın boyutu
Desteklenen en Application Gateway TLS/SSL sertifika boyutunu bilmek için güvenlik sınırları bölümünü kontrol edin.
End-to- end TLS şifrelemesi
Arka uç sunucularına şifrelenmemiş iletişim yapmak istemeyebilirsiniz. Güvenlik gereksinimleri, uyumluluk gereksinimleri veya uygulama yalnızca güvenli bir bağlantı kabul eder. Azure Application Gateway gereksinimleri desteklemek için 4.00.000 TLS şifrelemesi vardır.
4.00.000 TLS, hassas verileri şifrelemenizi ve arka 7. Katman yük dengeleme özelliklerini Application Gateway güvenli bir şekilde iletmenizi sağlar. Bu özellikler tanımlama bilgisi tabanlı oturum benzeşmi, URL tabanlı yönlendirme, sitelere dayalı yönlendirme desteği, X-Forwarded-* üst bilgilerini yeniden yazma veya ekleme gibi özellikleri içerir.
4.00.000 TLS iletişim moduyla yapılandırıldığında, Application Gateway ağ geçidinde TLS oturumlarını sonlandırılır ve kullanıcı trafiğinin şifresini çözebilir. Ardından trafiğin yönlendirileceği uygun arka uç havuzunu seçmek için yapılandırılan kuralları uygular. Application Gateway arka uç sunucusuna yeni bir TLS bağlantısı başlatıyor ve isteği arka end'e iletmeden önce arka uç sunucusunun ortak anahtar sertifikasını kullanarak verileri yeniden şifreler. Web sunucusundan alınan herhangi bir yanıt, son kullanıcıya dönerken aynı süreci izler. Arka Uç HTTP Ayarı'nın protokol ayarı HTTPS olarak ayarlanacak ve ardından bir arka uç havuzuna uygulanacak şekilde uç TLS etkinleştirilmiştir.
Application Gateway ve WAF v1 SKU'su için TLS ilkesi hem ön uç hem de arka uç trafiği için geçerlidir. Ön uçta Application Gateway sunucu olarak davranır ve ilkeyi zorlar. Arka uçta, Application Gateway olarak davranır ve protokol/şifre bilgilerini TLS el sıkışması sırasında tercih olarak gönderir.
Application Gateway ve WAF v2 SKU'su için TLS ilkesi yalnızca ön uç trafiği için geçerlidir ve el sıkışma sırasında belirli şifrelemeleri ve TLS sürümünü seçme denetimine sahip olan arka uç sunucusuna tüm şifrelemeler sunulur.
Application Gateway yalnızca sertifikalarını Application Gateway ile listelenen veya sertifikaları iyi bilinen CA yetkilileri tarafından imzalanmış olan ve sertifikanın CN'si HTTP arka uç ayarlarında ana bilgisayar adıyla eşleşen arka uç sunucularıyla iletişim kurar. Bunlar, Azure App Service/Web Apps ve Azure API Management.
Arka uç havuzunda üyelerin sertifikaları iyi bilinen CA yetkilileri tarafından imzalanmazsa, arka uç havuzunda end-end TLS etkinleştirilmiş her örnek güvenli iletişime izin vermek için bir sertifika ile yapılandırılacaktır. Sertifikayı eklemek, uygulama ağ geçidinin yalnızca bilinen arka uç örnekleriyle iletişim kurmasını sağlar. Bu da ileriye doğru iletişimin güvenliğini sağlar.
Not
Arka uç sunucularının kimliğini doğrulamak için Arka Uç HTTP Ayarına eklenen sertifika, uygulama ağ geçidinde TLS sonlandırması için dinleyiciye eklenen sertifikayla aynı veya gelişmiş güvenlik için farklı olabilir.
Bu örnekte TLS1.2 kullanan istekler, 1.00.000 TLS kullanılarak Pool1'de arka uç sunucularına yönlendirildi.
End to end TLS and allow listing of certificates
Application Gateway, yalnızca sertifikalarını uygulama ağ geçidiyle listelenen izinlere sahip bilinen arka uç örnekleriyle iletişim kurar. 4.00.000.000 TLS kurulum sürecinde kullanılan tls sürümüyle Application Gateway vardır. Aşağıdaki bölümde bunları ayrı ayrı açık bulabilirsiniz.
v1 SKU'su ile 4.000 TLS
Arka uç sunucularla uç TLS'yi etkinleştirmek ve isteklerin onlara Application Gateway için durum yoklamalarının başarılı olması ve iyi yanıt geri dönmesi gerekir.
HTTPS durum yoklamaları için Application Gateway v1 SKU'su, HTTP ayarlarına yüklenmek için kimlik doğrulama sertifikasının (arka uç sunucu sertifikasının ortak anahtarı değil, kök sertifikanın ortak anahtarı) tam eşleşmesi kullanır.
Yalnızca bilinen ve izin verilen arka uçlara bağlantılara izin verilir. Kalan arka uçlar, durum yoklamaları tarafından iyi değil olarak kabul edilir. Otomatik olarak imzalanan sertifikalar, yalnızca test amaçlarına yöneliktir ve üretim iş yükleri için önerilmez. Bu tür sertifikaların kullanılamadan önce önceki adımlarda açıklandığı gibi uygulama ağ geçidi ile listelenmiş olmasına izin ver gerekir.
Not
Kimlik doğrulaması ve güvenilen kök sertifika kurulumu, sanal makine gibi güvenilir Azure hizmetleri Azure App Service. Bunlar varsayılan olarak güvenilir olarak kabul edilir.
v2 SKU'su ile 4.00.000 TLS
Kimlik Doğrulama Sertifikaları kullanım dışı bırakıldı ve v2 SKU'su için Application Gateway Kök Sertifikalar ile değiştirildi. Kimlik Doğrulama Sertifikalarını birkaç önemli farkla benzer şekilde işlev gösterirler:
CN'si HTTP arka uç ayarlarında ana bilgisayar adıyla eşleşen iyi bilinen CA yetkilileri tarafından imzalanan sertifikalar, end- end TLS'nin çalışması için ek bir adım gerektirmez.
Örneğin, arka uç sertifikaları iyi bilinen bir CA tarafından verildiyseniz ve contoso.com CN'si varsa ve arka uç http ayarının ana bilgisayar alanı da contoso.com olarak ayarlanmışsa ek adım gerekmez. Arka uç http ayar protokolünü HTTPS olarak ayarlarsanız hem durum araştırması hem de veri yolu TLS etkin olur. Arka uç olarak Azure App Service Azure web hizmetlerini kullanıyorsanız, bunlar da örtülü olarak güvenilirdir ve ileriye doğru TLS için başka adım gerekmez.
Not
TlS/SSL sertifikasının güvenilir olması için bu arka uç sunucusu sertifikasının iyi bilinen bir CA tarafından verildi olması gerekir. Sertifika güvenilir bir CA tarafından vermemişse, uygulama ağ geçidi sertifikayı yayınlayan CA'nın güvenilir bir CA tarafından verilip vermediğini kontrol edecek ve güvenilir bir CA bulunana kadar (bu noktada güvenilir, güvenli bir bağlantı kurulacak) veya güvenilir bir CA bulunamıyor (bu noktada uygulama ağ geçidi arka ucu iyi olmayan şekilde işaretlemektedir). Bu nedenle, arka uç sunucu sertifikasının hem kök hem de ara CA'ları içermesi önerilir.
Arka uç sunucu sertifikası otomatik olarak imzalanan veya bilinmeyen CA/aracılar tarafından imzalanmışsa, Application Gateway v2'de sona TLS'yi etkinleştirmek için güvenilen bir kök sertifikanın karşıya yüklenmeleri gerekir. Application Gateway, yalnızca sunucu sertifikasının kök sertifikası havuzla ilişkili arka uç http ayarında güvenilen kök sertifikalar listesinden biri ile eşleşen arka uçlarla iletişim kurar.
Application Gateway v2, kök sertifika eşleşmeye ek olarak, arka uç http ayarında belirtilen Konak ayarının, arka uç sunucusunun TLS/SSL sertifikası tarafından sunulan ortak adla (CN) eşle eş olup olamayacaklarını da doğrular. Application Gateway v2, arka uçla TLS bağlantısı kurmaya çalışırken Sunucu Adı Belirtme (SNI) uzantısını arka uç http ayarında belirtilen Ana Bilgisayar olarak ayarlar.
Arka uç http ayarındaki Konak alanı yerine arka uç hedeften ana bilgisayar adı seçin seçilirse, SNI üst bilgisi her zaman arka uç havuzu FQDN'sini ve arka uç sunucusu TLS/SSL sertifikasındaki CN'nin FQDN'si ile eşleşmesi gerekir. Bu senaryoda, IP'leri olan arka uç havuzu üyeleri desteklenmiyor.
Kök sertifika, arka uç sunucu sertifikalarından base64 ile kodlanmış bir kök sertifikadır.
v1 ve v2 SKU'larında SNI farklılıkları
Daha önce de belirtildiği gibi Application Gateway, Application Gateway Dinleyicisi'nde istemciden GELEN TLS trafiğini sonlandırılır (ön uç bağlantısı diyelim), trafiğin şifresini çözecek, isteğin iletildiği arka uç sunucusunu belirlemek için gerekli kuralları uygular ve arka uç sunucusuyla yeni bir TLS oturumu oluşturur (arka uç bağlantısını çağırarak).
Aşağıdaki tablolar, ön uç ve arka uç bağlantıları açısından v1 ve v2 SKU'su arasındaki SNI farklarını özetler.
Ön uç TLS bağlantısı (istemciden uygulama ağ geçidine)
| Senaryo | v1 | v2 |
|---|---|---|
| İstemci SNı üstbilgisini belirtiyorsa ve tüm çoklu site dinleyicileri "SNı gerektir" bayrağıyla etkinleştirilirse | Uygun sertifikayı döndürür ve site yoksa (server_name göre), bağlantı sıfırlanır. | Varsa uygun sertifikayı döndürür, aksi takdirde, HTTPS dinleyicilerine ilişkin istek yönlendirme kuralları tarafından belirtilen sıraya göre ilk HTTPS dinleyicisinin sertifikasını döndürür |
| İstemci bir SNı üstbilgisi belirtmezse ve tüm çoklu site başlıkları "SNı gerektir" ile etkinleştirildiyse | Bağlantıyı sıfırlar | HTTPS dinleyicilerine ilişkin istek yönlendirme kuralları tarafından belirtilen sıraya göre ilk HTTPS dinleyicisinin sertifikasını döndürür |
| İstemci SNı üstbilgisini belirtmezse ve bir sertifikayla yapılandırılmış temel bir dinleyici varsa | İstemciye temel dinleyicide yapılandırılan sertifikayı döndürür (varsayılan veya geri dönüş sertifikası) | Temel dinleyicide yapılandırılan sertifikayı döndürür |
Arka uç TLS bağlantısı (arka uç sunucusuna uygulama ağ geçidi)
Araştırma trafiği için
| Senaryo | v1 | v2 |
|---|---|---|
| SNı (server_name) TLS anlaşması sırasında FQDN olarak üst bilgi | Arka uç havuzundan FQDN olarak ayarlayın. RFC 6066' ye kadar, SNI ana bilgisayar adı 'Nda değişmez IPv4 ve IPv6 adreslerine izin verilmez. Note: Arka uç havuzundaki FQDN DNS, arka uç sunucusunun IP adresine (genel veya özel) çözümlenmelidir |
SNı üstbilgisi (server_name), HTTP ayarlarına eklenen özel araştırmanın ana bilgisayar adı olarak ayarlanır (yapılandırıldıysa), aksi takdirde, arka uç havuzunda belirtilen FQDN 'den Aksi halde HTTP ayarlarında belirtilen ana bilgisayar adı. Öncelik sırası, HTTP ayarları > arka uç havuzu > özel araştırmanız. Note: HTTP ayarlarında yapılandırılan ana bilgisayar adları ve özel yoklama farklıysa, önceliğe göre SNı, özel araştırmadaki ana bilgisayar adı olarak ayarlanır. |
| Arka uç havuzu adresi bir IP adresi (v1) ise veya özel araştırma ana bilgisayar adı IP adresi (v2) olarak yapılandırılmışsa | SNı (server_name) ayarlanmayacak. Note: Bu durumda, arka uç sunucusu varsayılan bir/geri dönüş sertifikası döndürebilmelidir ve bu, kimlik doğrulama sertifikası altındaki HTTP ayarları 'nda listelenmiş olmalıdır. Arka uç sunucusunda yapılandırılmış bir varsayılan/geri dönüş sertifikası yoksa ve SNı bekleniyorsa, sunucu bağlantıyı sıfırlayabilir ve araştırma hatalarına neden olur |
Daha önce bahsedilen öncelik sırasına göre IP adresi ana bilgisayar adı ise, SNı, RFC 6066' e göre ayarlanmayacaktır. Note: Özel bir araştırma yapılandırılmamışsa ve HTTP ayarları veya arka uç havuzunda ana bilgisayar adı ayarlanmamışsa SNı v2 araştırmasına de ayarlanmayacaktır |
Not
Özel bir araştırma yapılandırılmamışsa, Application Gateway bu biçimde varsayılan bir araştırma gönderir- <protocol> ://127.0.0.1: <port> /. Örneğin, varsayılan bir HTTPS araştırması için, olarak gönderilir https://127.0.0.1:443/ . Burada bahsedilen 127.0.0.1 yalnızca HTTP ana bilgisayar üst bilgisi olarak kullanıldığını ve RFC 6066 ' e göre, SNı üstbilgisi olarak kullanılmayacağını unutmayın. Durum araştırma hataları hakkında daha fazla bilgi için arka uç sistem durumu sorun giderme kılavuzunudenetleyin.
Canlı trafik için
| Senaryo | v1 | v2 |
|---|---|---|
| SNı (server_name) TLS anlaşması sırasında FQDN olarak üst bilgi | Arka uç havuzundan FQDN olarak ayarlayın. RFC 6066' ye kadar, SNI ana bilgisayar adı 'Nda değişmez IPv4 ve IPv6 adreslerine izin verilmez. Note: Arka uç havuzundaki FQDN DNS, arka uç sunucusunun IP adresine (genel veya özel) çözümlenmelidir |
SNı üstbilgisi (server_name), HTTP ayarlarından ana bilgisayar adı olarak ayarlanır, aksi halde Pickhostnamefrombackendadddress seçeneği seçilirse veya hiçbir ana bilgisayar adı belirtilmemişse, arka uç havuzu yapılandırmasında FQDN olarak ayarlanır. |
| Arka uç havuzu adresi bir IP adresi veya ana bilgisayar adı HTTP ayarları 'nda ayarlanmamışsa | Arka uç havuz girişi bir FQDN değilse, SNı, RFC 6066 ' a göre ayarlanmayacaktır | SNı, istemciden giriş FQDN 'sinden ana bilgisayar adı olarak ayarlanacak ve arka uç sertifikasının bu ana bilgisayar adıyla eşleşmesi gerekir. |
| ana bilgisayar adı HTTP Ayarlar sağlanmadı, ancak bir arka uç havuzu üyesinin hedefi olarak bir FQDN belirtildi | SNı, istemciden giriş FQDN 'sinden ana bilgisayar adı olarak ayarlanacak ve arka uç sertifikasının bu ana bilgisayar adıyla eşleşmesi gerekir. | SNı, istemciden giriş FQDN 'sinden ana bilgisayar adı olarak ayarlanacak ve arka uç sertifikasının bu ana bilgisayar adıyla eşleşmesi gerekir. |
Sonraki adımlar
Uçtan uca TLS hakkında bilgi aldıktan sonra uçtan uca TLS kullanarak bir uygulama ağ geçidi oluşturmak için PowerShell ile Application Gateway kullanarak uçtan uca TLS 'Yi yapılandırma bölümüne gidin.