Поделиться через

Настройка политик SSL для конкретного прослушивателя на шлюзе приложений с помощью портала

  • Статья

В этой статье описывается, как использовать портал Azure для настройки политик SSL для конкретного прослушивателя в шлюзе приложений. Политики SSL, относящиеся к прослушивателю, позволяют настроить определенные прослушиватели для использования разных политик SSL друг от друга. Вы по-прежнему сможете задать политику SSL по умолчанию, которую будут использовать все прослушиватели, если она не будет переопределена политикой SSL для конкретного прослушивателя.

Примечание.

Только SKU Standard_v2 и WAF_v2 поддерживают специфические для прослушивателя политики, так как такие политики являются частью профилей SSL, а профили SSL поддерживаются только в шлюзах версии 2.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание шлюза приложений

Сначала создайте новый шлюз приложений (Application Gateway), как обычно через портал — дополнительных шагов для настройки политик SSL, специфичных для прослушивателя, при создании не требуется. Дополнительные сведения о создании шлюза приложений на портале см. в кратком руководстве по работе с порталом.

Настройка политики SSL для конкретного прослушивателя

Прежде чем продолжить, ниже приведены некоторые важные моменты, связанные с политикой SSL для конкретного прослушивателя.

  • Мы рекомендуем использовать TLS 1.2, так как эта версия будет обязательной в будущем.

  • Вам не нужно настраивать проверку подлинности клиента в профиле SSL, чтобы связать его с прослушивателем. Вы можете настроить только проверку подлинности клиента или политику SSL для прослушивателя или оба параметра, настроенные в профиле SSL.

  • Использование предопределенной или настраиваемой политики 2022 повышает безопасность и производительность SSL для всего шлюза (политика SSL и профиль SSL). Таким образом, вы не можете использовать разные прослушиватели на старых и новых политиках SSL, будь то предопределенные или настраиваемые.

    Рассмотрим этот пример, вы используете политику SSL и профиль SSL со старыми политиками и шифрами. Для использования предварительно заданной политики или политики Customv2 для любого из них потребуется также обновить соответствующую другую конфигурацию. Вы можете использовать новые предопределенные политики или политику customv2 или комбинацию этих политик в шлюзе.

Чтобы настроить политику SSL для конкретного прослушивателя, сначала перейдите на вкладку параметров SSL на портале и создайте новый профиль SSL. При создании профиля SSL вы увидите две вкладки: проверка подлинности клиента и политика SSL. Вкладка "Политика SSL " — настройка политики SSL для конкретного прослушивателя. Вкладка "Проверка подлинности клиента " — это место для отправки сертификатов клиента для взаимной проверки подлинности. Дополнительные сведения см. в описании настройки взаимной проверки подлинности.

  1. Найдите шлюз приложений на портале, выберите шлюзы приложений и щелкните существующий шлюз приложений.

  2. Выберите параметры SSL в меню слева.

  3. Щелкните знак плюса рядом с профилями SSL в верхней части, чтобы создать новый профиль SSL.

  4. Введите имя в поле "Имя профиля SSL". В этом примере мы называем наш SSL-профиль applicationGatewaySSLProfile.

  5. Перейдите на вкладку "Политика SSL" и установите флажок "Включить политику SSL для конкретного прослушивателя ".

  6. Настройте политику SSL для конкретного прослушивателя с учетом ваших требований. Вы можете выбрать между предопределенными политиками SSL и настройкой собственной политики SSL. Дополнительные сведения о политиках SSL см. в обзоре политики SSL. Рекомендуется использовать TLS 1.2

  7. Нажмите кнопку "Добавить " для сохранения.

    Добавить специфичную для прослушивателя SSL политику в профиль SSL

Сопряжение профиля SSL с прослушивателем

Теперь, когда мы создали профиль SSL с политикой SSL для конкретного прослушивателя, необходимо связать профиль SSL с прослушивателем, чтобы поместить политику для конкретного прослушивателя в действие.

  1. Перейдите к существующему шлюзу приложений. Если вы только что выполнили описанные выше действия, вам не нужно ничего делать здесь.

  2. Выберите прослушиватели в меню слева.

  3. Нажмите кнопку "Добавить прослушиватель" , если у вас еще нет прослушивателя HTTPS. Если у вас уже есть прослушиватель HTTPS, щелкните его в списке.

  4. Заполните имя прослушивателя, внешний IP-адрес, порт, протокол и другие параметры HTTPS в соответствии с вашими требованиями.

  5. Установите флажок "Включить профиль SSL" , чтобы выбрать профиль SSL для связи с прослушивателем.

  6. Выберите профиль SSL, созданный в раскрывающемся списке. В этом примере мы выбираем профиль SSL, созданный на предыдущих шагах: applicationGatewaySSLProfile.

  7. Продолжайте настройку оставшейся части прослушивателя в соответствии с вашими требованиями.

  8. Нажмите кнопку "Добавить ", чтобы сохранить новый прослушиватель с соответствующим профилем SSL.

    Связывание профиля SSL с новым прослушивателем

Ограничения

Сейчас в шлюзе приложений существует ограничение, согласно которому разные прослушиватели, использующие один и тот же порт, не могут применять политики SSL (предопределенные или настраиваемые) с разными версиями протокола TLS. Выбор одной и той же версии TLS для разных прослушивателей будет работать для настройки предпочтений набора шифров для каждого прослушивателя. Однако для использования разных версий протокола TLS для отдельных прослушивателей необходимо использовать отдельные порты для каждого из них.

Дальнейшие действия

Управление веб-трафиком с помощью шлюза приложений с помощью Azure CLI