Share via

Listenerspecifiek SSL-beleid configureren in Application Gateway via de portal

In dit artikel wordt beschreven hoe u Azure Portal gebruikt om listenerspecifiek SSL-beleid te configureren in uw Azure Application Gateway. Met een listenerspecifiek SSL-beleid kunt u specifieke listeners configureren voor het gebruik van verschillende SSL-beleidsregels van elkaar. U kunt nog steeds een standaard-SSL-beleid instellen dat alle listeners gebruiken, tenzij ze worden overschreven door het specifieke SSL-beleid van de listener. In dit artikel wordt beschreven hoe u Azure Portal gebruikt om listenerspecifiek SSL-beleid te configureren op uw Application Gateway. Met een listenerspecifiek SSL-beleid kunt u specifieke listeners configureren voor het gebruik van verschillende SSL-beleidsregels van elkaar. U kunt nog steeds een standaard-SSL-beleid instellen dat alle listeners gebruiken, tenzij ze worden overschreven door het specifieke SSL-beleid van de listener.

Belangrijk

Vanaf 31 augustus 2025 moeten alle clients en back-endservers die communiceren met Azure-toepassing Gateway TLS (Transport Layer Security) 1.2 of hoger gebruiken, omdat ondersteuning voor TLS 1.0 en 1.1 wordt stopgezet.

Opmerking

Alleen Standard_v2- en WAF_v2-SKU's ondersteunen listenerspecifieke beleidsregels. Listenerspecifieke beleidsregels maken deel uit van SSL-profielen en SSL-profielen worden alleen ondersteund op v2 Application Gateways.

Vereiste voorwaarden

Voordat u begint, moet u ervoor zorgen dat u het volgende hebt:

  • Een Azure-abonnement. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
  • Een bestaande Azure Application Gateway (Standard_v2 of WAF_v2 SKU)
  • Juiste machtigingen voor het wijzigen van Application Gateway-configuraties

Een nieuwe Toepassingsgateway maken

Maak eerst een nieuwe Application Gateway zoals u normaal gesproken via de portal zou doen. Er zijn geen stappen meer nodig tijdens het maken om listenerspecifiek SSL-beleid te configureren. Zie de snelle startgids voor de portal voor meer informatie over het maken van een Toepassingsgateway in de portal.

Maak eerst een nieuwe Toepassingsgateway, zoals u meestal zou doen via de portal. Er zijn geen extra stappen nodig bij het maken om listenerspecifiek SSL-beleid te configureren. Voor meer informatie over het maken van een Application Gateway in de portal, bekijkt u onze snelstartgids voor de portal.

Een listenerspecifiek SSL-beleid instellen

Voordat u verdergaat, zijn hier enkele belangrijke overwegingen voor listenerspecifiek SSL-beleid:

SSL-Policies

  • We raden u aan TLS 1.2 of hoger te gebruiken

  • U hoeft clientverificatie niet te configureren voor een SSL-profiel om dit te koppelen aan een listener. U kunt alleen clientverificatie, alleen listenerspecifiek SSL-beleid of beide configureren in uw SSL-profiel.

  • Gebruik een vooraf gedefinieerd of aangepast v2-beleid voor 2022 , verbetert ssl-beveiliging en -prestaties voor het hele Application Gateway-profiel (SSL-beleid en SSL-profiel). Daarom kunt u geen verschillende listeners tegelijk gebruiken met zowel verouderde als nieuwe SSL-beleidsregels.

  • We raden u aan TLS 1.2 te gebruiken, omdat deze versie in de toekomst wordt verplicht.

  • U hoeft clientverificatie niet te configureren voor een SSL-profiel om dit te koppelen aan een listener. U kunt alleen clientverificatie of listenerspecifiek SSL-beleid configureren, of beide geconfigureerd in uw SSL-profiel.

  • Het gebruik van een vooraf gedefinieerd 2022 - of Customv2-beleid verbetert ssl-beveiliging en -prestaties voor de gehele gateway (SSL-beleid en SSL-profiel). Daarom kunt u geen verschillende listeners hebben voor zowel oude als nieuwe SSL-beleidsregels (vooraf gedefinieerd of aangepast).

    Voorbeeldscenario: Als u momenteel SSL-beleid en SSL-profiel met 'verouderd' beleid/coderingen gebruikt, moet u ook upgraden naar een 'nieuw' vooraf gedefinieerd of aangepast v2-beleid voor elk onderdeel. U kunt het nieuwe vooraf gedefinieerde beleid, aangepaste v2-beleid of een combinatie gebruiken.

SSL-Policies Als u een listenerspecifiek SSL-beleid wilt instellen, gaat u eerst naar het tabblad SSL-instellingen in Azure Portal en maakt u een nieuw SSL-profiel. Wanneer u een SSL-profiel maakt, ziet u twee tabbladen: Clientverificatie en SSL-beleid. Het tabblad SSL-beleid wordt gebruikt om een listenerspecifiek SSL-beleid te configureren. Op het tabblad Clientverificatie uploadt u clientcertificaten voor wederzijdse verificatie. Zie Wederzijdse verificatie configureren voor meer informatie.

Als u een listenerspecifiek SSL-beleid wilt instellen, gaat u eerst naar het tabblad SSL-instellingen in de portal en maakt u een nieuw SSL-profiel. Wanneer u een SSL-profiel maakt, ziet u twee tabbladen: Clientverificatie en SSL-beleid. Het tabblad SSL-beleid is het configureren van een listenerspecifiek SSL-beleid. Op het tabblad Clientverificatie kunt u een clientcertificaat uploaden voor wederzijdse verificatie. Raadpleeg voor meer informatie het configureren van een wederzijdse verificatie.

  1. Zoek naar Application Gateway in de portal, selecteer Application Gateways en selecteer uw bestaande Application Gateway.

  2. Selecteer SSL-instellingen in het menu aan de linkerkant.

  3. Selecteer het plusteken naast SSL-profielen bovenaan om een nieuw SSL-profiel te maken.

  4. Voer een naam in onder SSL-profielnaam. In dit voorbeeld noemen we ons SSL-profiel applicationGatewaySSLProfile.

  5. Ga naar het tabblad SSL-beleid en schakel het selectievakje Listenerspecifieke SSL-beleid inschakelen in.

  6. Configureer uw listenerspecifiek SSL-beleid op basis van uw vereisten. U kunt kiezen tussen vooraf gedefinieerd SSL-beleid en het aanpassen van uw eigen SSL-beleid. Zie het overzicht van SSL-beleid voor meer informatie over SSL-beleid. We raden u aan TLS 1.2 of hoger te gebruiken.

    Opmerking

    Dit beleid is de nieuwste versie van het beschikbare SSL-beleid. Dit wordt aanbevolen om de beste SSL-beveiliging te garanderen. Als uw gateway is geconfigureerd voor het afhandelen van ouder verkeer, moet u mogelijk een ouder beleid kiezen om ervoor te zorgen dat al het verkeer correct wordt verwerkt.

  7. Selecteer Toevoegen om op te slaan.

    Schermopname van het toevoegen van listenerspecifiek SSL-beleid aan SSL-profiel in Azure Portal.

Het SSL-profiel koppelen aan een listener

U hebt nu een SSL-profiel gemaakt met een listenerspecifiek SSL-beleid. U moet het SSL-profiel koppelen aan de listener om het specifieke listenerbeleid te activeren.

  1. Navigeer naar uw bestaande Application Gateway.

  2. Selecteer Listeners in het menu aan de linkerkant.

  3. Selecteer listener toevoegen als u nog geen HTTPS-listener hebt ingesteld. Als u al een HTTPS-listener hebt, selecteert u deze in de lijst.

  4. Vul de naam van de listener, front-end-IP, poort en andere HTTPS-instellingen in om aan uw vereisten te voldoen.

  5. Selecteer Toevoegen om uw nieuwe listener op te slaan met het SSL-profiel dat eraan is gekoppeld.

  6. Controleer of HET SSL-beleid juist is of selecteer Wijzigen om een ander SSL-beleid te kiezen. De beschikbare opties zijn onder andere:

    • Verstek
    • Vooraf gedefinieerd
    • Op maat gemaakt
    • CustomV2 Selecteer het SSL-profiel dat u hebt gemaakt in de vervolgkeuzelijst. In dit voorbeeld kiezen we het SSL-profiel dat in de eerdere stappen is gemaakt: applicationGatewaySSLProfile.

  7. Selecteer op tabblad Listener TLS-certificaten op het tweede tabblad.

  8. Selecteer + Certificaat toevoegen.

  9. Vul de certificaatnaam, het PFX-certificaatbestand, het type en het andere wachtwoord in om aan uw vereisten te voldoen.

  10. Selecteer Toevoegen om uw nieuwe listener TLS-certificaat op te slaan waaraan het SSL-profiel is gekoppeld.

  11. Ga door met het configureren van de rest van de listener volgens uw vereisten.

    Schermopname van SSL-profielkoppeling voor een nieuwe listener.

Beperkingen

SSL-Policies

Er gelden huidige beperkingen voor Azure Application Gateway met betrekking tot SSL-beleid:

  • Verschillende listeners die dezelfde poort gebruiken, kunnen geen SSL-beleid (vooraf gedefinieerd of aangepast) met verschillende TLS-protocolversies hebben.
  • Het configureren van dezelfde TLS-versie voor verschillende listeners werkt voor het instellen van voorkeuren voor coderingssuites voor elke listener.
  • Als u verschillende TLS-protocolversies voor afzonderlijke listeners wilt gebruiken, moet u afzonderlijke poorten voor elke listener gebruiken. Er is momenteel een beperking op Application Gateway die verschillende listeners met dezelfde poort geen SSL-beleid (vooraf gedefinieerd of aangepast) met verschillende TLS-protocolversies kunnen hebben. Het kiezen van dezelfde TLS-versie voor verschillende listeners werkt voor het configureren van de voorkeur voor coderingssuites voor elke listener. Als u echter verschillende TLS-protocolversies wilt gebruiken voor afzonderlijke listeners, moet u afzonderlijke poorten voor elk van deze poorten gebruiken.

Volgende stappen

Webverkeer beheren met een toepassingsgateway met behulp van de Azure CLI