Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du använder Azure-portalen för att konfigurera lyssnarspecifika SSL-principer på din Azure Application Gateway. Med lyssnarspecifika SSL-principer kan du konfigurera specifika lyssnare att använda olika SSL-principer från varandra. Du kan fortfarande ange en standard-SSL-princip som alla lyssnare använder om de inte åsidosätts av den lyssnarspecifika SSL-principen. Den här artikeln beskriver hur du använder Azure-portalen för att konfigurera lyssnarspecifika SSL-principer på din Application Gateway. Med lyssnarspecifika SSL-principer kan du konfigurera specifika lyssnare att använda olika SSL-principer från varandra. Du kommer fortfarande att kunna ange en standard-SSL-princip som alla lyssnare använder om de inte skrivs över av den lyssnarspecifika SSL-principen.
Viktigt!
Från och med den 31 augusti 2025 måste alla klienter och serverdelsservrar som interagerar med Azure Application Gateway använda Transport Layer Security (TLS) 1.2 eller senare, eftersom stödet för TLS 1.0 och 1.1 upphör.
Anmärkning
Endast Standard_v2 och WAF_v2 SKU:er stöder lyssnarspecifika principer. Lyssnarspecifika principer är en del av SSL-profiler och SSL-profiler stöds endast på v2 Application Gateways.
Förutsättningar
Kontrollera att du har följande innan du börjar:
- Ett Azure-abonnemang. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.
- En befintlig Azure Application Gateway (Standard_v2 eller WAF_v2 SKU)
- Lämpliga behörigheter för att ändra Application Gateway-konfigurationer
Skapa en ny Application Gateway
Skapa en ny Application Gateway på vanligt sätt via portalen först. Det behövs inga fler steg när du skapar för att konfigurera lyssnarspecifika SSL-principer. Mer information om hur du skapar en Application Gateway i portalen finns i snabbstartsguiden för portalen.
Skapa först en ny Application Gateway som vanligt via portalen – det behövs inga extra steg i skapandet för att konfigurera lyssnarspecifika SSL-principer. Mer information om hur du skapar en Application Gateway i portalen finns i vår snabbstartsguide för portalen.
Konfigurera en lyssnarspecifik SSL-policy
Innan du fortsätter, här är några viktiga överväganden för lyssnarspecifika SSL-principer:
SSL-Policies
Vi rekommenderar att du använder TLS 1.2 eller senare
Du behöver inte konfigurera klientautentisering på en SSL-profil för att associera den med en lyssnare. Du kan bara konfigurera klientautentisering, endast lyssnarspecifik SSL-princip eller båda i din SSL-profil.
Använd en fördefinierad 2022 eller anpassad v2-princip som förbättrar SSL-säkerhet och prestanda för hela applikationsgatewayen (SSL-princip och SSL-profil). Därför kan du inte ha olika lyssnare som använder både äldre och nya SSL-principer samtidigt.
Vi rekommenderar att du använder TLS 1.2 eftersom den här versionen kommer att tillåtas i framtiden.
Du behöver inte konfigurera klientautentisering på en SSL-profil för att associera den med en lyssnare. Du kan bara konfigurera klientautentisering eller lyssnarspecifik SSL-princip, eller båda konfigurerade i din SSL-profil.
Om du använder en fördefinierad princip för 2022 eller Customv2 förbättras SSL-säkerhet och -prestanda för hela gatewayen (SSL-princip och SSL-profil). Därför kan du inte ha olika lyssnare på både gamla och nya SSL-principer (fördefinierade eller anpassade).
Exempelscenario: Om du för närvarande använder SSL-princip och SSL-profil med "äldre" principer/chiffer måste du även uppgradera till en "ny" fördefinierad eller anpassad v2-princip för alla komponenter. Du kan använda de nya fördefinierade principerna, Anpassad v2-princip eller en kombination.
SSL-Policies Om du vill konfigurera en lyssnarspecifik SSL-princip måste du först gå till fliken SSL-inställningar i Azure-portalen och skapa en ny SSL-profil. När du skapar en SSL-profil visas två flikar: Klientautentisering och SSL-princip. Fliken SSL-princip används för att konfigurera en lyssnarspecifik SSL-princip. Fliken Klientautentisering är den plats där du laddar upp klientcertifikat för ömsesidig autentisering. Mer information finns i Konfigurera ömsesidig autentisering.
Om du vill konfigurera en lyssnarspecifik SSL-princip måste du först gå till fliken SSL-inställningar i portalen och skapa en ny SSL-profil. När du skapar en SSL-profil visas två flikar: Klientautentisering och SSL-princip. Fliken SSL-princip är för att konfigurera en lyssnarspecifik SSL-princip. På fliken Klientautentisering kan du ladda upp ett klientcertifikat för ömsesidig autentisering – mer information finns i Konfigurera en ömsesidig autentisering.
Sök efter Application Gateway i portalen, välj Programgatewayer och välj din befintliga Application Gateway.
Välj SSL-inställningar på menyn till vänster.
Välj plustecknet bredvid SSL-profiler längst upp för att skapa en ny SSL-profil.
Ange ett namn under SSL-profilnamn. I det här exemplet namnger vi vårt SSL-profilprogramGatewaySSLProfile.
Gå till fliken SSL-princip och markera kryssrutan Aktivera lyssnarspecifik SSL-princip .
Konfigurera din lyssnarspecifika SSL-princip enligt dina krav. Du kan välja mellan fördefinierade SSL-principer och anpassning av din egen SSL-princip. Mer information om SSL-principer finns i Översikt över SSL-princip. Vi rekommenderar att du använder TLS 1.2 eller senare.
Anmärkning
Den här principen är den senaste versionen av SSL-principen som är tillgänglig, vilket rekommenderas för att säkerställa bästa SSL-säkerhet. Om din gateway är konfigurerad för att hantera äldre trafik kan du behöva välja en äldre princip för att säkerställa att all trafik hanteras korrekt.
Välj Lägg till för att spara.
Associera SSL-profilen med en lyssnare
Nu har du skapat en SSL-profil med en lyssnarspecifik SSL-princip. Du måste associera SSL-profilen med lyssnaren för att aktivera den lyssnarspecifika principen.
Navigera till din befintliga Application Gateway.
Välj Lyssnare på menyn till vänster.
Välj Lägg till lyssnare om du inte redan har konfigurerat en HTTPS-lyssnare. Om du redan har en HTTPS-lyssnare väljer du på den i listan.
Fyll i lyssnarnamnet, klientdelens IP-adress, port och andra HTTPS-inställningar så att de passar dina behov.
Välj Lägg till för att spara den nya lyssnaren med den SSL-profil som är associerad med den.
Kontrollera att SSL-principen är korrekt eller välj Ändra för att välja en annan SSL-princip. Bland de tillgängliga alternativen finns:
- Förinställning
- Fördefinierade
- Skräddarsydd
- CustomV2 Välj den SSL-profil som du skapade i listrutan. I det här exemplet väljer vi den SSL-profil som skapades i de tidigare stegen: applicationGatewaySSLProfile.
Välj på fliken Lyssnare TLS-certifikat på den andra fliken.
Välj + Lägg till certifikat.
Fyll i certifikatnamnet, PFX-certifikatfilen, typ, samt lösenord och andra inställningar för att passa dina behov.
Välj Lägg till för att spara det nya TLS-lyssnarcertifikatet med den SSL-profil som är associerad med det.
Fortsätt att konfigurera resten av lyssnaren enligt dina krav.
Begränsningar
SSL-Policies
Det finns aktuella begränsningar med Azure Application Gateway när det gäller SSL-principer:
- Olika lyssnare som använder samma port kan inte ha SSL-principer (fördefinierade eller anpassade) med olika TLS-protokollversioner.
- Att konfigurera samma TLS-version för olika lyssnare fungerar för att ställa in inställningar för chiffersvitpreferenser för varje lyssnare.
- Om du vill använda olika TLS-protokollversioner för separata lyssnare måste du använda distinkta portar för varje lyssnare. Det finns just nu en begränsning för Application Gateway att olika lyssnare som använder samma port inte kan ha SSL-principer (fördefinierade eller anpassade) med olika TLS-protokollversioner. Att välja samma TLS-version för olika lyssnare fungerar för att konfigurera chiffersvitinställningar för varje lyssnare. Men om du vill använda olika TLS-protokollversioner för separata lyssnare måste du använda distinkta portar för var och en.