Leer en inglés

Compartir a través de

通过门户在应用程序网关上配置特定于侦听器的 SSL 策略

  • 25/07/2025

本文介绍如何使用 Azure 门户在 Azure 应用程序网关上配置特定于侦听器的 SSL 策略。 使用特定于侦听器的 SSL 策略,你可以为特定侦听器配置不同的 SSL 策略。 仍然可以设置所有侦听器使用的默认 SSL 策略,除非被侦听器特定的 SSL 策略覆盖。 本文介绍如何使用 Azure 门户在应用程序网关上配置特定于侦听器的 SSL 策略。 使用特定于侦听器的 SSL 策略,你可以为特定侦听器配置不同的 SSL 策略。 您仍然可以设置所有侦听器使用的默认 SSL 策略,除非被侦听器特定的 SSL 策略覆盖。

Importante

从 2025 年 8 月 31 日开始,与 Azure 应用程序网关交互的所有客户端和后端服务器必须使用传输层安全性 (TLS) 1.2 或更高版本,如对 TLS 1.0 和 1.1 的支持将会终止中所述。

Nota

仅 Standard_v2 和 WAF_v2 SKU 支持特定于侦听器的策略。 特定于侦听器的策略是 SSL 配置文件的一部分,而 SSL 配置文件仅在 v2 应用程序网关上受支持。

Prerequisites

在开始之前,请确保具备:

  • 一份 Azure 订阅。 如果没有订阅,请在开始之前创建一个试用帐户
  • 现有的 Azure 应用程序网关(Standard_v2或WAF_v2 SKU)
  • 修改应用程序网关配置的相应权限

创建新的应用程序网关

首先,按照通常方式通过门户创建新的应用程序网关。 创建期间无需执行更多步骤来配置特定于侦听器的 SSL 策略。 有关如何在门户中创建应用程序网关的详细信息,请参阅 门户快速入门教程

首先,像通常通过门户一样创建新的应用程序网关 - 创建时无需执行额外的步骤来配置特定于侦听器的 SSL 策略。 有关如何在门户中创建 Azure 应用程序网关的详细信息,请查看门户快速入门教程

设置特定于侦听器的 SSL 策略

在继续操作之前,下面是关于特定于侦听器的 SSL 策略的一些重要注意事项:

SSL-Policies

  • 建议使用 TLS 1.2 或更高版本

  • 无需在 SSL 配置文件上配置客户端身份验证,以将其与侦听器相关联。 在 SSL 配置文件中,您可以仅配置客户端身份验证、仅配置特定于侦听器的 SSL 策略或两者兼顾。

  • 使用 2022 预定义 或自定义 v2 策略,增强整个应用程序网关(SSL 策略和 SSL 配置文件)的 SSL 安全性和性能。 因此,不能让不同的监听器同时使用旧 SSL 策略和新 SSL 策略。

  • 建议使用 TLS 1.2,因为将来会要求使用此版本。

  • 你无需在 SSL 配置文件上配置客户端身份验证,即可将其关联到侦听器。 你只能在 SSL 配置文件中配置客户端身份验证或特定于侦听器的 SSL 策略,或同时配置二者。

  • 使用 2022 预定义策略或 Customv2 策略,可增强整个网关的 SSL 安全性和性能(SSL 策略和 SSL 配置文件)。 因此,不能对旧 SSL 和新的 SSL(预定义或自定义)策略使用不同的侦听器。

    示例场景:如果当前使用“旧”策略/密码的 SSL 策略和配置文件,则升级到任何组件的“新”预定义或自定义 v2 策略也需要升级相关配置。 可以使用新的预定义策略、自定义 v2 策略或组合。

SSL-Policies 若要设置特定于侦听器的 SSL 策略,需要首先转到 Azure 门户中的 “SSL 设置 ”选项卡并创建新的 SSL 配置文件。 创建 SSL 配置文件时,会看到两个选项卡: 客户端身份验证SSL 策略“SSL 策略”选项卡用于配置特定于侦听器的 SSL 策略。 “ 客户端身份验证 ”选项卡用于上传用于相互身份验证的客户端证书。 有关详细信息,请参阅 配置相互身份验证

若要设置特定于侦听器的 SSL 策略,首先需要转到门户中的 “SSL 设置 ”选项卡并创建新的 SSL 配置文件。 创建 SSL 配置文件时,会看到两个选项卡: 客户端身份验证SSL 策略。 “SSL 策略”选项卡用于配置特定于侦听器的 SSL 策略。 “ 客户端身份验证 ”选项卡用于上传客户端证书进行相互身份验证的位置 - 有关详细信息,请查看 “配置相互身份验证”。

  1. 在门户中搜索 应用程序网关 ,选择 应用程序网关,然后选择现有的应用程序网关。

  2. 在左侧菜单中选择“SSL 设置”。

  3. 选择顶部 SSL 配置文件 旁边的加号以创建新的 SSL 配置文件。

  4. 在“SSL 配置文件名称”下输入名称。 在此示例中,我们将 SSL 配置文件 applicationGatewaySSLProfile 命名。

  5. 转到 “SSL 策略 ”选项卡,并选中“ 启用特定于侦听器的 SSL 策略 ”复选框。

  6. 根据要求配置特定于侦听器的 SSL 策略。 你既可以选择预定义的 SSL 策略,也可以根据需要自定义 SSL 策略。 有关 SSL 策略的详细信息,请参阅 SSL 策略概述。 建议使用 TLS 1.2 或更高版本。

    Nota

    此策略是可用的 SSL 策略的最新版本,建议确保最佳 SSL 安全性。 如果网关配置为处理较旧的流量,则可能需要选择较旧的策略,以确保正确处理所有流量。

  7. 选择“添加”以保存设置。

    在 Azure 门户中将特定于侦听器的 SSL 策略添加到 SSL 配置文件的屏幕截图。

将 SSL 配置文件与侦听器相关联

现在,你已使用特定于侦听器的 SSL 策略创建了 SSL 配置文件。 需要将 SSL 配置文件与侦听器相关联,以激活特定于侦听器的策略。

  1. 导航到现有的应用程序网关。

  2. 在左侧菜单中选择“侦听器”。

  3. 如果尚未设置 HTTPS 侦听器,请选择 “添加侦听器 ”。 如果已有 HTTPS 侦听器,请从列表中选择它。

  4. 填写 侦听器名称前端 IP端口和其他 HTTPS 设置以满足你的要求。

  5. 选择“添加”,保存与新侦听器关联的 SSL 配置文件。

  6. 检查 SSL 策略 是否正确,或选择 “更改 ”以选择其他 SSL 策略。 可用的选项包括:

    • Default
    • Predefined
    • Custom
    • CustomV2 从下拉列表中选择您创建的 SSL 配置文件。 在此示例中,我们选择在前面的步骤中创建的 SSL 配置文件: applicationGatewaySSLProfile

  7. 选择第二个选项卡中的侦听器 TLS 证书

  8. 选择 “+ 添加证书”。

  9. 填写 证书名称PFX 证书文件类型 和其他 密码 以满足你的要求。

  10. 选择 “添加” 以保存新的侦听器 TLS 证书,并将 SSL 配置文件关联到该证书。

  11. 根据要求继续配置侦听器的其余部分。

    新侦听器的 SSL 配置文件关联情况的屏幕截图。

Limitations

SSL-Policies

当前,Azure 应用程序网关在 SSL 策略方面存在一些限制:

  • 使用相同的端口的不同侦听器不能使用不同的 TLS 协议版本使用 SSL 策略(预定义或自定义)。
  • 为不同的侦听器配置相同的 TLS 版本适用于为每个侦听器设置密码套件首选项。
  • 若要对单独的侦听器使用不同的 TLS 协议版本,必须为每个侦听器使用不同的端口。 应用程序网关目前存在一个限制,即,使用同一端口的不同侦听器不能具有采用不同 TLS 协议版本的 SSL 策略(预定义的或自定义的)。 为不同的侦听器选择相同的 TLS 版本适用于为每个侦听器配置密码套件首选项。 但是,若要为单独的侦听器使用不同的 TLS 协议版本,需要为每个侦听器使用不同的端口。

Next steps

通过 Azure CLI 使用应用程序网关管理 Web 流量