通过门户在应用程序网关上配置特定于侦听器的 SSL 策略
本文介绍如何使用 Azure 门户在应用程序网关上配置特定于侦听器的 SSL 策略。 使用特定于侦听器的 SSL 策略,你可以为特定侦听器配置不同的 SSL 策略。 但你仍然可以设置默认 SSL 策略,只要该策略未被特定于侦听器的 SSL 策略所覆盖,所有侦听器均会使用这一策略。
注意
只有 Standard_v2 SKU 和 WAF_v2 SKU 支持特定于侦听器的策略,因为这些策略是 SSL 配置文件的组成部分,而只有 v2 网关才支持 SSL 配置文件。
如果没有 Azure 订阅,可在开始前创建一个试用帐户。
创建新的应用程序网关
首先,像往常一样,通过门户新建一个 Azure 应用程序网关,新建过程中无需执行其他步骤来配置特定于侦听器的 SSL 策略。 有关如何在门户中创建 Azure 应用程序网关的详细信息,请查看门户快速入门教程。
设置特定于侦听器的 SSL 策略
在继续操作之前,请了解下面的一些与特定于侦听器的 SSL 策略相关的要点。
建议使用 TLS 1.2,因为将来会要求使用此版本。
你无需在 SSL 配置文件上配置客户端身份验证,即可将其关联到侦听器。 你只能在 SSL 配置文件中配置客户端身份验证或特定于侦听器的 SSL 策略,或同时配置二者。
使用 2022 预定义策略或 Customv2 策略,可增强整个网关的 SSL 安全性和性能(SSL 策略和 SSL 配置文件)。 因此,不能在旧 SSL 和新 SSL(预定义或自定义)策略上使用不同的侦听器。
考虑到此示例,你目前使用的是采用“较旧的”策略/密码的 SSL 策略和 SSL 配置文件。 若要为它们当中任何一个使用“新的”预定义策略或 Customv2 策略,还需要升级其他配置。 可以使用新的预定义策略或 customv2 策略,或者使用跨网关的这些策略的组合。
若要设置特定于侦听器的 SSL 策略,需先前往门户中的“SSL 设置”选项卡,然后新建 SSL 配置文件。 创建 SSL 配置文件时,会看到两个选项卡:“客户端身份验证”和“SSL 策略” 。 “SSL 策略”选项卡用于配置特定于侦听器的 SSL 策略。 在“客户端身份验证”选项卡下,你可以上传客户端证书进行相互身份验证。有关详细信息,请参阅配置相互身份验证。
在门户中搜索“应用程序网关”,选择“应用程序网关”,然后单击现有的应用程序网关 。
在左侧菜单中选择“SSL 设置”。
单击顶部“SSL 配置文件”旁的加号以创建新的 SSL 配置文件。
在“SSL 配置文件名称”下输入名称。 在此示例中,SSL 配置文件命名为“applicationGatewaySSLProfile”。
前往“SSL 策略”选项卡,勾选“启用特定于侦听器的 SSL 策略”复选框。
根据需要设置特定于侦听器的 SSL 策略。 你既可以选择预定义的 SSL 策略,也可以根据需要自定义 SSL 策略。 有关 SSL 策略的详细信息,请访问 SSL 策略概述。 推荐使用 TLS 1.2
选择“添加”以保存设置。
将 SSL 配置文件与侦听器相关联
现在已经创建了包含特定于侦听器的 SSL 策略的 SSL 配置文件,接下来需要将 SSL 配置文件与侦听器相关联,使特定于侦听器的策略生效。
导航到现有的应用程序网关。 如果你刚刚完成了上述步骤,则无需在此处执行任何操作。
在左侧菜单中选择“侦听器”。
如果尚未设置 HTTPS 侦听器,请单击“添加侦听器”。 如果已有 HTTPS 侦听器,请在列表中单击它。
根据要求填写“侦听器名称”、“前端 IP”、“端口”、“协议”及“其他 HTTPS 设置” 。
选中“启用 SSL 配置文件”复选框,以便选择需与侦听器关联的 SSL 配置文件。
从下拉列表中选择已创建的 SSL 配置文件。 在此示例中,选择在上述步骤中创建的 SSL 配置文件:applicationGatewaySSLProfile。
继续根据要求配置侦听器的其余部分。
单击“添加”以保存已与 SSL 配置文件相关联的新侦听器。
限制
应用程序网关目前存在一个限制,即,使用同一端口的不同侦听器不能具有采用不同 TLS 协议版本的 SSL 策略(预定义的或自定义的)。 为不同的侦听器选择同一 TLS 版本适用于配置每个侦听器的密码套件首选项。 但是,若要为不同的侦听器使用不同的 TLS 协议版本,你需要为每个侦听器使用不同的端口。