适用于: ✔️ Front Door 标准 ✔️ Front Door Premium
Azure Front Door 支持 端到端 TLS 加密。 将自定义域添加到 Azure Front Door 时,需要 HTTPS,并且需要定义一个 TLS 策略,其中包括在 TLS 握手期间控制 TLS 协议版本。
Azure Front Door 支持两个版本的 TLS 协议:TLS 版本 1.2 和 1.3。 目前,Azure Front Door 不支持客户端/相互身份验证(mTLS)。
注释
自 2025 年 3 月 1 日起,Azure Front Door 上不允许使用 TLS 1.0 和 1.1 最低版本。
Azure Front Door 标准版和高级版提供了两种控制 TLS 策略的机制。 可以根据自己的需求使用预定义策略或自定义策略。
- Azure Front Door 提供了多个预定义的 TLS 策略。 可以使用其中任一策略配置 AFD,以获得适当的安全级别。 这些预定义策略经过配置,请记住Microsoft安全团队的最佳做法和建议。 建议使用最新的 TLS 策略来确保最佳 TLS 安全性。
- 如果需要为自己的业务和安全要求配置 TLS 策略,可以使用自定义 TLS 策略。 使用自定义 TLS 策略,可以完全控制支持的最低 TLS 协议版本。
对于最低 TLS 版本 1.2,协商将尝试建立 TLS 1.3,然后建立 TLS 1.2。 客户端必须至少支持其中一个受支持密码才能与 Azure Front Door 建立 HTTPS 连接。 Azure Front Door 从客户端支持的密码中选择一个按列出的顺序的密码。
当 Azure Front Door 启动发往源的 TLS 流量时,它将尝试协商源可以可靠且一致地接受的最佳 TLS 版本。 源连接的受支持 TLS 版本为 TLS 1.2 和 TLS 1.3。
注释
启用 TLS 1.3 的客户端需要支持符合 SDL 的 EC 曲线之一 Microsoft,包括 Secp384r1、Secp256r1 和 Secp521,才能使用 TLS 1.3 成功向 Azure Front Door 发出请求。 建议客户端在请求期间使用这些曲线之一作为首选曲线,以避免 TLS 握手延迟增加,这可能会导致多次往返来协商支持的 EC 曲线。
预定义 TLS 策略
Azure Front Door 提供了多个预定义的 TLS 策略。 可以使用其中任一策略配置 AFD,以获得适当的安全级别。 策略名称由最低 TLS 版本及其配置年份(TLSv1.2_2023>)进行批注。 每个策略提供不同的 TLS 协议版本。 这些预定义策略经过配置,请记住Microsoft安全团队的最佳做法和建议。 建议使用最新的 TLS 策略来确保最佳 TLS 安全性。
下表显示了每个预定义策略的最低协议版本支持列表。
默认情况下,将选择TLSv1.2_2023。 TLSv1.2_2022映射到先前设计中的最低 TLS 1.2 版本。 有些人可能会看到一个只读的 TLSv1.0/1.1_2019,它映射到先前设计中的最低 TLS 1.0/1.1 版本,因为它们不会专门切换到最低 TLS 1.2 版本。 2025 年 4 月,将删除和禁用此类的 TLSv1.0/1.1_2019 策略。
| OpenSSL | TLSv1.2_2023 | TLSv1.2_2022 |
|---|---|---|
| 最低协议版本 | 1.2 | 1.2 |
| 支持的协议 | 1.3/1.2 | 1.3./1.2 |
| TLS_AES_256_GCM_SHA384 | 是的 | 是的 |
| TLS_AES_128_GCM_SHA256 | 是的 | 是的 |
| ECDHE-RSA-AES256-GCM-SHA384 | 是的 | 是的 |
| ECDHE-RSA-AES128-GCM-SHA256 | 是的 | 是的 |
| DHE-RSA-AES256-GCM-SHA384 | 是的 | |
| DHE-RSA-AES128-GCM-SHA256 | 是的 | |
| ECDHE-RSA-AES256-SHA384 | 是的 | |
| ECDHE-RSA-AES128-SHA256 | 是的 |
自定义 TLS 策略
如果需要根据要求配置 TLS 策略,可以使用自定义 TLS 策略。 使用自定义 TLS 策略,可以完全控制支持的最低 TLS 协议版本。
注释
无论启用哪个最低版本,都会始终启用 TLS 1.3。