Configurare criteri SSL specifici del listener nel gateway applicazione tramite il portale
Questo articolo descrive come usare il portale di Azure per configurare criteri SSL specifici del listener nel gateway applicazione. I criteri SSL specifici del listener consentono di configurare listener specifici per l'uso di criteri SSL diversi l'uno dall'altro. Sarà comunque possibile impostare un criterio SSL predefinito che tutti i listener useranno a meno che non vengano sovrascritti dai criteri SSL specifici del listener.
Nota
Solo gli SKU Standard_v2 e WAF_v2 supportano i criteri specifici per i listener, poiché i listener fanno parte dei profili SSL e i profili SSL sono supportati solo dai gateway v2.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Creare un nuovo gateway applicazione
Per prima cosa creare un nuovo gateway applicazione come si farebbe di solito attraverso il portale; non sono necessari ulteriori passaggi nella creazione per configurare i criteri SSL specifici per il listener. Per altre informazioni su come creare un gateway applicazione nel portale, vedere l'esercitazione di avvio rapido sul portale.
Configurare criteri SSL specifici del listener
Prima di procedere, ecco alcuni punti importanti correlati ai criteri SSL specifici del listener.
È consigliabile usare TLS 1.2 perché questa versione sarà obbligatoria in futuro.
Non è necessario configurare l'autenticazione client in un profilo SSL per associarla a un listener. Nel profilo SSL è possibile configurare solo l'autenticazione del client o un criterio SSL specifico per il listener, oppure entrambi.
L'uso di un criterio 2022 predefinito o Customv2 migliora la sicurezza e le prestazioni SSL per l'intero gateway (criteri SSL e profilo SSL). Pertanto, non è possibile avere listener diversi sia nei criteri precedenti che nei nuovi criteri SSL (predefiniti o personalizzati).
Si consideri questo esempio: attualmente si usano criteri SSL e profilo SSL con criteri/crittografie "meno recenti". Per usare un criterio "nuovo" predefinito o Customv2 per uno di essi, sarà necessario aggiornare anche l'altra configurazione. È possibile usare i nuovi criteri predefiniti o personalizzativ2 o la combinazione di questi criteri nel gateway.
Per configurare criteri SSL specifici del listener, è necessario passare prima alla scheda impostazioni SSL nel portale e creare un nuovo profilo SSL. Quando si crea un profilo SSL, verranno visualizzate due schede: Autenticazione Client e Criteri SSL. La scheda criteri SSL consiste nel configurare criteri SSL specifici del listener. La scheda autenticazione client consente di caricare uno o più certificati client per l'autenticazione reciproca. Per altre informazioni, vedere Configurazione di un'autenticazione reciproca.
Cercare Gateway Applicazione nel portale, selezionare Gateway Applicazionee fare clic sul Gateway Applicazione già esistente.
Selezionare Impostazioni SSL dal menu a sinistra.
Fare clic sul segno più accanto a Profili SSL nella parte superiore per creare un nuovo profilo SSL.
Immettere un nome in Nome profilo SSL. In questo esempio il profilo SSL viene chiamatoapplicationGatewaySSLProfile.
Passare alla scheda Criteri SSL e selezionare la casella Abilita criteri SSL specifici del listener.
Configurare i criteri SSL specifici del listener in base ai requisiti. È possibile scegliere tra criteri SSL predefiniti e personalizzare i propri criteri SSL. Per altre informazioni sui criteri SSL, visitare panoramica dei criteri SSL. È consigliabile usare TLS 1.2
Selezionare Aggiungi per salvare.
Associare il profilo SSL a un listener
Ora che è stato creato un profilo SSL con un criterio SSL specifico del listener, è necessario associare il profilo SSL al listener per mettere in azione i criteri specifici del listener.
Passare al gateway applicazione esistente. Se sono stati appena completati i passaggi precedenti, non è necessario eseguire alcuna operazione qui.
Selezionare Listeners dal menu a sinistra.
Fare clic su Aggiungi listener se non è già stato configurato un listener HTTPS. Se si ha già un listener HTTPS, fare clic su di esso nell'elenco.
Compilare il nome del listener, IP front-end, Porta, Protocolloe altre impostazioni HTTPS in base alle esigenze.
Selezionare la casella di controllo Abilita profilo SSL in modo da poter selezionare il profilo SSL da associare al listener.
Selezionare il profilo SSL creato dall'elenco a discesa. In questo esempio si sceglie il profilo SSL creato nei passaggi precedenti: applicationGatewaySSLProfile.
Continuare a configurare il resto del listener in base alle esigenze.
Fare clic su Aggiungi per salvare il nuovo listener con il profilo SSL associato.
Limiti
Attualmente nel gateway applicazione esiste una limitazione per cui diversi listener che usano la stessa porta non possono avere criteri SSL (predefiniti o personalizzati) con versioni diverse del protocollo TLS. La scelta della stessa versione TLS per listener diversi funzionerà per configurare la preferenza della suite di crittografia per ogni listener. Tuttavia, per usare versioni diverse del protocollo TLS per listener separati, è necessario usare porte distinte per ognuna di esse.