Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
31 sierpnia 2025 r. usługa Azure Application Gateway nie będzie już obsługiwać protokołu TLS (Transport Layer Security) w wersji 1.0 i 1.1. Ta zmiana jest zgodna z wycofaniem tych wersji protokołu TLS dla całej platformy Azure w celu zwiększenia bezpieczeństwa. Jako właściciel zasobu usługi Application Gateway należy przejrzeć zarówno klientów frontonu, jak i połączenia TLS serwerów zaplecza, które mogą używać tych starszych wersji.
Połączenia TLS frontend
Po wycofaniu protokołu TLS w wersji 1.0 i 1.1 starsze wstępnie zdefiniowane zasady PROTOKOŁU TLS i niektóre zestawy szyfrowania z niestandardowych zasad PROTOKOŁU TLS zostaną usunięte. W zależności od konfiguracji bramy należy przejrzeć skojarzenie zasad zarówno dla ogólnych zasad PROTOKOŁU TLS , jak i zasad PROTOKOŁU TLS specyficznych dla odbiornika.
Ogólne zasady protokołu TLS — widok portalu
Zasady protokołu TLS specyficzne dla odbiornika — widok portalu
Wstępnie zdefiniowane zasady dla SKU wersji 2
Wstępnie zdefiniowane zasady 20150501 i 20170401, które obsługują protokoły TLS w wersji 1.0 i 1.1, zostaną wycofane i nie będą już mogły być skojarzone z zasobem usługi Application Gateway po sierpniu 2025 r. Zaleca się przejście do jednej z zalecanych zasad protokołu TLS, 20220101 lub 20220101S. Alternatywnie można użyć zasad 20170401S, jeśli wymagane są określone zestawy szyfrowania.
Zasady niestandardowe dla SKU wersja 2
Jednostka SKU usługi Azure Application Gateway w wersji 2 oferuje dwa typy polityk niestandardowych: Custom i CustomV2. Wycofanie tych wersji protokołu TLS ma wpływ tylko na politykę "Niestandardową". Nowsza polityka "CustomV2" zawiera protokoły TLS w wersji 1.3, a także 1.2. Od sierpnia 2025 r. starsza wersja polityki niestandardowej będzie obsługiwać tylko TLS w wersji 1.2, a następujące zestawy szyfrujące nie będą obsługiwane.
| Nieobsługiwane zestawy szyfrowania |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Wstępnie zdefiniowane zasady dla wersji SKU V1
SKU w wersji V1 będzie obsługiwać wyłącznie politykę 20170401S po wycofaniu starszych polityk z TLS w wersjach 1.0 i 1.1. Nowsze zasady 20220101 lub 20220101S nie będą dostępne dla wkrótceto-bewycofanej jednostki SKU w wersji 1.
Niestandardowe zasady dla jednostek SKU V1
Jednostka SKU usługi Application Gateway w wersji V1 obsługuje tylko starszą politykę "Niestandardową". Po sierpniu 2025 r. te starsze zasady niestandardowe będą obsługiwać tylko protokół TLS w wersji 1.2, a następujące zestawy szyfrowania nie będą obsługiwane.
| Nieobsługiwane zestawy szyfrowania |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Połączenia TLS na zapleczu
Nie musisz konfigurować niczego w usłudze Application Gateway dla wersji TLS połączenia z zapleczem, ponieważ wybór polityki TLS nie ma wpływu na połączenia TLS z zapleczem. Po przejściu na emeryturę,
- Dla wersji SKU V2: połączenia z serwerami zaplecza zawsze będą używać preferowanego protokołu TLS w wersji 1.3, a minimalnie TLS w wersji 1.2.
- W przypadku jednostek SKU w wersji 1: połączenia z serwerami zaplecza zawsze będą mieć protokół TLS w wersji 1.2
Należy upewnić się, że serwery w pulach zaplecza są zgodne z tymi zaktualizowanymi wersjami protokołu. Ta zgodność pozwala uniknąć zakłóceń podczas nawiązywania połączenia TLS/HTTPS z tymi serwerami zaplecza.
Metody identyfikacji
Metrics
Aby określić, czy klienci łączący się z zasobem usługi Application Gateway korzystają z protokołu TLS 1.0 lub 1.1, użyj metryki dostarczonej Client TLS protocol przez usługę Application Gateway. Aby uzyskać więcej informacji, zobacz dokumentację metryk. Możesz go wyświetlić w portalu, wykonując następujące kroki.
- Przejdź do zasobu usługi Application Gateway w witrynie Azure Portal.
- W okienku menu po lewej stronie otwórz blok "Metryki" w sekcji Monitorowanie.
- Wybierz metrykę jako
Client TLS protocolz listy rozwijanej. - Aby wyświetlić szczegółowe informacje o wersji protokołu, wybierz pozycję "Zastosuj podział" i wybierz pozycję "Protokół TLS".
Logs
Możesz również sprawdzić dzienniki dostępu usługi Application Gateway , aby wyświetlić te informacje w formacie dziennika.
Note
Metryki i dzienniki jednostek SKU w wersji 1 nie zawierają informacji o protokole TLS klienta.
Informacje o błędzie
Po zakończeniu obsługi protokołu TLS w wersji 1.0 i 1.1 klienci mogą napotkać błędy, takie jak curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. W zależności od używanej przeglądarki mogą być wyświetlane różne komunikaty wskazujące błędy uzgadniania protokołu TLS.
Często zadawane pytania
Co oznacza domyślne zasady protokołu TLS?
Domyślne zasady protokołu TLS dla usługi Application Gateway to spakowany zestaw obsługiwanych wersji protokołu TLS i zestawów szyfrowania. Dzięki temu klienci mogą zacząć korzystać z zabezpieczonego ruchu, konfigurując tylko odbiorniki HTTPS lub TLS i ustawienia zaplecza bez dodatkowej konfiguracji dla wersji protokołu TLS lub szyfrów. Usługa Application Gateway używa jednej ze wstępnie zdefiniowanych zasad jako domyślnej.
Jaki będzie wpływ na domyślne zasady protokołu TLS po wycofaniu starszych wersji protokołu TLS w wersji 1.0 i 1.1?
Do września 2025 r. jednostki SKU w wersji 2 korzystają z dwóch domyślnych zasad protokołu TLS na podstawie wersji interfejsu API określonej podczas wdrażania zasobów. Wdrożenia korzystające z interfejsu API w wersji 2023-02-01 lub nowszej są AppGwSslPolicy20220101 stosowane domyślnie, podczas gdy starsze wersje interfejsu API używają polecenia AppGwSslPolicy20150501.
Po wycofaniu protokołu TLS 1.0 i 1.1 starsze AppGwSslPolicy20150501 zasady zostaną wycofane.
AppGwSslPolicy20220101 Z tego powodu staną się domyślnymi zasadami dla wszystkich bram w wersji 2. Po zaimplementowaniu tej zmiany w zasadach domyślnych kolejna operacja PUT zakończy aktualizację konfiguracji.
Domyślne zasady dla jednostki SKU w wersji 1 pozostaną niezmienione, ponieważ AppGwSslPolicy20220101 nie zostaną wprowadzone dla tej jednostki SKU wycofywania.
Note
Domyślne zasady protokołu TLS są stosowane tylko wtedy, gdy w portalu jest wybrana opcja "Domyślna" lub jeśli w konfiguracji zasobu nie określono żadnych zasad protokołu TLS, takich jak REST, PowerShell lub AzCLI. W związku z tym użycie zasad domyślnych w konfiguracji nie jest takie samo jak jawne
AppGwSslPolicy20150501wybieranie zasad, nawet jeśliAppGwSslPolicy20150501są to domyślne zasady dla wersji interfejsu API.Zmiany zostaną zastosowane stopniowo we wszystkich regionach świadczenia usługi Azure.
Które zasady protokołu TLS w usłudze Application Gateway są przestarzałe?
Wstępnie zdefiniowane zasady AppGwSslPolicy20150501 i AppGwSslPolicy20170401 obsługujące protokoły TLS w wersji 1.0 i 1.1 zostaną usunięte z konfiguracji usługi Azure Resource Manager. Podobnie zasady niestandardowe przestaną obsługiwać protokoły TLS w wersji 1.0 i 1.1 wraz ze skojarzonymi zestawami szyfrowania. Dotyczy to zarówno jednostek SKU w wersji 1, jak i 2.
Czy zespół produktu usługi Application Gateway automatycznie zaktualizuje konfigurację do obsługiwanych zasad protokołu TLS?
Usługa Application Gateway nie zmodyfikuje żadnych zasobów z konfiguracjami protokołu TLS zdefiniowanymi przez klienta. Tylko domyślne zasady protokołu TLS dla bram, które nie mają jawnego ustawienia protokołu TLS lub nie mają żadnych ustawień związanych z protokołem TLS (takich jak https lub odbiorniki TLS), zostaną automatycznie zaktualizowane do użycia .AppGwSslPolicy20220101
Czy brama przejdzie w stan Niepowodzenie?
Jeśli wybrano jakiekolwiek przestarzałe zasady protokołu TLS w konfiguracji bramy i nie zaktualizujesz jej do obsługiwanych zasad do sierpnia 2025 r., brama wprowadzi stan Niepowodzenie podczas przeprowadzania aktualizacji konfiguracji.
Niefunkcjonalna konfiguracja protokołu TLS, taka jak sslProfile, która nie jest połączona z żadnym odbiornikiem, nie będzie miała żadnego wpływu na płaszczyznę sterowania bramy.
W jaki sposób planowane jest wydanie tej zmiany?
Biorąc pod uwagę skalę naszej floty, po 30 sierpnia 2025 r., wycofanie wersji protokołu TLS zostanie zaimplementowane oddzielnie dla płaszczyzn kontroli i danych. Żadne szczegóły specyficzne dla regionu nie będą dostępne; dlatego zdecydowanie zalecamy podjęcie wszelkich niezbędnych działań najwcześniej.
Czy istnieje potencjalny wpływ, jeśli nie wybrano żadnych zasad protokołu TLS, a moja brama używa tylko konfiguracji PROTOKOŁU HTTP/TCP?
Jeśli brama nie używa żadnej konfiguracji protokołu TLS — za pośrednictwem protokołów SSLPolicy, SSLProfile, HTTPS lub TLS — nie będzie to miało żadnego wpływu po sierpniu 2025 r.
Dalsze kroki
Dowiedz się więcej o typach i konfiguracjach zasad TLS Odwiedź stronę Aktualizacje platformy Azure, aby uzyskać powiadomienie o wycofaniu