Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Za pomocą usługi Azure Application Gateway można scentralizować zarządzanie certyfikatami TLS/SSL i zmniejszyć obciążenie związane z szyfrowaniem i odszyfrowywaniem z farmy serwerów zaplecza. Ta scentralizowana obsługa protokołu TLS umożliwia również określenie centralnych zasad protokołu TLS dostosowanych do wymagań dotyczących zabezpieczeń organizacji. Pomaga to spełnić wymagania dotyczące zgodności, a także wytyczne dotyczące zabezpieczeń i zalecane rozwiązania.
Polityka TLS obejmuje kontrolę wersji protokołu TLS, jak również szyfrowe zestawy i kolejność użycia szyfrów podczas uzgadniania TLS. Usługa Application Gateway oferuje dwa mechanizmy kontrolowania zasad PROTOKOŁU TLS. Można użyć wstępnie zdefiniowanych zasad lub zasad niestandardowych.
Szczegóły użycia i wersji
Important
Od 31 sierpnia 2025 r. wszyscy klienci i serwery zaplecza współdziałające z usługą Azure Application Gateway muszą korzystać z protokołu Transport Layer Security (TLS) 1.2 lub nowszego, ponieważ obsługa protokołów TLS 1.0 i 1.1 zostanie przerwana. Odwiedź sekcję Wycofywanie protokołów TLS 1.0 i 1.1, aby uzyskać więcej informacji na temat wycofywania polityk i zmian konfiguracji zasobów.
Zmiany zasad nie są zakłócające, jeśli klienci i zaplecza używają protokołu TLS 1.2 lub nowszego. Zaleca się zaktualizowanie zasad TLS dla bram przed zastosowaniem wymuszania we wszystkich regionach świadczenia usługi Azure.
- Protokoły SSL 2.0 i 3.0 są wyłączone dla wszystkich bram aplikacji i nie można ich konfigurować.
- Niestandardowe zasady protokołu TLS umożliwiają wybranie dowolnego protokołu TLS jako minimalnej wersji protokołu dla bramy: TLSv1_0, TLSv1_1, TLSv1_2 lub TLSv1_3.
- Jeśli nie zostaną wybrane żadne zasady protokołu TLS, zostaną zastosowane domyślne zasady protokołu TLS na podstawie wersji interfejsu API użytej do utworzenia tego zasobu.
- Wstępnie zdefiniowane zasady 2022 i Customv2, które obsługują protokół TLS w wersji 1.3, są dostępne tylko w przypadku jednostek SKU usługi Application Gateway w wersji 2 (Standard_v2 lub WAF_v2).
- Użycie wstępnie zdefiniowanych zasad 2022 lub Customv2 zwiększa poziom zabezpieczeń protokołu SSL i wydajności całej bramy (w przypadku zasad SSL i profilu SSL). W związku z tym zarówno stare, jak i nowe zasady nie mogą współistnieć w bramie. Należy użyć dowolnej ze starszych wstępnie zdefiniowanych lub niestandardowych zasad w bramie, jeśli klienci wymagają starszych wersji protokołu TLS lub szyfrowania (na przykład TLS w wersji 1.0).
- Zestawy szyfrowania TLS używane na potrzeby połączenia są również oparte na typie używanego certyfikatu. Zestawy szyfrowania używane w połączeniach "klient-brama aplikacji" są oparte na typie certyfikatów odbiornika w bramie aplikacji. Podczas ustanawiania połączeń pomiędzy "bramą aplikacji a pulą zaplecza", zestawy szyfrowania są oparte na typie certyfikatów serwera prezentowanych przez serwery zaplecza.
Wstępnie zdefiniowane zasady protokołu TLS
Usługa Application Gateway oferuje kilka wstępnie zdefiniowanych zasad zabezpieczeń. Bramę można skonfigurować przy użyciu dowolnej z tych zasad, aby uzyskać odpowiedni poziom zabezpieczeń. Nazwy zasad są oznaczone adnotacjami według roku i miesiąca, w którym zostały skonfigurowane (AppGwSslPolicy<RRRRMDD>). Każda zasada oferuje różne wersje protokołu TLS i/lub zestawy szyfrowania. Te wstępnie zdefiniowane zasady są konfigurowane zgodnie z najlepszymi rozwiązaniami i zaleceniami zespołu ds. zabezpieczeń firmy Microsoft. Zalecamy użycie najnowszych zasad protokołu TLS w celu zapewnienia najlepszych zabezpieczeń protokołu TLS.
W poniższej tabeli przedstawiono listę zestawów szyfrowania i minimalną obsługę wersji protokołu dla każdej wstępnie zdefiniowanej zasady. Kolejność zestawów szyfrowania określa kolejność priorytetów podczas negocjacji protokołu TLS. Aby poznać dokładną kolejność zestawów szyfrowania dla tych wstępnie zdefiniowanych zasad, możesz zapoznać się z PowerShell, CLI, REST API lub sekcją Listeners w portalu.
| Wstępnie zdefiniowane nazwy zasad (AppGwSslPolicy<YYYYMMDD>) | 20150501 | 20170401 | 20170401S | 20220101 | 20220101S |
|---|---|---|---|---|---|
| Minimalna wersja protokołu | 1.0 | 1.1 | 1.2 | 1.2 | 1.2 |
| Wersje protokołów z włączoną obsługą | 1.0 1.1 1.2 |
1.1 1.2 |
1.2 | 1.2 1.3 |
1.2 1.3 |
| Default | True (dla wersji interfejsu API < 2023-02-01) |
False | False | True (dla wersji >interfejsu API = 2023-02-01) |
False |
| TLS_AES_128_GCM_SHA256 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_AES_256_GCM_SHA384 | ✗ | ✗ | ✗ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✓ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_RSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ✓ | ✓ | ✓ | ✓ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ✓ | ✓ | ✓ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | ✓ | ✗ | ✗ | ✗ | ✗ |
Domyślne zasady protokołu TLS
Jeśli w konfiguracji zasobu bramy aplikacji nie określono żadnych określonych zasad protokołu SSL, zostaną zastosowane domyślne zasady protokołu TLS. Wybór tych domyślnych zasad jest oparty na wersji interfejsu API użytej do utworzenia tej bramy.
- W przypadku interfejsu API w wersji 2023-02-01 lub nowszej minimalna wersja protokołu jest ustawiona na 1.2 (obsługiwana jest wersja do 1.3). Bramy utworzone przy użyciu tych wersji interfejsu API będą miały właściwość tylko do odczytu domyślnaPredefinedSslPolicy:AppGwSslPolicy20220101 w konfiguracji zasobu. Ta właściwość definiuje domyślne zasady protokołu TLS do użycia.
- W przypadku starszych wersji < interfejsu API 2023-02-01 minimalna wersja protokołu jest ustawiona na 1.0 (wersje do 1.2 są obsługiwane), ponieważ używają wstępnie zdefiniowanych zasad AppGwSslPolicy20150501 jako domyślne.
Jeśli domyślny protokół TLS nie pasuje do wymagań, wybierz inne wstępnie zdefiniowane zasady lub użyj niestandardowego.
Note
Obsługa programu Azure PowerShell i interfejsu wiersza polecenia dla zaktualizowanych domyślnych zasad protokołu TLS będzie dostępna wkrótce.
Niestandardowe zasady protokołu TLS
Jeśli należy skonfigurować zasady protokołu TLS zgodnie z wymaganiami, możesz użyć niestandardowych zasad protokołu TLS. Dzięki niestandardowym zasadom protokołu TLS masz pełną kontrolę nad minimalną wersją protokołu TLS do obsługi, a także obsługiwanymi zestawami szyfrowania i ich kolejnością priorytetu.
Note
Nowsze, silniejsze szyfry i obsługa TLSv1.3 są dostępne tylko w zasadach CustomV2. Zapewnia on zwiększone korzyści z zakresu zabezpieczeń i wydajności.
Important
- Jeśli korzystasz z niestandardowych zasad SSL w wersji SKU Application Gateway v1 (Standardowej lub WAF), upewnij się, że na liście dodano obowiązkowy szyfr "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256". Ten kod jest wymagany do umożliwienia metryk i rejestrowania w SKU wersji 1 aplikacji Application Gateway. Nie jest to obowiązkowe w przypadku jednostki SKU usługi Application Gateway w wersji 2 (Standard_v2 lub WAF_v2).
- Zestawy szyfrowania "TLS_AES_128_GCM_SHA256" i "TLS_AES_256_GCM_SHA384" są obowiązkowe dla TLSv1.3. Nie trzeba jawnie wspominać o tych zasadach podczas ustawiania zasad CustomV2 z minimalną wersją protokołu 1.2 lub 1.3 za pomocą programu PowerShell lub interfejsu wiersza polecenia. W związku z tym te zestawy szyfrów nie pojawią się w wynikach polecenia Pobierz szczegóły, z wyjątkiem Portalu.
Zestawy szyfrowania
Usługa Application Gateway obsługuje następujące zestawy szyfrów, które możesz wybrać do utworzenia własnej polityki. Kolejność zestawów szyfrowania określa kolejność priorytetów podczas negocjacji protokołu TLS.
- TLS_AES_128_GCM_SHA256 (dostępne tylko w przypadku usługi Customv2)
- TLS_AES_256_GCM_SHA384 (dostępne tylko w przypadku usługi Customv2)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Limitations
- Połączenia z serwerami zaplecza preferują protokół TLS 1.3, jeśli jest dostępny, z rezerwową obsługą protokołu TLS 1.2. Nie można dostosować wersji protokołu TLS i zestawów szyfrowania dla połączeń zaplecza.
- Od tej pory implementacja protokołu TLS 1.3 nie jest włączona z funkcją "Zero Round Trip Time (0-RTT)".
- Wznowienie sesji TLS (ID lub biletów) nie jest obsługiwane.
- Usługa Application Gateway w wersji 2 nie obsługuje następujących szyfrów DHE. Nie będą one używane w przypadku połączeń TLS z klientami, mimo że są one wymienione w wstępnie zdefiniowanych zasadach. Zamiast szyfrów DHE zalecane są bezpieczne i szybsze szyfry ECDHE.
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
- Klienci ograniczeni, którzy szukają obsługi "Negocjacja maksymalnej długości fragmentu", muszą używać nowszych 2022 Wstępnie zdefiniowanych lub niestandardowych polityk.
Dalsze kroki
Jeśli chcesz dowiedzieć się, jak skonfigurować zasady protokołu TLS, zobacz Konfigurowanie wersji zasad PROTOKOŁU TLS i zestawów szyfrowania w usłudze Application Gateway.