Partilhar via

Configurar políticas SSL específicas do ouvinte no Application Gateway por meio do portal

Este artigo descreve como usar o portal do Azure para configurar políticas SSL específicas do ouvinte no seu Gateway de Aplicativo do Azure. As políticas SSL específicas do ouvinte permitem configurar ouvintes específicos para usar políticas SSL diferentes umas das outras. Você ainda pode definir uma política SSL padrão que todos os ouvintes usam, a menos que seja substituída pela política SSL específica do ouvinte. Este artigo descreve como usar o portal do Azure para configurar políticas SSL específicas do ouvinte em seu Gateway de Aplicativo. As políticas SSL específicas do ouvinte permitem configurar ouvintes específicos para usar políticas SSL diferentes umas das outras. Você ainda poderá definir uma política SSL padrão que todos os ouvintes usam, a menos que seja substituída pela política SSL específica do ouvinte.

Importante

A partir de 31 de agosto de 2025, todos os clientes e servidores back-end que interagem com o Gateway de Aplicativo do Azure devem usar o Transport Layer Security (TLS) 1.2 ou superior, pois o suporte para TLS 1.0 e 1.1 será descontinuado.

Observação

Apenas Standard_v2 e WAF_v2 SKUs oferecem suporte a políticas específicas para ouvintes. As políticas específicas do ouvinte fazem parte dos perfis SSL, e os perfis SSL só são suportados nos Gateways de Aplicação v2.

Pré-requisitos

Antes de começar, certifique-se de que tem:

  • Uma assinatura do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
  • Um gateway de aplicações existente do Azure (Standard_v2 ou WAF_v2 SKU)
  • Permissões apropriadas para modificar as configurações do Application Gateway

Criar um novo gateway de aplicativo

Primeiro, crie um novo Application Gateway como faria normalmente através do portal. Não há mais etapas necessárias durante a criação para configurar políticas SSL específicas do ouvinte. Para obter mais informações sobre como criar um Application Gateway no portal, consulte o tutorial de início rápido do portal.

Primeiro, crie um novo Application Gateway como faria normalmente através do portal - não são necessárias etapas adicionais na criação para configurar políticas SSL específicas do ouvinte. Para obter mais informações sobre como criar um Application Gateway no portal, confira nosso tutorial de início rápido do portal.

Configurar uma política SSL específica do ouvinte

Antes de prosseguir, aqui estão algumas considerações importantes para políticas SSL específicas do ouvinte:

SSL-Policies

  • Recomendamos o uso do TLS 1.2 ou superior

  • Não é necessário configurar a autenticação do cliente em um perfil SSL para associá-lo a um ouvinte. Você pode configurar apenas a autenticação de cliente, somente a política SSL específica do ouvinte ou ambas em seu perfil SSL.

  • Use uma política 2022 Predefinida ou Personalizada v2, aprimora a segurança e o desempenho SSL para todo o Gateway de Aplicativo (Política SSL e Perfil SSL). Portanto, você não pode ter ouvintes diferentes usando políticas de SSL herdadas e novas simultaneamente.

  • Recomendamos o uso do TLS 1.2, pois esta versão será obrigatória no futuro.

  • Não é necessário configurar a autenticação do cliente em um perfil SSL para associá-lo a um ouvinte. Você pode ter apenas a autenticação do cliente ou a política SSL específica do ouvinte configurada, ou ambas configuradas no seu perfil SSL.

  • O uso de uma política Predefinida de 2022 ou Customv2 melhora a segurança e o desempenho SSL para todo o gateway (Política SSL e Perfil SSL). Portanto, você não pode ter ouvintes diferentes em políticas SSL antigas e novas (predefinidas ou personalizadas).

    Cenário de exemplo: Se você estiver usando atualmente a Política SSL e o Perfil SSL com políticas/cifras "legadas", a atualização para uma "nova" política predefinida ou personalizada v2 para qualquer componente também requer a atualização da outra configuração. Você pode usar as novas políticas predefinidas, a política Personalizada v2 ou uma combinação.

SSL-Policies Para configurar uma política SSL específica do ouvinte, você precisa primeiro ir para a guia Configurações de SSL no portal do Azure e criar um novo perfil SSL. Ao criar um perfil SSL, você verá duas guias: Autenticação de Cliente e Política SSL. A guia Política de SSL é usada para configurar uma política SSL específica do ouvinte. A guia Autenticação de Cliente é onde você carrega certificados de cliente para autenticação mútua. Para obter mais informações, consulte Configurando a autenticação mútua.

Para configurar uma política SSL específica do ouvinte, você precisa primeiro ir para a guia Configurações de SSL no Portal e criar um novo perfil SSL. Ao criar um perfil SSL, você verá duas guias: Autenticação de Cliente e Política SSL. A guia Política de SSL é para configurar uma política SSL específica do ouvinte. A guia Autenticação de Cliente é onde carregar um certificado de cliente para autenticação mútua - para obter mais informações, confira Configurando uma autenticação mútua.

  1. Pesquise por Application Gateway no portal, selecione Application gateways e escolha o seu Application Gateway existente.

  2. Selecione Configurações de SSL no menu do lado esquerdo.

  3. Selecione o sinal de adição ao lado de Perfis SSL na parte superior para criar um novo perfil SSL.

  4. Insira um nome em Nome do perfil SSL. Neste exemplo, nomeamos o nosso perfil SSL applicationGatewaySSLProfile.

  5. Vá para a guia Política SSL e marque a caixa de seleção Habilitar Política SSL específica do ouvinte .

  6. Configure sua política SSL específica do ouvinte de acordo com suas necessidades. Você pode escolher entre políticas SSL predefinidas e personalizar sua própria política SSL. Para obter mais informações sobre políticas SSL, consulte Visão geral da política SSL. Recomendamos o uso do TLS 1.2 ou superior.

    Observação

    Esta política é a versão mais recente da política SSL disponível, que é recomendada para garantir a melhor segurança SSL. Se o gateway estiver configurado para lidar com tráfego mais antigo, talvez seja necessário escolher uma política mais antiga para garantir que todo o tráfego seja tratado corretamente.

  7. Selecione Adicionar para salvar.

    Captura de ecrã a mostrar a adição de uma política SSL específica do ouvinte ao perfil SSL no portal do Azure.

Associar o perfil SSL a um ouvinte

Agora você criou um perfil SSL com uma política SSL específica do ouvinte. Você precisa associar o perfil SSL ao ouvinte para ativar a política específica do ouvinte.

  1. Navegue até o seu Application Gateway existente.

  2. Selecione Ouvintes no menu do lado esquerdo.

  3. Selecione Adicionar ouvinte se ainda não tiver um ouvinte HTTPS configurado. Se você já tiver um ouvinte HTTPS, selecione nele na lista.

  4. Preencha o nome do ouvinte, o IP do Frontend, a porta e outras configurações HTTPS para atender às suas necessidades.

  5. Selecione Adicionar para salvar seu novo ouvinte com o perfil SSL associado a ele.

  6. Verifique se a Política SSL está correta ou selecione Alterar para escolher outra Política SSL. As opções disponíveis incluem:

    • Predefinido
    • Predefinido
    • Personalizado
    • CustomV2 Selecione o perfil SSL que você criou na lista suspensa. Neste exemplo, escolhemos o perfil SSL criado nas etapas anteriores: applicationGatewaySSLProfile.

  7. Selecione na guia Listener TLS Certificates na segunda guia.

  8. Selecione + Adicionar certificado.

  9. Preencha o nome do certificado, o arquivo de certificado PFX, o tipo e outra senha para atender às suas necessidades.

  10. Selecione Adicionar para salvar seu novo certificado TLS de ouvinte com o perfil SSL associado a ele.

  11. Continue configurando o restante do ouvinte de acordo com suas necessidades.

    Captura de tela da associação de perfil SSL para um novo ouvinte.

Limitações

SSL-Policies

Há limitações atuais com o Gateway de Aplicativo do Azure em relação às políticas SSL:

  • Ouvintes diferentes que usam a mesma porta não podem ter políticas SSL (predefinidas ou personalizadas) com diferentes versões do protocolo TLS.
  • Configurar a mesma versão TLS para ouvintes diferentes funciona para definir as preferências do conjunto de codificação para cada ouvinte.
  • Para usar diferentes versões do protocolo TLS para ouvintes separados, você deve usar portas distintas para cada ouvinte. Há uma limitação no momento no Application Gateway de que ouvintes diferentes usando a mesma porta não podem ter políticas SSL (predefinidas ou personalizadas) com diferentes versões do protocolo TLS. Escolher a mesma versão TLS para ouvintes diferentes funciona para configurar a preferência do conjunto de codificação para cada ouvinte. No entanto, para usar diferentes versões do protocolo TLS para ouvintes separados, você precisa usar portas distintas para cada um.

Próximos passos

Gerenciar tráfego da Web com um gateway de aplicativo usando a CLI do Azure

  • Last updated on