Configurer des stratégies SSL spécifiques à un écouteur sur Application Gateway via le portail
Cet article explique comment utiliser le portail Azure pour configurer des stratégies SSL spécifiques à un écouteur sur votre instance d’Application Gateway. Les stratégies SSL spécifiques à l’écouteur vous permettent de configurer des écouteurs spécifiques pour utiliser différentes stratégies SSL indépendantes les unes des autres. Vous pourrez toujours définir une stratégie SSL par défaut qui sera utilisée par tous les écouteurs, sauf si elles sont remplacées par la stratégie SSL spécifique à un écouteur.
Remarque
Seules les références SKU Standard_v2 et WAF_v2 prennent en charge les stratégies spécifiques à un écouteur, car les stratégies spécifiques à un écouteur font partie des profils SSL et les profils SSL sont uniquement pris en charge sur les passerelles v2.
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Créer une passerelle Application Gateway
Commencez par créer une instance d'Application Gateway comme vous le feriez habituellement via le portail. Aucune étape supplémentaire n'est nécessaire lors du processus de création pour configurer les stratégies SSL spécifiques à un écouteur. Pour plus d'informations sur la création d'une instance d'Application Gateway via le portail, consultez le Tutoriel de démarrage rapide sur le portail.
Configurer une stratégie SSL spécifique à un écouteur
Avant de continuer, voici quelques points importants liés à la stratégie SSL spécifique à un écouteur.
Nous vous recommandons d’utiliser la norme TLS 1.2, car cette version sera obligatoire à l’avenir.
Vous n’avez pas besoin de configurer l’authentification du client sur un profil SSL pour l’associer à un écouteur. Vous pouvez configurer uniquement l’authentification du client ou la stratégie SSL spécifique à un écouteur, ou configurer les deux dans votre profil SSL.
L’utilisation d’une stratégie prédéfinie 2022 ou Customv2 améliore la sécurité SSL et les performances pour la passerelle entière (stratégie SSL et profil SSL). Par conséquent, vous ne pouvez pas avoir des écouteurs différents sur les anciennes et les nouvelles stratégies SSL (prédéfinies ou personnalisées).
Prenez l’exemple suivant : vous utilisez actuellement une stratégie SSL et un profil SSL avec des stratégies ou chiffrements plus anciens. Pour utiliser une stratégie prédéfinie ou Customv2 « nouvelle » pour l’une d’elles, vous devez également mettre à niveau l’autre configuration. Vous pouvez utiliser les nouvelles stratégies prédéfinies, ou la stratégie customv2 ou une combinaison de celles-ci dans l’ensemble de la passerelle.
Pour configurer une stratégie SSL spécifique à un écouteur, vous devez d’abord accéder à l’onglet Paramètres SSL dans le portail, puis créer un nouveau profil SSL. Lorsque vous créez un profil SSL, deux onglets sont disponibles : Authentification client et Stratégie SSL. L’onglet Stratégie SSL permet de configurer une stratégie SSL spécifique à un écouteur. L’onglet authentification du client permet de télécharger un ou plusieurs certificats clients pour l’authentification mutuelle. pour plus d’informations, consultez Configuration d’une authentification mutuelle.
Recherchez Application Gateway sur le portail, sélectionnez Passerelles d'application, puis cliquez sur votre instance existante.
Sélectionnez Paramètres SSL dans le menu de gauche.
Cliquez sur le signe plus (+) en regard de Profils SSL, en haut, pour créer un nouveau profil SSL.
Entrez un nom sous Nom du profil SSL. Dans cet exemple, nous nommons notre profil SSL applicationGatewaySSLProfile.
Accédez à l’onglet Stratégie SSL et cochez la case Activer la stratégie SSL spécifique à un écouteur.
Configurez votre stratégie SSL spécifique à un écouteur selon vos besoins. Vous pouvez choisir entre des stratégies SSL prédéfinies et personnaliser votre propre stratégie SSL. Pour plus d’informations sur les stratégies SSL, consultez Présentation de la stratégie TLS Application Gateway. Nous vous recommandons d’utiliser la norme TLS 1.2
Sélectionnez Ajouter pour enregistrer.
Associer le profil SSL à un écouteur
Maintenant que nous avons créé un profil SSL avec une stratégie SSL spécifique à un écouteur, nous devons associer le profil SSL à l’écouteur pour mettre en action la stratégie spécifique pour cet écouteur.
Accédez à votre instance existante d'Application Gateway. Si vous venez de suivre les étapes ci-dessus, vous n'avez rien à faire ici.
Dans le menu de gauche, sélectionnez Écouteurs.
Cliquez sur Ajouter un écouteur si vous n'avez pas encore configuré d'écouteur HTTPS. Si vous disposez déjà d'un écouteur HTTPS, cliquez sur celui-ci dans la liste.
Renseignez les champs Nom de l'écouteur, Adresse IP du front-end, Port, Protocole, et d'autres Paramètres HTTPS en fonction de vos besoins.
Cochez la case Activer le profil SSL pour pouvoir sélectionner le profil SSL à associer à l'écouteur.
Sélectionnez le profil SSL que vous venez de créer dans la liste déroulante. Dans cet exemple, nous choisissons le profil SSL que nous avons créé lors des étapes précédentes : applicationGatewaySSLProfile.
Poursuivez la configuration de l'écouteur en fonction de vos besoins.
Cliquez sur Ajouter pour enregistrer votre nouvel écouteur avec le profil SSL qui lui est associé.
Limites
Il existe à l’heure actuelle une limitation dans Application Gateway qui empêche plusieurs écouteurs utilisant le même port de disposer de stratégies SSL (prédéfinies ou personnalisées) avec des versions différentes du protocole TLS. En choisissant la même version de TLS pour les différents écouteurs, il est possible de configurer les préférences de suite de chiffrement pour chaque écouteur. Cependant, si vous voulez utiliser différentes versions du protocole TLS pour des écouteurs distincts, vous devez utiliser des ports différents pour chacun d’eux.