在 Front Door 自定义域上配置 TLS 策略

适用于： ✔️ Front Door 标准 ✔️ Front Door 高级版

Azure Front Door 标准版和高级版提供了两种控制 TLS 策略的机制。 可以根据自己的需求使用预定义策略或自定义策略。 如果使用 Azure Front Door（经典版）和 Microsoft CDN（经典），将继续使用最低 TLS 1.2 版本。

• Azure Front Door 提供了多个预定义的 TLS 策略。 可以使用其中任一策略配置 AFD，以获得适当的安全级别。 这些预定义策略是在考虑 Microsoft 安全团队提供的最佳做法和建议的基础上配置的。 建议使用最新的 TLS 策略来确保最佳的 TLS 安全性。

• 如果需要为自己的业务和安全要求配置 TLS 策略，可以使用自定义 TLS 策略。 使用自定义 TLS 策略，可以完全控制支持的最低 TLS 协议版本和支持的密码套件。

本文介绍如何在 Front Door 自定义域上配置 TLS 策略。

先决条件

• 前门。 有关详细信息，请参阅 快速入门：使用 Azure 门户创建 Front Door。
• 自定义域。 如果没有自定义域，必须先从域提供商购买一个域。 有关详细信息，请参阅购买自定义域名。
• 如果使用 Azure 来托管 DNS 域，必须将域提供商的域名系统 (DNS) 委托给 Azure DNS。 有关详细信息，请参阅 向 Azure DNS 委派域。 否则，如果使用域提供程序来处理 DNS 域，请参阅 “创建 CNAME DNS 记录”。

配置 TLS 策略

1. 转到要为其配置 TLS 策略的 Azure Front Door 配置文件。

2. 在 “设置”下，选择“ 域 ”。 然后选择“ +添加” 以添加新域。

3. 在 “添加域 ”页上，按照“ 在 Azure Front Door 上配置自定义域 ”中的说明，在 Azure Front Door 自定义域上配置 HTTPS 以配置域。

4. 对于 TLS 策略，请从下拉列表中选择预定义策略，或 从“自定义 ”列表中选择预定义策略，以根据需要自定义密码套件。

   

   可以通过选择“ 查看策略详细信息”来查看受支持的密码套件。

   

   选择 “自定义”时，可以通过选择 “选择密码套件”来选择最低 TLS 版本和相应的密码套件。

   

   注释

   可以在门户中，通过在“重用其他域设置”中选择域名来重复使用其他域的自定义 TLS 策略设置。

5. 选择 “添加” 以添加域。

验证 TLS 策略配置

通过 www.ssllabs.com/ssltest 或使用 sslscan 工具查看域支持的密码套件。

相关内容

• Azure Front Door TLS 策略
• 在 Azure Front Door 上添加自定义域
• 在 Azure Front Door 上为自定义域配置 HTTPS