إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات
تدعم Azure API Management إصدارات متعددة من بروتوكول أمان طبقة النقل (TLS) لتأمين حركة مرور واجهة برمجة التطبيقات من أجل:
- جانب العميل (العميل إلى بوابة إدارة واجهة برمجة التطبيقات)
- جانب الواجهة الخلفية (بوابة إدارة واجهة برمجة التطبيقات إلى الواجهة الخلفية)
تدعم APIM أيضا مجموعات تشفير متعددة تستخدمها بوابة واجهة برمجة التطبيقات.
اعتمادا على مستوى الخدمة، تدعم إدارة واجهة برمجة التطبيقات إصدارات TLS حتى 1.2 أو TLS 1.3 لاتصال العميل والواجهة الخلفية والعديد من مجموعات التشفير المدعومة. يوضح لك هذا الدليل كيفية إدارة تكوين البروتوكولات والشفرات لمثيل Azure API Management.
إشعار
- إذا كنت تستخدم البوابة المستضافة ذاتيا، فشاهد أمان البوابة المستضافة ذاتيا لإدارة بروتوكولات TLS ومجموعات التشفير.
- لا تدعم المستويات التالية التغييرات على تكوين التشفير الافتراضي: Consumption، Basic v2، Standard v2، Premium v2.
- في مساحات العمل، لا تدعم البوابة المدارة التغييرات على البروتوكول الافتراضي وتكوين التشفير.
إشعار
اعتمادا على مستوى خدمة إدارة واجهة برمجة التطبيقات، قد يستغرق تطبيق التغييرات من 15 إلى 45 دقيقة أو أكثر. مثيل في مستوى خدمة المطور لديه وقت تعطل أثناء العملية. لا تحتوي المثيلات في المستويات الأساسية والأعلى على وقت تعطل أثناء العملية.
المتطلبات الأساسية
- مثيل API Management. أنشئ واحد إذا لم تكن قد قمت بذلك بالفعل.
الانتقال إلى مثيل إدارة واجهة برمجة التطبيقات لديك
في مدخل Microsoft Azure، ابحث عن خدمات إدارة واجهة برمجة التطبيقات وحددها:
في صفحة خدمات إدارة واجهة برمجة التطبيقات ، حدد مثيل إدارة واجهة برمجة التطبيقات:
كيفية إدارة بروتوكولات TLS ومجموعات التشفير
- في التنقل الأيسر لمثيل APIM الخاص بك، ضمن Security، حدد Protocols + ciphers.
- تمكين أو تعطيل البروتوكولات أو الشفرات المطلوبة.
- حدد حفظ.
إشعار
لا يمكن تمكين بعض البروتوكولات أو مجموعات التشفير (مثل TLS 1.2 من جانب الخلفية) أو تعطيلها من مدخل Microsoft Azure. بدلا من ذلك، ستحتاج إلى تطبيق استدعاء واجهة برمجة تطبيقات REST. استخدم البنية properties.customProperties في Create/Update API Management Service REST API.
دعم TLS 1.3 في المستويات الكلاسيكية
يتوفر دعم TLS 1.3 في مستويات الخدمة الكلاسيكية لإدارة واجهة برمجة التطبيقات (الاستهلاكوالمطوروالأساسيوالقياسيوالمميز). في معظم الحالات التي تم إنشاؤها في مستويات الخدمة هذه، يتم تمكين TLS 1.3 بشكل دائم بشكل افتراضي للاتصالات من جانب العميل. يعد تمكين TLS 1.3 من جانب الواجهة الخلفية اختياريا. يتم أيضا تمكين TLS 1.2 بشكل افتراضي على جانبي العميل والواجهة الخلفية.
TLS 1.3 هو مراجعة رئيسية لبروتوكول TLS يوفر أمانا وأداء محسنا. يتضمن ميزات مثل تقليل زمن انتقال المصافحة وتحسين الأمان ضد أنواع معينة من الهجمات.
إشعار
تدعم مستويات الإصدار 2 من إدارة واجهة برمجة التطبيقات وبوابات مساحة العمل TLS 1.2 بشكل افتراضي للاتصالات من جانب العميل والواجهة الخلفية. وهي لا تدعم حاليا TLS 1.3.
اختياريا تمكين TLS 1.3 عندما يحتاج العملاء إلى إعادة التفاوض على الشهادة
لا يدعم TLS 1.3 إعادة التفاوض على الشهادات. تسمح إعادة التفاوض على الشهادة في TLS للعميل والخادم بإعادة التفاوض على معلمات الاتصال في منتصف الجلسة للمصادقة دون إنهاء الاتصال.
الخدمات التي حددناها على أنها تعتمد على إعادة التفاوض على شهادة العميل لا يتم تمكين TLS 1.3 بشكل افتراضي.
تحذير
إذا تم الوصول إلى واجهات برمجة التطبيقات الخاصة بك من قبل عملاء متوافقين مع TLS يعتمدون على إعادة التفاوض على الشهادة، فإن تمكين TLS 1.3 للاتصالات من جانب العميل سيؤدي إلى فشل هؤلاء العملاء في الاتصال. راجع واجهات برمجة التطبيقات التي استخدمت مؤخرا إعادة التفاوض على الشهادة قبل تمكين TLS 1.3 من جانب العميل في أي خدمة لم يتم تمكينها بشكل افتراضي.
لتمكين TLS 1.3 للاتصالات من جانب العميل في هذه الحالات، قم بتكوين الإعدادات في صفحة البروتوكولات + الشفرات :
- في صفحة البروتوكولات + الشفرات ، في قسم بروتوكول العميل ، بجوار TLS 1.3، حدد عرض التكوين وإدارته.
- راجع قائمة عمليات إعادة التفاوض على شهادة العميل الأخيرة. تعرض القائمة عمليات واجهة برمجة التطبيقات حيث استخدم العملاء مؤخرا إعادة التفاوض على شهادة العميل.
- إذا اخترت تمكين TLS 1.3 للاتصالات من جانب العميل، فحدد تمكين.
- حدد إغلاق.
بعد تمكين TLS 1.3، راجع مقاييس طلب البوابة أو الاستثناءات المتعلقة بطبقة النقل الآمنة في السجلات التي تشير إلى فشل اتصال TLS. إذا لزم الأمر، قم بتعطيل TLS 1.3 للاتصالات من جانب العميل والرجوع إلى إصدار أقدم إلى TLS 1.2.
إذا كنت بحاجة إلى تعطيل TLS 1.3 للاتصالات من جانب العميل في هذه الحالات، فقم بضبط الإعدادات في صفحة البروتوكولات + الشفرات :
- في صفحة البروتوكولات + الشفرات ، في قسم بروتوكول العميل ، بجوار TLS 1.3، حدد عرض التكوين وإدارته.
- حدد تعطيل.
- حدد إغلاق.
TLS 1.3 من الجانب الخلفي
يعد تمكين TLS 1.3 من جانب الواجهة الخلفية اختياريا. إذا قمت بتمكينه، تستخدم إدارة واجهة برمجة التطبيقات TLS 1.3 للاتصالات بخدمات الواجهة الخلفية.
تحذير
سيؤدي تمكين TLS 1.3 للاتصالات من جانب الواجهة الخلفية إلى حدوث فشل في الاتصال مع خدمات الواجهة الخلفية التي تعتمد على إعادة التفاوض على شهادة العميل بين إدارة واجهة برمجة التطبيقات والواجهات الخلفية.
يمكنك تمكين TLS 1.3 من الجانب الخلفي من صفحة البروتوكولات + الشفرات :
- في صفحة البروتوكولات + التشفيرات ، في قسم بروتوكول الواجهة الخلفية ، قم بتمكين إعداد TLS 1.3 .
- حدد حفظ.
المحتوى ذو الصلة
- للحصول على توصيات حول تأمين مثيل APIM، راجع أساس أمان Azure لإدارة واجهة برمجة التطبيقات.
- تعرف على اعتبارات الأمان في أفضل ممارسات بنية إدارة واجهة برمجة التطبيقات لإدارة واجهة برمجة التطبيقات.
- تعرف على المزيد حول بروتوكول أمان طبقة النقل.