Konfigurace minimální verze protokolu TLS ve službě Azure SQL Managed Instance

Nastavení minimální verze protokolu TLS (Transport Layer Security) umožňuje zákazníkům řídit verzi protokolu TLS používanou jejich Azure SQL Managed Instance.

V současné době podporujeme protokoly TLS 1.0, 1.1 a 1.2. Nastavení minimální verze protokolu TLS zajišťuje podporu následných novějších verzí TLS. Například výběrem vyšší verze protokolu TLS než 1.1 se zajistí, že se budou přijímat pouze připojení přes protokol TLS 1.1 a 1.2 a připojení přes protokol TLS 1.0 se budou zamítat. Po otestování, že vaše aplikace podporují protokol TLS 1.2, doporučujeme nastavit minimální verzi protokolu TLS na tuto verzi, která obsahuje opravy ohrožení zabezpečení zjištěných v předchozích verzích a představuje nejvyšší podporovanou verzi protokolu TLS ve službě Azure SQL Managed Instance.

Zákazníkům s aplikacemi, které se spoléhají na starší verze protokolu TLS, doporučujeme nastavit minimální verzi protokolu TLS podle požadavků konkrétních aplikací. Zákazníkům využívajícím aplikace, které se připojují pomocí nešifrovaného připojení, doporučujeme nenastavovat žádnou minimální verzi protokolu TLS.

Další informace najdete v tématu Důležité informace o protokolu TLS pro SQL Database připojení.

Po nastavení minimální verze protokolu TLS se pokusy o přihlášení z klientů, kteří používají verzi protokolu TLS nižší než minimální verze protokolu TLS serveru, nezdaří s následující chybou:

Error 47072
Login failed with invalid TLS version

Poznámka

Při konfiguraci minimální verze protokolu TLS se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu protokolu TLS na vrstvě protokolu, můžou kromě minimální požadované verze vrátit i verze protokolu TLS, pokud se spustí přímo pro koncový bod spravované instance.

Nastavení minimální verze protokolu TLS přes PowerShell

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Důležité

Modul PowerShell Azure Resource Manager je stále podporován službou Azure SQL Database, ale veškerý budoucí vývoj je určený pro modul Az.Sql. Informace o těchto rutinách najdete v tématu AzureRM.Sql. Argumenty pro příkazy v modulu Az a v modulech AzureRm jsou v podstatě stejné. Následující skript vyžaduje modul Azure PowerShell.

Následující skript PowerShellu ukazuje postup Get a Set vlastnost Minimální verze protokolu TLS na úrovni instance:

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Nastavení minimální verze protokolu TLS prostřednictvím Azure CLI

Důležité

Všechny skripty v této části vyžadují Azure CLI.

Azure CLI v prostředí Bash

Následující skript rozhraní příkazového řádku ukazuje, jak změnit nastavení Minimální verze protokolu TLS v prostředí Bash:

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"