Konfigurace minimální verze protokolu TLS pro obor názvů služby Event Hubs

Azure Event Hubs obory názvů umožňují klientům odesílat a přijímat data s protokolem TLS 1.0 a novějším. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete obor názvů služby Event Hubs nakonfigurovat tak, aby vyžadoval, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Event Hubs vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou. Koncepční informace o této funkci najdete v tématu Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Event Hubs.

Minimální verzi protokolu TLS můžete nakonfigurovat pomocí šablony Azure Portal nebo Azure Resource Manager (ARM).

Zadejte minimální verzi protokolu TLS v Azure Portal

Minimální verzi protokolu TLS můžete zadat při vytváření oboru názvů služby Event Hubs v Azure Portal na kartě Upřesnit.

Na stránce Konfigurace můžete také zadat minimální verzi protokolu TLS pro existující obor názvů.

Vytvoření šablony pro konfiguraci minimální verze protokolu TLS

Pokud chcete nakonfigurovat minimální verzi protokolu TLS pro obor názvů služby Event Hubs pomocí šablony, vytvořte šablonu s MinimumTlsVersion vlastností nastavenou na 1.0, 1.1 nebo 1.2. Když vytvoříte obor názvů služby Event Hubs pomocí šablony Azure Resource Manager, MinimumTlsVersion vlastnost je ve výchozím nastavení nastavená na 1.2, pokud není explicitně nastavená na jinou verzi.

Poznámka

Obory názvů vytvořené pomocí verze api-version starší než 2022-01-01-preview budou mít hodnotu 1.0 pro MinimumTlsVersion. Toto chování bylo předchozí výchozí a stále existuje pro zpětnou kompatibilitu.

Následující kroky popisují, jak vytvořit šablonu v Azure Portal.

1. V Azure Portal zvolte Vytvořit prostředek.

2. Do pole Hledat na Marketplace zadejte vlastní nasazení a stiskněte klávesu ENTER.

3. Zvolte Vlastní nasazení (nasazení pomocí vlastních šablon) (Preview), zvolte Vytvořit a pak zvolte Sestavit vlastní šablonu v editoru.

4. V editoru šablon vložte následující kód JSON, abyste vytvořili nový obor názvů a nastavte minimální verzi protokolu TLS na TLS 1.2. Nezapomeňte nahradit zástupné symboly v šikmých závorkách vlastními hodnotami.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('eventHubNamespaceName')]",
           "type": "Microsoft.EventHub/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. Uložte šablonu.

6. Zadejte parametr skupiny prostředků a pak výběrem tlačítka Zkontrolovat a vytvořit šablonu nasaďte a vytvořte obor názvů s nakonfigurovanou MinimumTlsVersion vlastností.

Poznámka

Po aktualizaci minimální verze protokolu TLS pro obor názvů služby Event Hubs může trvat až 30 sekund, než se změna plně rozšíří.

Konfigurace minimální verze protokolu TLS vyžaduje rozhraní api-verze 2022-01-01-preview nebo novější poskytovatele prostředků Azure Event Hubs.

Kontrola minimální požadované verze protokolu TLS pro obor názvů

Pokud chcete zkontrolovat minimální požadovanou verzi protokolu TLS pro obor názvů služby Event Hubs, můžete se dotazovat na rozhraní API azure Resource Manager. K dotazování na rozhraní API budete potřebovat nosný token, který můžete načíst pomocí aplikace ARMClient spuštěním následujících příkazů.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Jakmile budete mít nosný token, můžete k dotazování rozhraní API použít následující skript v kombinaci s klientem REST .

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Odpověď by měla vypadat podobně jako níže a ve vlastnostech by měla být nastavena hodnota minimumTlsVersion.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Testování minimální verze protokolu TLS z klienta

Pokud chcete otestovat, jestli minimální požadovaná verze protokolu TLS pro obor názvů služby Event Hubs zakazuje volání ze starší verze, můžete klienta nakonfigurovat tak, aby používal starší verzi protokolu TLS. Další informace o konfiguraci klienta pro použití konkrétní verze protokolu TLS najdete v tématu Konfigurace protokolu TLS (Transport Layer Security) pro klientskou aplikaci.

Když klient přistupuje k oboru názvů služby Event Hubs pomocí verze protokolu TLS, která nesplňuje minimální verzi protokolu TLS nakonfigurovanou pro obor názvů, vrátí Azure Event Hubs kód chyby 401 (Neautorizováno) a zprávu oznamující, že použitá verze protokolu TLS není povolená pro vytváření požadavků na tento obor názvů služby Event Hubs.

Poznámka

Kvůli omezením v knihovně Confluent se při připojování prostřednictvím protokolu Kafka nezobrazí chyby pocházející z neplatné verze protokolu TLS. Místo toho se zobrazí obecná výjimka.

Poznámka

Při konfiguraci minimální verze protokolu TLS pro obor názvů služby Event Hubs se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu protokolu TLS na vrstvě protokolu, můžou při spuštění přímo proti koncovému bodu oboru názvů služby Event Hubs vrátit kromě minimální požadované verze také verzi protokolu TLS.

Další kroky

Další informace najdete v následujících článcích.

• Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Event Hubs
• Konfigurace protokolu TLS (Transport Layer Security) pro klientskou aplikaci Event Hubs
• Použití Azure Policy k auditování dodržování minimální verze protokolu TLS pro obor názvů služby Event Hubs