Konfigurace minimální verze protokolu TLS pro obor názvů služby Service Bus

Obory názvů služby Azure Service Bus umožňují klientům odesílat a přijímat data pomocí protokolu TLS 1.2 a vyšší. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat obor názvů služby Service Bus tak, aby vyžadoval, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Service Bus vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou. Koncepční informace o této funkci najdete v tématu Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Service Bus.

Minimální verzi protokolu TLS můžete nakonfigurovat pomocí webu Azure Portal nebo šablony Azure Resource Manageru (ARM).

Varování

Od 20. října 2025 už nebudou ve službě Azure Service Bus podporovány protokoly TLS 1.0 a TLS 1.1. Minimální verze protokolu TLS bude 1.2 pro všechna nasazení služby Service Bus.

Zadání minimální verze protokolu TLS na webu Azure Portal

Při vytváření oboru názvů služby Service Bus na webu Azure Portal na kartě Upřesnit můžete zadat minimální verzi protokolu TLS.

Na stránce Konfigurace můžete také zadat minimální verzi protokolu TLS pro existující obor názvů.

Použití Azure CLI

Pokud chcete vytvořit obor názvů s minimální verzí protokolu TLS nastavenou na 1.3, použijte příkaz az servicebus namespace create s --min-tls nastavenou na hodnotu 1.3.

az servicebus namespace create \
    --name mynamespace \
    --resource-group myresourcegroup \
    --min-tls 1.3

Použití Azure Powershell

Pokud chcete vytvořit obor názvů s minimální verzí protokolu TLS nastavenou na 1.3, použijte příkaz New-AzServiceBusNamespace s -MinimumTlsVersion nastavenou na hodnotu 1.3.

New-AzServiceBusNamespace `
    -ResourceGroup myresourcegroup `
    -Name mynamespace `
    -MinimumTlsVersion 1.3

Vytvoření šablony pro konfiguraci minimální verze protokolu TLS

Pokud chcete nakonfigurovat minimální verzi protokolu TLS pro obor názvů služby Service Bus, nastavte MinimumTlsVersion vlastnost verze na 1.2 nebo 1.3. Když vytvoříte obor názvů služby Service Bus pomocí šablony Azure Resource Manageru, MinimumTlsVersion vlastnost se ve výchozím nastavení nastaví na hodnotu 1.2, pokud explicitně nenastavíte jinou verzi.

Poznámka:

Obory názvů vytvořené pomocí verze API starší než 2022-01-01-preview budou mít hodnotu 1.0. MinimumTlsVersion Toto chování bylo předchozí výchozí a stále existuje kvůli zpětné kompatibilitě.

Následující kroky popisují, jak vytvořit šablonu na webu Azure Portal.

1. Na webu Azure Portal zvolte Vytvořit prostředek.

2. Do pole Hledat na Marketplace zadejte vlastní nasazení a stiskněte enter.

3. Zvolte Vlastní nasazení (nasazení pomocí vlastních šablon) (Preview), zvolte Vytvořit a pak v editoru zvolte Vytvořit vlastní šablonu.

4. V editoru šablon vložte následující JSON a vytvořte nový obor názvů a nastavte minimální verzi protokolu TLS na TLS 1.2. Nezapomeňte nahradit zástupné symboly v lomených závorkách vlastními hodnotami.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('serviceBusNamespaceName')]",
           "type": "Microsoft.ServiceBus/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. Uložte šablonu.

6. Zadejte parametr skupiny prostředků a poté klikněte na tlačítko Recenze + vytvoření pro nasazení šablony a vytvoření oboru názvů s nakonfigurovanou vlastností MinimumTlsVersion.

Poznámka:

Po aktualizaci minimální verze protokolu TLS pro obor názvů služby Service Bus může trvat až 30 sekund, než se změna plně rozšíří.

Konfigurace minimální verze protokolu TLS vyžaduje api-version 2022-01-01-preview nebo novější verzi poskytovatele prostředků služby Azure Service Bus.

Kontrola minimální požadované verze protokolu TLS pro obor názvů

Pokud chcete zkontrolovat minimální požadovanou verzi protokolu TLS pro obor názvů služby Service Bus, můžete použít dotaz na rozhraní API Azure Resource Manager. K dotazování na rozhraní API budete potřebovat nosný token, který můžete načíst pomocí ARMClient spuštěním následujících příkazů.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Jakmile budete mít nosný token, můžete k dotazování rozhraní API použít následující skript v kombinaci s něčím, jako je REST Client .

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Odpověď by měla vypadat podobně jako v následujícím příkladu s minimální verzí TlsVersion nastavenou pod vlastnostmi.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium"
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.ServiceBus/Namespaces",
  "location": "West Europe",
  "tags": {},
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": false,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Verze protokolu TLS používaná klientem

Pokud chcete otestovat, že minimální požadovaná verze protokolu TLS pro obor názvů služby Service Bus zakazuje volání provedená ve starší verzi, můžete klienta nakonfigurovat tak, aby používal starší verzi protokolu TLS.

Poznámka:

Modul runtime automaticky používá nejnovější verzi protokolu TLS dostupnou na hostitelském počítači klientských aplikací. Doporučujeme toto chování nepotlačovat. Další informace najdete v tématu Výběr verze protokolu TLS.

Když klient přistupuje k oboru názvů služby Service Bus pomocí verze protokolu TLS, která nesplňuje minimální nakonfigurovanou verzi protokolu TLS pro obor názvů, vrátí Azure Service Bus kód chyby 401 (Neautorizováno) a zprávu oznamující, že použitá verze protokolu TLS není povolená k provádění požadavků na tento obor názvů služby Service Bus.

Poznámka:

Při konfiguraci minimální verze protokolu TLS pro obor názvů služby Service Bus se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí zjistit podporu TLS ve vrstvě protokolu, mohou při spuštění přímo na koncovém bodu názvového prostoru Service Bus vrátit kromě minimální požadované verze také různé verze TLS.

Další kroky

Další informace najdete v následující dokumentaci.

• Vynucujte minimální požadovanou verzi protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Service Bus
• Použijte Azure Policy ke kontrole dodržování minimální verze protokolu TLS pro obor názvů služby Service Bus