Konfigurace minimální verze protokolu TLS pro obor názvů služby Service Bus

Azure Service Bus obory názvů umožňují klientům odesílat a přijímat data pomocí protokolu TLS 1.0 a novějšího. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete obor názvů služby Service Bus nakonfigurovat tak, aby vyžadoval, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Service Bus vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou. Koncepční informace o této funkci najdete v tématu Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Service Bus.

Minimální verzi protokolu TLS můžete nakonfigurovat pomocí Azure Portal nebo šablony Azure Resource Manager (ARM).

Zadejte minimální verzi protokolu TLS v Azure Portal

Minimální verzi protokolu TLS můžete zadat při vytváření oboru názvů služby Service Bus v Azure Portal na kartě Upřesnit.

Můžete také zadat minimální verzi protokolu TLS pro existující obor názvů na stránce Konfigurace .

Použití Azure CLI

Pokud chcete vytvořit obor názvů s minimální verzí protokolu TLS nastavenou na 1.2, použijte az servicebus namespace create příkaz s nastaveným --min-tls na 1.2.

az servicebus namespace create \
    --name mynamespace \
    --resource-group myresourcegroup \
    --min-tls 1.2

Použití Azure Powershell

Pokud chcete vytvořit obor názvů s minimální verzí protokolu TLS nastavenou na 1.2, použijte New-AzServiceBusNamespace příkaz s nastaveným -MinimumTlsVersion na 1.2.

New-AzServiceBusNamespace `
    -ResourceGroup myresourcegroup `
    -Name mynamespace `
    -MinimumTlsVersion 1.2

Vytvoření šablony pro konfiguraci minimální verze protokolu TLS

Pokud chcete nakonfigurovat minimální verzi protokolu TLS pro obor názvů služby Service Bus, nastavte MinimumTlsVersion vlastnost version na 1.0, 1.1 nebo 1.2. Když vytvoříte obor názvů služby Service Bus pomocí šablony Azure Resource Manager, MinimumTlsVersion vlastnost je ve výchozím nastavení nastavená na 1.2, pokud není explicitně nastavená na jinou verzi.

Poznámka

Obory názvů vytvořené pomocí verze api-version starší než 2022-01-01-preview budou mít jako hodnotu 1.0 .MinimumTlsVersion Toto chování bylo předchozí výchozí a stále existuje kvůli zpětné kompatibilitě.

Následující kroky popisují, jak vytvořit šablonu v Azure Portal.

1. V Azure Portal zvolte Vytvořit prostředek.

2. Do pole Hledat na Marketplace zadejte vlastní nasazení a stiskněte ENTER.

3. Zvolte Vlastní nasazení (nasazení pomocí vlastních šablon) (Preview), zvolte Vytvořit a pak zvolte Vytvořit vlastní šablonu v editoru.

4. V editoru šablon vložte následující kód JSON, abyste vytvořili nový obor názvů, a nastavte minimální verzi protokolu TLS na TLS 1.2. Nezapomeňte nahradit zástupné symboly v šikmých závorkách vlastními hodnotami.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('serviceBusNamespaceName')]",
           "type": "Microsoft.ServiceBus/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. Uložte šablonu.

6. Zadejte parametr skupiny prostředků a pak výběrem tlačítka Zkontrolovat a vytvořit nasaďte šablonu a vytvořte obor názvů s MinimumTlsVersion nakonfigurovanou vlastností .

Poznámka

Po aktualizaci minimální verze protokolu TLS pro obor názvů služby Service Bus může trvat až 30 sekund, než se změna plně rozšíří.

Konfigurace minimální verze protokolu TLS vyžaduje Azure Service Bus poskytovatele prostředků api-version 2022-01-01-preview nebo novější.

Kontrola minimální požadované verze protokolu TLS pro obor názvů

Pokud chcete zkontrolovat minimální požadovanou verzi protokolu TLS pro váš obor názvů služby Service Bus, můžete dotazovat rozhraní API služby Azure Resource Manager. K dotazování na rozhraní API budete potřebovat nosný token, který můžete načíst pomocí ARMClient spuštěním následujících příkazů.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Jakmile budete mít nosný token, můžete k dotazování rozhraní API použít níže uvedený skript v kombinaci s klientem REST .

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Odpověď by měla vypadat podobně jako níže a ve vlastnostech by měla být nastavená hodnota minimumTlsVersion.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium"
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.ServiceBus/Namespaces",
  "location": "West Europe",
  "tags": {},
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": false,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Testování minimální verze protokolu TLS z klienta

Pokud chcete otestovat, že minimální požadovaná verze protokolu TLS pro obor názvů služby Service Bus zakazuje volání provedená se starší verzí, můžete nakonfigurovat klienta tak, aby používal starší verzi protokolu TLS. Další informace o konfiguraci klienta tak, aby používal konkrétní verzi protokolu TLS, najdete v tématu Konfigurace protokolu TLS (Transport Layer Security) pro klientskou aplikaci.

Když klient přistupuje k oboru názvů služby Service Bus pomocí verze protokolu TLS, která nesplňuje minimální verzi protokolu TLS nakonfigurovanou pro obor názvů, vrátí Azure Service Bus kód chyby 401 (Neautorizováno) a zprávu označující, že použitá verze protokolu TLS není povolená pro provádění požadavků na tento obor názvů služby Service Bus.

Poznámka

Když pro obor názvů služby Service Bus nakonfigurujete minimální verzi protokolu TLS, vynutí se tato minimální verze v aplikační vrstvě. Nástroje, které se pokusí zjistit podporu protokolu TLS na vrstvě protokolu, můžou při spuštění přímo proti koncovému bodu oboru názvů služby Service Bus vrátit verze protokolu TLS kromě minimální požadované verze.

Další kroky

Další informace najdete v následující dokumentaci.

• Vynucování minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Service Bus
• Konfigurace protokolu TLS (Transport Layer Security) pro klientskou aplikaci Service Bus
• Použití Azure Policy k auditování dodržování předpisů minimální verze protokolu TLS pro obor názvů služby Service Bus