Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR: Alle API Management-Ebenen
Azure API Management unterstützt mehrere Versionen des Transport Layer Security (TLS)-Protokolls zur Sicherung des API-Datenverkehrs für:
- Client-Seite (Client-zu-API-Verwaltungs-Gateway)
- Back-End-Seite (API-Verwaltungsgateway zum Back-End)
API Management unterstützt außerdem mehrere Verschlüsselungssammlungen, die vom API-Gateway verwendet werden.
Je nach Dienstebene unterstützt die API-Verwaltung TLS-Versionen bis zu 1.2 oder TLS 1.3 für Client- und Back-End-Konnektivität und mehrere unterstützte Verschlüsselungssammlungen. Dieser Leitfaden zeigt Ihnen, wie Sie Protokoll- und Verschlüsselungskonfigurationen für eine Azure API Management-Instanz verwalten können.
Hinweis
- Wenn Sie das selbstgehostete Gateway verwenden, finden Sie Informationen zum Verwalten von TLS-Protokollen und Verschlüsselungssammlungen unter Sicherheit des selbstgehosteten Gateways.
- Die folgenden Dienstebenen unterstützen keine Änderungen an der Konfiguration des Standardverschlüsselungsverfahrens: Consumption, Basic v2, Standard v2, Premium v2.
- In Arbeitsbereichen unterstützt das verwaltete Gateway keine Änderungen am Standardprotokoll und der Konfiguration von Verschlüsselungsverfahren.
Hinweis
Je nach API-Verwaltungsdienstebene können Änderungen bis zu 15 bis 45 Minuten oder länger dauern. Ein Instanz in der Entwicklerdienstebene weist während des Prozesses Ausfallzeiten auf. Bei Instanzen der Ebenen Basic und höher gibt es während des Prozesses keine Ausfallzeiten.
Voraussetzungen
- Eine API Management-Instanz. Erstellen Sie eine, falls nicht schon geschehen.
Navigieren zur API Management-Instanz
Suchen Sie im Azure-Portal nach API-Verwaltungsdiensten, und wählen Sie sie aus:
Wählen Sie auf der Seite "API-Verwaltungsdienste " Ihre API-Verwaltungsinstanz aus:
Verwalten von TLS-Protokollen und Verschlüsselungssammlungen
- Wählen Sie im linken Navigationsbereich Ihrer API Management-Instanz unter Sicherheit die Option Protokolle und Verschlüsselungsverfahren aus.
- Aktivieren bzw. deaktivieren Sie die gewünschten Protokolle oder Verschlüsselungen.
- Wählen Sie Speichern aus.
Hinweis
Einige Protokolle oder Verschlüsselungssammlungen (z. B. Back-End-seitiges TLS 1.2) können nicht über das Azure-Portal aktiviert oder deaktiviert werden. Stattdessen müssen Sie den REST-API-Aufruf anwenden. Verwenden Sie die properties.customProperties-Struktur aus der API Management-Dienst erstellen/aktualisieren REST-API.
TLS 1.3-Unterstützung in klassischen Ebenen
Tls 1.3-Unterstützung ist in den klassischen Dienstebenen der API-Verwaltung (Verbrauch, Entwickler, Basic, Standard und Premium) verfügbar. In den meisten Instanzen, die in diesen Dienstebenen erstellt wurden, ist TLS 1.3 für clientseitige Verbindungen standardmäßig dauerhaft aktiviert. Das Aktivieren von back-endseitigem TLS 1.3 ist optional. TLS 1.2 ist auch standardmäßig auf Client- und Back-End-Seiten aktiviert.
TLS 1.3 ist eine wichtige Überarbeitung des TLS-Protokolls, das verbesserte Sicherheit und Leistung bietet. Es enthält Features wie reduzierte Handshakelatenz und verbesserte Sicherheit gegen bestimmte Arten von Angriffen.
Hinweis
Die v2-Ebenen von API-Verwaltungs- und Arbeitsbereichsgateways unterstützen STANDARDMÄßIG TLS 1.2 für clientseitige und back-endseitige Verbindungen. Sie unterstützen derzeit tls 1.3 nicht.
Aktivieren Sie TLS 1.3 optional, wenn Clients eine erneute Aushandlung des Zertifikats benötigen.
TLS 1.3 unterstützt keine Zertifikatumhandlung. Die Zertifikatumhandlung in TLS ermöglicht es Client und Server, Verbindungsparameter in der Mitte der Sitzung für die Authentifizierung neu zu verhandeln, ohne die Verbindung zu beenden.
Dienste, die wir als abhängig von der Neuverhandlung von Clientzertifikaten identifiziert haben, weisen standardmäßig keine TLS 1.3-Aktivierung auf.
Warnung
Wenn auf Ihre APIs von TLS-kompatiblen Clients zugegriffen wird, die auf zertifikatsbasierten Neuverhandlung basieren, führt die Aktivierung von TLS 1.3 für clientseitige Verbindungen dazu, dass diese Clients keine Verbindung herstellen. Überprüfen Sie APIs, die kürzlich zertifikatsinterne Neuverhandlung verwendet haben, bevor Sie clientseitige TLS 1.3 in einem Dienst aktivieren, der es nicht standardmäßig aktiviert hat.
Um TLS 1.3 für clientseitige Verbindungen in diesen Instanzen zu aktivieren, konfigurieren Sie die Einstellungen auf der Seite "Protokolle + Verschlüsselungen ":
- Wählen Sie auf der Seite "Protokolle + Chiffre" im Abschnitt "Clientprotokoll " neben TLS 1.3 die Option "Konfiguration anzeigen und verwalten" aus.
- Überprüfen Sie die Liste der Neuverhandlungen von aktuellen Clientzertifikaten. In der Liste sind API-Vorgänge aufgeführt, bei denen kürzlich eine Neuaushandlung des Clientzertifikats durch Clients stattgefunden hat.
- Wenn Sie TLS 1.3 für clientseitige Verbindungen aktivieren möchten, wählen Sie "Aktivieren" aus.
- Wählen Sie "Schließen" aus.
Überprüfen Sie nach dem Aktivieren von TLS 1.3 Gatewayanforderungsmetriken oder TLS-bezogene Ausnahmen in Protokollen, die TLS-Verbindungsfehler angeben. Deaktivieren Sie bei Bedarf TLS 1.3 für clientseitige Verbindungen und downgrade auf TLS 1.2.
Wenn Sie TLS 1.3 für clientseitige Verbindungen in diesen Instanzen deaktivieren müssen, konfigurieren Sie einstellungen auf der Seite "Protokolle + Verschlüsselungen ":
- Wählen Sie auf der Seite "Protokolle + Chiffre" im Abschnitt "Clientprotokoll " neben TLS 1.3 die Option "Konfiguration anzeigen und verwalten" aus.
- Wählen Sie "Deaktivieren" aus.
- Wählen Sie "Schließen" aus.
Backend-seitiges TLS 1.3
Das Aktivieren von back-endseitigem TLS 1.3 ist optional. Wenn Sie dies aktivieren, verwendet die API-Verwaltung TLS 1.3 für Verbindungen mit Ihren Back-End-Diensten.
Warnung
Das Aktivieren von TLS 1.3 für Back-End-Verbindungen führt zu Verbindungsfehlern mit Back-End-Diensten, die auf clientbasierten Zertifikatsumhandlungen zwischen API-Verwaltung und Back-End basieren.
Sie können back-endseitiges TLS 1.3 über die Seite "Protokolle + Verschlüsselungen " aktivieren:
- Aktivieren Sie auf der Seite "Protokolle + Chiffre" im Abschnitt " Back-End-Protokoll " die TLS 1.3-Einstellung .
- Wählen Sie Speichern aus.
Verwandte Inhalte
- Empfehlungen zum Sichern Ihrer API Management-Instanz finden Sie unter Azure-Sicherheitsbaseline für API Management.
- Erfahren Sie mehr über Sicherheitsaspekte in der API-Verwaltungsarchitektur bewährte Methoden für die API-Verwaltung.
- Erfahren Sie mehr über TLS.