Configuración de Seguridad de la capa de transporte (TLS) para una aplicación cliente

Por motivos de seguridad, las cuentas de Azure Storage pueden exigir a los clientes que usen una versión mínima de Seguridad de la capa de transporte (TLS) para enviar solicitudes. Si el cliente usa una versión de TLS inferior a la versión mínima necesaria, se producirá un error en las llamadas a Azure Storage. Por ejemplo, si una cuenta de almacenamiento requiere TLS 1.2, las solicitudes enviadas por un cliente que use TLS 1.1 generarán un error.

En este artículo se describe cómo configurar una aplicación cliente para usar una versión determinada de TLS. Para información sobre cómo configurar una versión mínima necesaria de TLS para una cuenta de Azure Storage, consulte Configuración de la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento.

Configuración de la versión de TLS del cliente

Para que un cliente envíe una solicitud con una versión determinada de TLS, el sistema operativo debe ser compatible con esa versión.

En los siguientes ejemplos se muestra cómo establecer la versión de TLS del cliente en la 1.2 desde PowerShell o .NET. La versión de .NET Framework que utiliza el cliente debe admitir TLS 1.2. Para más información, consulte Compatibilidad con TLS 1.2.

PowerShell

En el ejemplo siguiente se muestra cómo habilitar TLS 1.2 en el cliente de PowerShell.

# Set the TLS version used by the PowerShell client to TLS 1.2.
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;

# Create a new container.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
New-AzStorageContainer -Name "sample-container" -Context $ctx

.NET

En el ejemplo siguiente se muestra cómo habilitar TLS 1.2 en un cliente .NET con la versión 12 de la biblioteca cliente de Azure Storage:

public static async Task ConfigureTls12()
{
    // Enable TLS 1.2 before connecting to Azure Storage
    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.
    string connectionString = "";

    // Create a new container with Shared Key authorization.
    BlobContainerClient containerClient = new BlobContainerClient(connectionString, "sample-container");
    await containerClient.CreateIfNotExistsAsync();
}

Comprobación de la versión de TLS utilizada por un cliente

Para comprobar que el cliente usó la versión especificada de TLS para enviar una solicitud, puede usar Fiddler o una herramienta similar. Abra Fiddler para empezar a capturar el tráfico de red del cliente y, luego, ejecute uno de los ejemplos de la sección anterior. Examine el seguimiento de Fiddler para confirmar que se usó la versión correcta de TLS para enviar la solicitud, como se muestra en la siguiente imagen.

Pasos siguientes

• Configuración de la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento
• Recomendaciones de seguridad para Blob Storage