Share via

Az Event Hubs-névtér minimális TLS-verziójának konfigurálása

  • Cikk

Azure Event Hubs névterek lehetővé teszik, hogy az ügyfelek TLS 1.0-s vagy újabb verziójú adatokat küldjenek és fogadjanak. A szigorúbb biztonsági intézkedések kikényszerítéséhez konfigurálhatja az Event Hubs-névteret úgy, hogy az ügyfelek a TLS újabb verziójával küldjenek és fogadjanak adatokat. Ha egy Event Hubs-névtérhez a TLS minimális verziója szükséges, akkor a régebbi verzióval küldött kérések sikertelenek lesznek. A szolgáltatással kapcsolatos fogalmi információkért lásd: A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése az Event Hubs-névtérre irányuló kérésekhez.

A minimális TLS-verziót az Azure Portal vagy az Azure Resource Manager (ARM) sablonnal konfigurálhatja.

Adja meg a minimális TLS-verziót a Azure Portal

Az Event Hubs-névtér létrehozásakor megadhatja a minimális TLS-verziót a Speciális lap Azure Portal.

Képernyőkép a névtér létrehozásakor a minimális TLS-verzió beállítására vonatkozó oldalról.

Egy meglévő névtér minimális TLS-verzióját is megadhatja a Konfiguráció lapon.

Képernyőkép egy meglévő névtér minimális TLS-verziójának beállítására szolgáló oldalról.

Sablon létrehozása a minimális TLS-verzió konfigurálásához

Ha sablonnal szeretné konfigurálni egy Event Hubs-névtér minimális TLS-verzióját, hozzon létre egy sablont, MinimumTlsVersion amelynek tulajdonsága 1.0, 1.1 vagy 1.2. Amikor létrehoz egy Event Hubs-névteret egy Azure Resource Manager-sablonnal, a MinimumTlsVersion tulajdonság alapértelmezés szerint 1.2-es értékre van állítva, kivéve, ha explicit módon másik verzióra van beállítva.

Megjegyzés

A 2022-01-01-es előzetes verzió előtt api-verzióval létrehozott névterek értéke MinimumTlsVersion1,0 lesz. Ez a viselkedés volt az előző alapértelmezett, és továbbra is ott van a visszamenőleges kompatibilitás érdekében.

Az alábbi lépések azt mutatják be, hogyan hozhat létre sablont a Azure Portal.

  1. A Azure Portal válassza az Erőforrás létrehozása lehetőséget.

  2. A Keresés a Marketplace-en mezőbe írja be az egyéni üzembe helyezés kifejezést, majd nyomja le az ENTER billentyűt.

  3. Válassza az Egyéni üzembe helyezés (üzembe helyezés egyéni sablonokkal) (előzetes verzió) lehetőséget, válassza a Létrehozás lehetőséget, majd válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.

  4. A sablonszerkesztőben illessze be az alábbi JSON-fájlba egy új névtér létrehozásához, és állítsa a minimális TLS-verziót TLS 1.2-es értékre. Ne felejtse el a szögletes zárójelek helyőrzőit a saját értékeire cserélni.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
    },
    "resources": [
        {
        "name": "[variables('eventHubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "apiVersion": "2022-01-01-preview",
        "location": "westeurope",
        "properties": {
            "minimumTlsVersion": "1.2"
        },
        "dependsOn": [],
        "tags": {}
        }
    ]
}

  5. Mentse a sablont.

  6. Adja meg az erőforráscsoport paraméterét, majd a Felülvizsgálat + létrehozás gombra kattintva helyezze üzembe a sablont, és hozzon létre egy névteret a MinimumTlsVersion konfigurált tulajdonsággal.

Megjegyzés

Az Event Hubs-névtér minimális TLS-verziójának frissítése után a módosítás teljes propagálása akár 30 másodpercig is eltarthat.

A minimális TLS-verzió konfigurálásához a Azure Event Hubs erőforrás-szolgáltató api-version 2022-01-01-preview vagy újabb verziója szükséges.

Névtér minimálisan szükséges TLS-verziójának ellenőrzése

Az Event Hubs-névtér minimálisan szükséges TLS-verziójának ellenőrzéséhez lekérdezheti az Azure Resource Manager API-t. Az API-val való lekérdezéshez tulajdonosi jogkivonatra lesz szüksége, amelyet az ARMClient alkalmazással lekérhet az alábbi parancsok végrehajtásával.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Miután megkapta a tulajdonosi jogkivonatot, az alábbi szkriptet használhatja a REST-ügyfélhez hasonló módon az API lekérdezéséhez.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

A válasznak az alábbihoz hasonlónak kell kinéznie, és a minimumTlsVersion érték a tulajdonságok alatt van megadva.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Az ügyfél minimális TLS-verziójának tesztelése

Annak ellenőrzéséhez, hogy az Event Hubs-névtér minimálisan szükséges TLS-verziója tiltja-e a régebbi verzióval indított hívásokat, konfigurálhat egy ügyfelet a TLS régebbi verziójának használatára. Az ügyfél TLS-verziójának használatára való konfigurálásáról további információt a Transport Layer Security (TLS) konfigurálása ügyfélalkalmazáshoz című témakörben talál.

Ha egy ügyfél olyan TLS-verzióval fér hozzá egy Event Hubs-névtérhez, amely nem felel meg a névtérhez konfigurált minimális TLS-verziónak, Azure Event Hubs a 401-es hibakódot (Jogosulatlan) adja vissza, és egy üzenetet, amely azt jelzi, hogy a használt TLS-verzió nem engedélyezett az Event Hubs-névtérre vonatkozó kérések benyújtásához.

Megjegyzés

A párhuzamos kódtár korlátozásai miatt az érvénytelen TLS-verzióból származó hibák nem jelennek meg a Kafka protokollon keresztüli csatlakozáskor. Ehelyett egy általános kivétel jelenik meg.

Megjegyzés

Ha egy Event Hubs-névtérhez minimális TLS-verziót konfigurál, a rendszer az alkalmazásrétegben érvényesíti a minimális verziót. Azok az eszközök, amelyek megkísérlik meghatározni a TLS-támogatást a protokollrétegben, a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül az Event Hubs névtérvégponton futnak.

Következő lépések

További információt az alábbi cikkekben talál.