Az Event Hubs-névtér minimális TLS-verziójának konfigurálása
Azure Event Hubs névterek lehetővé teszik, hogy az ügyfelek TLS 1.0-s vagy újabb verziójú adatokat küldjenek és fogadjanak. A szigorúbb biztonsági intézkedések kikényszerítéséhez konfigurálhatja az Event Hubs-névteret úgy, hogy az ügyfelek a TLS újabb verziójával küldjenek és fogadjanak adatokat. Ha egy Event Hubs-névtérhez a TLS minimális verziója szükséges, akkor a régebbi verzióval küldött kérések sikertelenek lesznek. A szolgáltatással kapcsolatos fogalmi információkért lásd: A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése az Event Hubs-névtérre irányuló kérésekhez.
A minimális TLS-verziót az Azure Portal vagy az Azure Resource Manager (ARM) sablonnal konfigurálhatja.
Adja meg a minimális TLS-verziót a Azure Portal
Az Event Hubs-névtér létrehozásakor megadhatja a minimális TLS-verziót a Speciális lap Azure Portal.
Egy meglévő névtér minimális TLS-verzióját is megadhatja a Konfiguráció lapon.
Sablon létrehozása a minimális TLS-verzió konfigurálásához
Ha sablonnal szeretné konfigurálni egy Event Hubs-névtér minimális TLS-verzióját, hozzon létre egy sablont, MinimumTlsVersion
amelynek tulajdonsága 1.0, 1.1 vagy 1.2. Amikor létrehoz egy Event Hubs-névteret egy Azure Resource Manager-sablonnal, a MinimumTlsVersion
tulajdonság alapértelmezés szerint 1.2-es értékre van állítva, kivéve, ha explicit módon másik verzióra van beállítva.
Megjegyzés
A 2022-01-01-es előzetes verzió előtt api-verzióval létrehozott névterek értéke MinimumTlsVersion
1,0 lesz. Ez a viselkedés volt az előző alapértelmezett, és továbbra is ott van a visszamenőleges kompatibilitás érdekében.
Az alábbi lépések azt mutatják be, hogyan hozhat létre sablont a Azure Portal.
A Azure Portal válassza az Erőforrás létrehozása lehetőséget.
A Keresés a Marketplace-en mezőbe írja be az egyéni üzembe helyezés kifejezést, majd nyomja le az ENTER billentyűt.
Válassza az Egyéni üzembe helyezés (üzembe helyezés egyéni sablonokkal) (előzetes verzió) lehetőséget, válassza a Létrehozás lehetőséget, majd válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.
A sablonszerkesztőben illessze be az alábbi JSON-fájlba egy új névtér létrehozásához, és állítsa a minimális TLS-verziót TLS 1.2-es értékre. Ne felejtse el a szögletes zárójelek helyőrzőit a saját értékeire cserélni.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "variables": { "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]" }, "resources": [ { "name": "[variables('eventHubNamespaceName')]", "type": "Microsoft.EventHub/namespaces", "apiVersion": "2022-01-01-preview", "location": "westeurope", "properties": { "minimumTlsVersion": "1.2" }, "dependsOn": [], "tags": {} } ] }
Mentse a sablont.
Adja meg az erőforráscsoport paraméterét, majd a Felülvizsgálat + létrehozás gombra kattintva helyezze üzembe a sablont, és hozzon létre egy névteret a
MinimumTlsVersion
konfigurált tulajdonsággal.
Megjegyzés
Az Event Hubs-névtér minimális TLS-verziójának frissítése után a módosítás teljes propagálása akár 30 másodpercig is eltarthat.
A minimális TLS-verzió konfigurálásához a Azure Event Hubs erőforrás-szolgáltató api-version 2022-01-01-preview vagy újabb verziója szükséges.
Névtér minimálisan szükséges TLS-verziójának ellenőrzése
Az Event Hubs-névtér minimálisan szükséges TLS-verziójának ellenőrzéséhez lekérdezheti az Azure Resource Manager API-t. Az API-val való lekérdezéshez tulajdonosi jogkivonatra lesz szüksége, amelyet az ARMClient alkalmazással lekérhet az alábbi parancsok végrehajtásával.
.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>
Miután megkapta a tulajdonosi jogkivonatot, az alábbi szkriptet használhatja a REST-ügyfélhez hasonló módon az API lekérdezéséhez.
@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>
###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}
A válasznak az alábbihoz hasonlónak kell kinéznie, és a minimumTlsVersion érték a tulajdonságok alatt van megadva.
{
"sku": {
"name": "Premium",
"tier": "Premium",
"capacity": 1
},
"id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
"name": "<your-namespace-name>",
"type": "Microsoft.EventHub/Namespaces",
"location": "West Europe",
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true,
"provisioningState": "Succeeded",
"status": "Active"
}
}
Az ügyfél minimális TLS-verziójának tesztelése
Annak ellenőrzéséhez, hogy az Event Hubs-névtér minimálisan szükséges TLS-verziója tiltja-e a régebbi verzióval indított hívásokat, konfigurálhat egy ügyfelet a TLS régebbi verziójának használatára. Az ügyfél TLS-verziójának használatára való konfigurálásáról további információt a Transport Layer Security (TLS) konfigurálása ügyfélalkalmazáshoz című témakörben talál.
Ha egy ügyfél olyan TLS-verzióval fér hozzá egy Event Hubs-névtérhez, amely nem felel meg a névtérhez konfigurált minimális TLS-verziónak, Azure Event Hubs a 401-es hibakódot (Jogosulatlan) adja vissza, és egy üzenetet, amely azt jelzi, hogy a használt TLS-verzió nem engedélyezett az Event Hubs-névtérre vonatkozó kérések benyújtásához.
Megjegyzés
A párhuzamos kódtár korlátozásai miatt az érvénytelen TLS-verzióból származó hibák nem jelennek meg a Kafka protokollon keresztüli csatlakozáskor. Ehelyett egy általános kivétel jelenik meg.
Megjegyzés
Ha egy Event Hubs-névtérhez minimális TLS-verziót konfigurál, a rendszer az alkalmazásrétegben érvényesíti a minimális verziót. Azok az eszközök, amelyek megkísérlik meghatározni a TLS-támogatást a protokollrétegben, a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül az Event Hubs névtérvégponton futnak.
Következő lépések
További információt az alábbi cikkekben talál.
- A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése az Event Hubs-névtérre irányuló kérésekhez
- Transport Layer Security (TLS) konfigurálása Event Hubs-ügyfélalkalmazáshoz
- Az Event Hubs-névtér minimális TLS-verziójának megfelelőségének naplózása Azure Policy használatával