Megosztás a következőn keresztül:

Protokollok és titkosítások kezelése az Azure API Managementben

ÉRVÉNYES: Minden API-kezelési szint

Az Azure API Management a Transport Layer Security (TLS) protokoll több verzióját is támogatja az API-forgalom védelméhez:

  • Ügyféloldal (ügyfél–API Management-átjáró)
  • Háttéroldal (API Management gateway to backend)

Az API Management az API-átjáró által használt titkosítócsomagok közül többet is támogat.

A szolgáltatási szinttől függően az API Management az 1.2-es vagy a TLS 1.3-ig tartó TLS-verziókat támogatja az ügyfél- és háttérkapcsolatokhoz, valamint számos támogatott titkosítási csomaghoz. Ebből az útmutatóból megtudhatja, hogyan kezelheti a protokollokat és titkosításokat az Azure API Management-példányokon.

Képernyőkép az Azure Portal protokolljainak és titkosításainak kezeléséről.

Feljegyzés

  • Ha a saját üzemeltetésű átjárót használja, tekintse meg a saját üzemeltetésű átjáró biztonságát a TLS-protokollok és a titkosítási csomagok kezeléséhez.
  • A következő szintek nem támogatják az alapértelmezett titkosítási konfiguráció módosítását: Fogyasztás, Alapszintű v2, Standard v2, Prémium v2.
  • A munkaterületeken a felügyelt átjáró nem támogatja az alapértelmezett protokoll és titkosítási konfiguráció módosítását.

Feljegyzés

Az API Management szolgáltatásszinttől függően a módosítások alkalmazása akár 15–45 percet is igénybe vehet. A fejlesztői szolgáltatási szint egy példánya állásidőre kényszerül a folyamat alatt. Az alapszintű és a magasabb osztályú példányok nem tapasztalnak kiesést a folyamat során.

Előfeltételek

Nyissa meg az API Management-példányát

  1. Az Azure portálonkeresse meg és válassza ki a API Management szolgáltatásokat:

    képernyőkép, amely az API Management-szolgáltatásokat jeleníti meg a keresési eredmények között.

  2. Az API Management-szolgáltatások lapon válassza ki az API Management-példányt:

    Képernyőkép, amely egy API Management-példányt jelenít meg az API Management szolgáltatások lapján.

TLS-protokollok és titkosítási csomagok kezelése

  1. Az API Management-példány bal oldali navigációs sávján, a Biztonság területen válassza a Protokollok + titkosítások lehetőséget.
  2. Engedélyezze vagy tiltsa le a kívánt protokollokat vagy titkosításokat.
  3. Válassza a Mentés lehetőséget.

Feljegyzés

Egyes protokollok vagy titkosítási csomagok (például háttéroldali TLS 1.2) nem engedélyezhetők vagy tilthatók le az Azure Portalon. Ehelyett a REST API-hívást kell alkalmaznia. Használja a struktúrát properties.customProperties a CREATE/Update API Management Service REST API-ban.

TLS 1.3-támogatás klasszikus szinteken

A TLS 1.3-támogatás a klasszikus API Management szolgáltatási szinteken (Használat, Fejlesztő, Alapszintű, Standard és Prémium) érhető el. Az ezekben a szolgáltatási szintekben létrehozott legtöbb esetben a TLS 1.3 alapértelmezés szerint engedélyezve van az ügyféloldali kapcsolatok esetében. A háttéroldali TLS 1.3 engedélyezése nem kötelező. A TLS 1.2 alapértelmezés szerint az ügyfél és a háttéroldalon is engedélyezve van.

A TLS 1.3 a TLS protokoll egyik fő változata, amely jobb biztonságot és teljesítményt biztosít. Olyan funkciókat tartalmaz, mint a kézfogási késés csökkentése és bizonyos típusú támadások elleni fokozott biztonság.

Feljegyzés

Az API Management és a munkaterület-átjárókv2 szintjei alapértelmezés szerint támogatják a TLS 1.2-t az ügyféloldali és a háttéroldali kapcsolatok esetében. Jelenleg nem támogatják a TLS 1.3-at.

Opcionálisan engedélyezheti a TLS 1.3-at, ha az ügyfelek tanúsítvány-újratárgyalást igényelnek

A TLS 1.3 nem támogatja a tanúsítványok újratárgyalását. A tanúsítvány újratárgyalása a TLS-ben lehetővé teszi, hogy az ügyfél és a kiszolgáló újratárgyalja a kapcsolat paramétereit a hitelesítéshez a kapcsolat megszüntetése nélkül.

Az ügyféltanúsítvány újratárgyalására támaszkodóként azonosított szolgáltatások esetében alapértelmezés szerint nincs engedélyezve a TLS 1.3.

Figyelmeztetés

Ha az API-kat olyan TLS-kompatibilis ügyfelek érik el, amelyek tanúsítvány-újratárgyalásra támaszkodnak, a TLS 1.3 engedélyezése az ügyféloldali kapcsolatok esetében a csatlakozás sikertelen lesz. Az ügyféloldali TLS 1.3 engedélyezése előtt tekintse át azokat az API-kat, amelyek nemrég tanúsítvány-újratárgyalást alkalmaztak minden olyan szolgáltatásban, amely alapértelmezés szerint nincs engedélyezve.

Ha engedélyezni szeretné a TLS 1.3-at ezekben a példányokban az ügyféloldali kapcsolatokhoz, konfigurálja a Protokollok + titkosítások lapon található beállításokat:

  1. A Protokollok + titkosítás lapÜgyfélprotokollszakaszában, a TLS 1.3 mellett válassza a Konfiguráció megtekintése és kezelése lehetőséget.
  2. Tekintse át a legutóbbi ügyféltanúsítvány-újratárgyalások listáját. A lista olyan API-műveleteket mutat be, ahol az ügyfelek nemrégiben újratárgyalták az ügyféltanúsítványokat.
  3. Ha úgy dönt, hogy engedélyezi a TLS 1.3-at az ügyféloldali kapcsolatokhoz, válassza az Engedélyezés lehetőséget.
  4. Válassza a Bezárás lehetőséget.

A TLS 1.3 engedélyezése után tekintse át az átjárókérési metrikákat vagy a TLS-hez kapcsolódó kivételeket a TLS-kapcsolat hibáit jelző naplókban. Ha szükséges, tiltsa le a TLS 1.3-at az ügyféloldali kapcsolatok esetében, és lépjen vissza a TLS 1.2-be.

Ha le kell tiltania a TLS 1.3-at ezekben a példányokban az ügyféloldali kapcsolatok esetében, konfigurálja a beállításokat a Protokollok + rejtjelek lapon:

  1. A Protokollok + titkosítás lapÜgyfélprotokollszakaszában, a TLS 1.3 mellett válassza a Konfiguráció megtekintése és kezelése lehetőséget.
  2. Válassza a Letiltás lehetőséget.
  3. Válassza a Bezárás lehetőséget.

Háttéroldali TLS 1.3

A háttéroldali TLS 1.3 engedélyezése nem kötelező. Ha engedélyezi, az API Management a TLS 1.3-at használja a háttérszolgáltatásokhoz való kapcsolatokhoz.

Figyelmeztetés

Ha engedélyezi a TLS 1.3-at háttéroldali kapcsolatokhoz, az az ügyféltanúsítvány-újratárgyalásra támaszkodó háttérszolgáltatások és a háttérrendszerek kapcsolati hibáit fogja okozni.

A háttéroldali TLS 1.3-at a Protokollok + titkosítások lapon engedélyezheti:

  1. A Protokollok + titkosítás lapHáttérprotokoll szakaszában engedélyezze a TLS 1.3 beállítást.
  2. Válassza a Mentés lehetőséget.

Kapcsolódó tartalom

  • Last updated on