Configurare la versione minima di TLS per uno spazio dei nomi del bus di servizio
bus di servizio di Azure spazi dei nomi consentono ai client di inviare e ricevere dati con TLS 1.0 e versioni successive. Per applicare misure di sicurezza più rigorose, è possibile configurare lo spazio dei nomi del bus di servizio per richiedere che i client inviino e ricevano dati con una versione più recente di TLS. Se uno spazio dei nomi del bus di servizio richiede una versione minima di TLS, le richieste effettuate con una versione precedente avranno esito negativo. Per informazioni concettuali su questa funzionalità, vedere Applicare una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi del bus di servizio.
È possibile configurare la versione minima di TLS usando il modello portale di Azure o Azure Resource Manager (ARM).
Specificare la versione minima di TLS nella portale di Azure
È possibile specificare la versione minima di TLS durante la creazione di uno spazio dei nomi del bus di servizio nella portale di Azure nella scheda Avanzate.
È anche possibile specificare la versione minima di TLS per uno spazio dei nomi esistente nella pagina Configurazione .
Utilizzare l'interfaccia della riga di comando di Azure
Per creare uno spazio dei nomi con versione minima di TLS impostata su 1.2, usare il az servicebus namespace create comando con --min-tls impostato su 1.2.
az servicebus namespace create \
--name mynamespace \
--resource-group myresourcegroup \
--min-tls 1.2
Usare Azure PowerShell
Per creare uno spazio dei nomi con versione minima di TLS impostata su 1.2, usare il New-AzServiceBusNamespace comando con -MinimumTlsVersion impostato su 1.2.
New-AzServiceBusNamespace `
-ResourceGroup myresourcegroup `
-Name mynamespace `
-MinimumTlsVersion 1.2
Creare un modello per configurare la versione minima di TLS
Per configurare la versione minima di TLS per uno spazio dei nomi del bus di servizio, impostare la MinimumTlsVersion proprietà version su 1.0, 1.1 o 1.2. Quando si crea uno spazio dei nomi del bus di servizio con un modello di Azure Resource Manager, la MinimumTlsVersion proprietà è impostata su 1.2 per impostazione predefinita, a meno che non sia impostata in modo esplicito su un'altra versione.
Nota
Gli spazi dei nomi creati usando una versione api precedente alla versione 2022-01-01-preview avranno 1.0 come valore per MinimumTlsVersion. Questo comportamento era l'impostazione predefinita precedente ed è ancora disponibile per la compatibilità con le versioni precedenti.
I passaggi seguenti descrivono come creare un modello nel portale di Azure.
Nella portale di Azure scegliere Crea una risorsa.
In Cerca nel Marketplace digitare distribuzione personalizzata e quindi premere INVIO.
Scegliere Distribuzione personalizzata (distribuzione con modelli personalizzati) (anteprima), scegliere Crea e quindi scegliere Compila un modello personalizzato nell'editor.
Nell'editor di modelli incollare il codice JSON seguente per creare un nuovo spazio dei nomi e impostare la versione minima di TLS su TLS 1.2. Ricordarsi di sostituire i segnaposto tra parentesi angolari con valori personalizzati.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "variables": { "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]" }, "resources": [ { "name": "[variables('serviceBusNamespaceName')]", "type": "Microsoft.ServiceBus/namespaces", "apiVersion": "2022-01-01-preview", "location": "westeurope", "properties": { "minimumTlsVersion": "1.2" }, "dependsOn": [], "tags": {} } ] }Salvare il modello.
Specificare il parametro del gruppo di risorse, quindi scegliere il pulsante Rivedi e crea per distribuire il modello e creare uno spazio dei nomi con la
MinimumTlsVersionproprietà configurata.
Nota
Dopo aver aggiornato la versione minima di TLS per lo spazio dei nomi del bus di servizio, potrebbero essere necessari fino a 30 secondi prima che la modifica venga propagata completamente.
La configurazione della versione minima di TLS richiede api-version 2022-01-01-preview o versioni successive del provider di risorse bus di servizio di Azure.
Controllare la versione minima di TLS necessaria per uno spazio dei nomi
Per controllare la versione minima di TLS necessaria per lo spazio dei nomi del bus di servizio, è possibile eseguire una query sull'API Resource Manager di Azure. È necessario un token di connessione per eseguire query sull'API, che è possibile recuperare usando ARMClient eseguendo i comandi seguenti.
.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>
Dopo aver ottenuto il token di connessione, è possibile usare lo script seguente in combinazione con un client REST per eseguire query sull'API.
@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>
###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}
La risposta dovrebbe essere simile alla seguente, con il valore minimumTlsVersion impostato nelle proprietà .
{
"sku": {
"name": "Premium",
"tier": "Premium"
},
"id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
"name": "<your-namespace-name>",
"type": "Microsoft.ServiceBus/Namespaces",
"location": "West Europe",
"tags": {},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": false,
"provisioningState": "Succeeded",
"status": "Active"
}
}
Testare la versione minima di TLS da un client
Per verificare che la versione minima di TLS necessaria per uno spazio dei nomi del bus di servizio impedisca le chiamate effettuate con una versione precedente, è possibile configurare un client per l'uso di una versione precedente di TLS. Per altre informazioni sulla configurazione di un client per l'uso di una versione specifica di TLS, vedere Configurare Transport Layer Security (TLS) per un'applicazione client.
Quando un client accede a uno spazio dei nomi del bus di servizio usando una versione TLS che non soddisfa la versione minima di TLS configurata per lo spazio dei nomi, bus di servizio di Azure restituisce il codice di errore 401 (non autorizzato) e un messaggio che indica che la versione TLS usata non è consentita per l'invio di richieste a questo spazio dei nomi del bus di servizio.
Nota
Quando si configura una versione minima di TLS per uno spazio dei nomi del bus di servizio, tale versione minima viene applicata a livello di applicazione. Gli strumenti che tentano di determinare il supporto TLS a livello di protocollo possono restituire versioni TLS oltre alla versione minima richiesta quando vengono eseguiti direttamente sull'endpoint dello spazio dei nomi del bus di servizio.
Passaggi successivi
Per altre informazioni, vedere la documentazione seguente.
- Applicare una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi del bus di servizio
- Configurare Transport Layer Security (TLS) per un'applicazione client del bus di servizio
- Usare Criteri di Azure per controllare la conformità della versione minima di TLS per uno spazio dei nomi del bus di servizio