Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Wszystkie warstwy usługi API Management
Usługa Azure API Management obsługuje wiele wersji protokołu Transport Layer Security (TLS) w celu zabezpieczenia ruchu interfejsu API dla:
- Po stronie klienta (klient do bramy usługi API Management)
- Strona zaplecza (brama usługi API Management do zaplecza)
Usługa API Management obsługuje również wiele zestawów szyfrowania używanych przez bramę interfejsu API.
W zależności od warstwy usług usługa API Management obsługuje wersje tls do 1.2 lub TLS 1.3 na potrzeby łączności klienta i zaplecza oraz kilku obsługiwanych zestawów szyfrowania. W tym przewodniku pokazano, jak zarządzać protokołami i konfiguracją szyfrowania w przypadku wystąpienia usługi Azure API Management.
Uwaga
- Jeśli używasz własnej bramy, zobacz Zabezpieczenia bramy hostowanej samodzielnie, aby zarządzać protokołami TLS i zestawami szyfrowania.
- Następujące warstwy nie obsługują zmian w domyślnej konfiguracji szyfrowania: Konsumpcja, Podstawowa v2, Standardowa v2, Premium v2.
- W obszarach roboczych brama zarządzana nie obsługuje zmian w domyślnej konfiguracji protokołu i szyfrowania.
Uwaga
W zależności od warstwy usługi API Management zmiany mogą potrwać od 15 do 45 minut lub dłużej. Instancja w warstwie usługowej Deweloper ma przestój podczas procesu. Wystąpienia na poziomach Podstawowa i wyższa nie mają przerw podczas procesu.
Wymagania wstępne
- Instancja API Management. Utwórz go, jeśli jeszcze tego nie zrobiono.
Przechodzenie do wystąpienia usługi API Management
W portalu Azure wyszukaj i wybierz usługi API Management.
Na stronie usług API Management wybierz instancję API Management.
Jak zarządzać protokołami TLS i zestawami szyfrowania
- W lewym obszarze nawigacji wystąpienia usługi API Management w obszarze Zabezpieczenia wybierz pozycję Protokoły i szyfry.
- Włącz lub wyłącz żądane protokoły lub szyfry.
- Wybierz pozycję Zapisz.
Uwaga
Niektórych protokołów lub zestawów szyfrowania (takich jak protokół TLS 1.2 po stronie zaplecza) nie można włączyć ani wyłączyć w witrynie Azure Portal. Zamiast tego należy zastosować wywołanie interfejsu API REST. Użyj struktury properties.customProperties w interfejsie REST tworzenia/aktualizowania usługi API Management.
Obsługa protokołu TLS 1.3 w warstwach klasycznych
Obsługa protokołu TLS 1.3 jest dostępna w klasycznych warstwach usług usługi API Management (Zużycie, Deweloper, Podstawowa, Standardowa i Premium). W większości wystąpień utworzonych w tych warstwach usług protokół TLS 1.3 jest domyślnie włączony dla połączeń po stronie klienta. Włączenie protokołu TLS 1.3 po stronie zaplecza jest opcjonalne. Protokół TLS 1.2 jest również domyślnie włączony zarówno po stronie klienta, jak i zaplecza.
Protokół TLS 1.3 jest główną poprawką protokołu TLS, która zapewnia lepsze zabezpieczenia i wydajność. Obejmuje ona funkcje, takie jak mniejsze opóźnienie handshake'u i poprawione zabezpieczenia przed niektórymi rodzajami ataków.
Uwaga
Warstwy v2 zarządzania API i bramy roboczej przestrzeni domyślnie obsługują protokół TLS 1.2 dla połączeń po stronie klienta oraz zaplecza. Obecnie nie obsługują protokołu TLS 1.3.
Opcjonalnie włącz protokół TLS 1.3, gdy klienci wymagają ponownego negocjowania certyfikatów
Protokół TLS 1.3 nie obsługuje ponownego negocjowania certyfikatów. Renegocjacja certyfikatów w protokole TLS umożliwia klientowi i serwerowi renegocjację parametrów połączenia w połowie sesji na potrzeby uwierzytelniania bez przerywania połączenia.
Usługi, które zidentyfikowaliśmy jako zależne od renegocjacji certyfikatu klienta, nie mają domyślnie włączonego protokołu TLS 1.3.
Ostrzeżenie
Jeśli interfejsy API są dostępne przez klientów zgodnych z protokołem TLS, którzy polegają na renegocjacji certyfikatów, włączenie protokołu TLS 1.3 dla połączeń po stronie klienta spowoduje, że ci klienci nie będą się łączyć. Przed włączeniem protokołu TLS 1.3 po stronie klienta sprawdź interfejsy API, które ostatnio używały ponownego negocjowania certyfikatu, w jakiejkolwiek usłudze, która nie ma go domyślnie włączona.
Aby włączyć protokół TLS 1.3 dla połączeń po stronie klienta w tych wystąpieniach, skonfiguruj ustawienia na stronie Protokoły i szyfry :
- Na stronie Protokoły i szyfry w sekcji Protokół klienta obok pozycji TLS 1.3 wybierz pozycję Wyświetl konfigurację i zarządzaj nią.
- Przejrzyj listę ostatnich renegocjacji certyfikatów klienta. Lista zawiera operacje interfejsu API, w których klienci ostatnio używali ponownego negocjowania certyfikatu klienta.
- Jeśli zdecydujesz się włączyć protokół TLS 1.3 dla połączeń po stronie klienta, wybierz pozycję Włącz.
- Wybierz Zamknij.
Po włączeniu protokołu TLS 1.3 przejrzyj metryki żądań bramy lub wyjątki związane z protokołem TLS w dziennikach wskazujących błędy połączenia TLS. W razie potrzeby wyłącz protokół TLS 1.3 dla połączeń po stronie klienta i przejdź na protokół TLS 1.2.
Jeśli musisz wyłączyć protokół TLS 1.3 dla połączeń po stronie klienta w tych wystąpieniach, skonfiguruj ustawienia na stronie Protokoły i szyfry :
- Na stronie Protokoły i szyfry w sekcji Protokół klienta obok pozycji TLS 1.3 wybierz pozycję Wyświetl konfigurację i zarządzaj nią.
- Wybierz pozycję Wyłącz.
- Wybierz Zamknij.
Protokół TLS 1.3 po stronie zaplecza
Włączenie protokołu TLS 1.3 po stronie zaplecza jest opcjonalne. Jeśli ją włączysz, usługa API Management używa protokołu TLS 1.3 do połączeń z usługami zaplecza.
Ostrzeżenie
Włączenie protokołu TLS 1.3 dla połączeń po stronie zaplecza spowoduje błędy połączeń z usługami zaplecza, które polegają na renegocjacji certyfikatu klienta między usługami API Management i zaplecza.
Protokół TLS 1.3 po stronie zaplecza można włączyć na stronie Protokoły i szyfry :
- Na stronie Protokoły i szyfry w sekcji Protokół zaplecza włącz ustawienie TLS 1.3 .
- Wybierz pozycję Zapisz.
Powiązana zawartość
- Aby uzyskać zalecenia dotyczące zabezpieczania wystąpienia usługi API Management, zobacz Punkt odniesienia zabezpieczeń platformy Azure dla usługi API Management.
- Dowiedz się więcej o zagadnieniach dotyczących zabezpieczeń w zarządzaniu API Najlepsze praktyki architektoniczne dla zarządzania API.
- Dowiedz się więcej o protokole TLS.