Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważny
Zmiany wycofywania
Platforma Azure ogłosiła, że wsparcie dla starszych wersji protokołu TLS (TLS 1.0 i 1.1) kończy się 31 sierpnia 2025 r. Aby uzyskać więcej informacji, zobacz Wycofywanie protokołów TLS 1.0 i 1.1. Od listopada 2024 r. nie będzie już można ustawić minimalnej wersji protokołu TLS dla połączeń klienta usługi Azure SQL Managed Instance poniżej protokołu TLS 1.2.
Minimalne ustawienie wersji protokołu Transport Layer Security (TLS) umożliwia klientom kontrolowanie wersji protokołu TLS używanej przez wystąpienie zarządzane usługi Azure SQL.
Ustawienie Minimalnej wersji protokołu TLS na 1.2 jest obecnie wymuszane dla usługi SQL Managed Instance. Ustawienie minimalnej wersji protokołu TLS gwarantuje, że kolejne nowsze wersje protokołu TLS są obsługiwane. Akceptowane są tylko połączenia korzystające z protokołu TLS 1.2 lub nowszego.
Aby uzyskać więcej informacji, zobacz kwestie protokołu TLS w kontekście łączności z bazą danych SQL.
Po ustawieniu minimalnej wersji protokołu TLS próby logowania klientów korzystających z wersji protokołu TLS niższej niż minimalna wersja protokołu TLS serwera zakończy się niepowodzeniem z powodu następującego błędu:
Error 47072
Login failed with invalid TLS version
Notatka
- Po skonfigurowaniu minimalnej wersji protokołu TLS minimalna wersja jest wymuszana w warstwie aplikacji. Narzędzia, które próbują określić obsługę TLS na poziomie warstwy protokołu, mogą zwracać wersje TLS oprócz wersji minimalnie wymaganej, gdy są uruchamiane bezpośrednio w punkcie końcowym zarządzanego wystąpienia.
- Protokoły TLS 1.0 i 1.1 są wycofane i nie są już dostępne.
Ustawianie minimalnej wersji protokołu TLS za pomocą programu PowerShell
Notatka
W tym artykule użyto modułu Azure Az programu PowerShell, który jest zalecanym modułem programu PowerShell do interakcji z platformą Azure. Aby rozpocząć pracę z modułem Azure PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az programu PowerShell, zobacz Migrate Azure PowerShell from AzureRM to Az.
Ważny
Moduł Azure Resource Manager (AzureRM) programu PowerShell został wycofany 29 lutego 2024 r. Wszystkie przyszłe programowanie powinno używać modułu Az.Sql. Zaleca się migrowanie użytkowników z modułu AzureRM do modułu Az programu PowerShell w celu zapewnienia ciągłej obsługi i aktualizacji. Moduł AzureRM nie jest już utrzymywany ani obsługiwany. Argumenty poleceń w module Az programu PowerShell i modułach AzureRM są zasadniczo identyczne. Aby uzyskać więcej informacji na temat ich zgodności, zobacz Wprowadzenie do nowego modułu Az programu PowerShell.
Poniższy skrypt wymaga modułu Azure PowerShell.
Poniższy skrypt programu PowerShell pokazuje, jak Get i Set właściwość dotycząca minimalnej wersji protokołu TLS na poziomie wystąpienia:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Ustawianie minimalnej wersji protokołu TLS za pośrednictwem interfejsu wiersza polecenia platformy Azure
Ważny
Wszystkie skrypty w tej sekcji wymagają interfejsu wiersza polecenia platformy Azure.
Interfejs wiersza polecenia platformy Azure w powłoce bash
Poniższy skrypt CLI pokazuje, jak zmienić ustawienie Minimalna Wersja TLS w powłoce bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Nadchodzące zmiany wycofania protokołu TLS 1.0 i 1.1 — często zadawane pytania
Platforma Azure ogłosiła, że wsparcie dla starszych wersji protokołu TLS (TLS 1.0 i 1.1) kończy się 31 sierpnia 2025 r. Aby uzyskać więcej informacji, zobacz Wycofywanie protokołów TLS 1.0 i 1.1.
Od listopada 2024 r. nie będzie już można ustawić minimalnej wersji protokołu TLS dla połączeń klienckich usługi Azure SQL Database i usługi Azure SQL Managed Instance poniżej protokołu TLS 1.2.
Dlaczego protokoły TLS 1.0 i 1.1 są wycofywane?
Protokoły TLS w wersji 1.0 i 1.1 są nieaktualne i nie spełniają już nowoczesnych standardów zabezpieczeń. Są one wycofywane do:
- Zmniejsz narażenie na znane luki w zabezpieczeniach.
- Zgodność z najlepszymi rozwiązaniami branżowymi i wymaganiami dotyczącymi zgodności.
- Upewnij się, że klienci korzystają z silniejszych protokołów szyfrowania, takich jak TLS 1.2 lub TLS 1.3.
Co się stanie, jeśli po 31 sierpnia 2025 r. są używane protokoły TLS 1.0 i 1.1?
Po 31 sierpnia 2025 r. protokoły TLS 1.0 i 1.1 nie będą już obsługiwane, a połączenia korzystające z protokołów TLS 1.0 i 1.1 prawdopodobnie nie powiedzą się. Przed upływem terminu należy przejść do co najmniej protokołu TLS 1.2 lub nowszego.
Jak sprawdzić, czy moje wystąpienia usługi SQL Database, SQL Managed Instance, Cosmos DB lub MySQL używają protokołu TLS 1.0/1.1?
Aby zidentyfikować klientów łączących się z usługą Azure SQL Database przy użyciu protokołów TLS 1.0 i 1.1, należy włączyć dzienniki inspekcji SQL . Po włączeniu inspekcji można wyświetlać połączenia klientów.
Aby zidentyfikować klientów łączących się z usługą Azure SQL Managed Instance przy użyciu protokołów TLS 1.0 i 1.1, należy włączyć inspekcję . Po włączeniu inspekcji można używać dzienników inspekcji za pomocą usługi Azure Storage, usługi Event Hubs lub dzienników usługi Azure Monitor, aby wyświetlić połączenia klientów.
Aby sprawdzić minimalną wersję protokołu TLS usługi Azure Cosmos DB, pobierz bieżącą wartość
minimalTlsVersionwłaściwości przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.Aby sprawdzić minimalną wersję protokołu TLS skonfigurowaną dla serwera usługi Azure Database for MySQL, sprawdź wartość parametru
tls_versionserwera przy użyciu interfejsu wiersza polecenia MySQL, aby zrozumieć, jakie protokoły są skonfigurowane.
Dlaczego moja usługa została oflagowana, jeśli skonfigurowano już protokół TLS 1.2?
Usługi mogą być niepoprawnie oflagowane z powodu:
- Sporadyczne powrót do starszych wersji protokołu TLS przez starszych klientów.
- Błędnie skonfigurowane biblioteki klienta lub parametry połączenia, które nie wymuszają protokołu TLS 1.2.
- Opóźnienie danych telemetrycznych lub fałszywie dodatnie w logice wykrywania.
Co należy zrobić, jeśli otrzymano powiadomienie o wycofaniu w błędzie?
Jeśli serwer lub baza danych jest już skonfigurowana z minimalnym protokołem TLS 1.2 lub skonfigurowana bez minimalnego protokołu TLS (ustawienie domyślne w usłudze SQL Database i usłudze SQL Managed Instance minimalTLSVersion mapowane na 0) i nawiązywanie połączenia z 1.2, nie jest wymagana żadna akcja.
Co się stanie, jeśli moja aplikacja lub biblioteka kliencka nie obsługuje protokołu TLS 1.2?
Połączenia nie po wyłączeniu protokołu TLS 1.0/1.1. Należy uaktualnić biblioteki klienta, sterowniki lub struktury do wersji obsługujących protokół TLS 1.2.
Co zrobić, jeśli mój serwer jest skonfigurowany bez minimalnej wersji protokołu TLS?
Serwery skonfigurowane bez minimalnej wersji protokołu TLS i nawiązywanie połączenia z protokołem TLS 1.0/1.1 powinny zostać uaktualnione do minimalnej wersji 1.2 protokołu TLS. W przypadku serwerów skonfigurowanych bez minimalnej wersji protokołu TLS i nawiązywania połączenia z wersją 1.2 nie jest wymagana żadna akcja. W przypadku serwerów skonfigurowanych bez minimalnej wersji protokołu TLS i używania szyfrowanych połączeń nie jest wymagana żadna akcja.
Jak otrzymam powiadomienie o wycofaniu protokołu TLS dla moich zasobów?
Przypomnienia e-mail będą nadal prowadzić do wycofania protokołu TLS 1.0 i 1.1 w sierpniu.
Z kim mogę się skontaktować, jeśli potrzebuję pomocy przy weryfikowaniu lub aktualizowaniu ustawień protokołu TLS?
Jeśli potrzebujesz pomocy przy weryfikowaniu lub aktualizowaniu ustawień protokołu TLS, skontaktuj się z firmą Microsoft Q&A lub otwórz bilet pomocy technicznej przy użyciu witryny Azure Portal, jeśli masz plan pomocy technicznej.