Configurar o Transport Layer Security (TLS) para uma aplicação cliente

Para fins de segurança, uma conta de Armazenamento do Azure pode exigir que os clientes utilizem uma versão mínima do Transport Layer Security (TLS) para enviar pedidos. As chamadas para o Armazenamento do Azure falharão se o cliente estiver a utilizar uma versão do TLS inferior à versão mínima necessária. Por exemplo, se uma conta de armazenamento precisar do TLS 1.2, um pedido enviado por um cliente que esteja a utilizar o TLS 1.1 falhará.

Este artigo descreve como configurar uma aplicação cliente para utilizar uma versão específica do TLS. Para obter informações sobre como configurar uma versão mínima necessária do TLS para uma conta de Armazenamento do Azure, veja Configurar a versão mínima necessária do Transport Layer Security (TLS) para uma conta de armazenamento.

Configurar a versão do TLS do cliente

Para que um cliente envie um pedido com uma versão específica do TLS, o sistema operativo tem de suportar essa versão.

Os exemplos seguintes mostram como definir a versão do TLS do cliente para 1.2 a partir do PowerShell ou .NET. O .NET Framework utilizado pelo cliente tem de suportar o TLS 1.2. Para obter mais informações, consulte Suporte para O TLS 1.2.

PowerShell

O exemplo seguinte mostra como ativar o TLS 1.2 num cliente do PowerShell:

# Set the TLS version used by the PowerShell client to TLS 1.2.
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;

# Create a new container.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
New-AzStorageContainer -Name "sample-container" -Context $ctx

.NET

O exemplo seguinte mostra como ativar o TLS 1.2 num cliente .NET com a versão 12 da biblioteca de cliente do Armazenamento do Microsoft Azure:

public static async Task ConfigureTls12()
{
    // Enable TLS 1.2 before connecting to Azure Storage
    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.
    string connectionString = "";

    // Create a new container with Shared Key authorization.
    BlobContainerClient containerClient = new BlobContainerClient(connectionString, "sample-container");
    await containerClient.CreateIfNotExistsAsync();
}

Verificar a versão do TLS utilizada por um cliente

Para verificar se a versão especificada do TLS foi utilizada pelo cliente para enviar um pedido, pode utilizar o Fiddler ou uma ferramenta semelhante. Abra o Fiddler para começar a capturar o tráfego de rede do cliente e, em seguida, execute um dos exemplos na secção anterior. Observe o rastreio do Fiddler para confirmar que a versão correta do TLS foi utilizada para enviar o pedido, conforme mostrado na imagem seguinte.

Passos seguintes

• Configurar a versão mínima necessária do Transport Layer Security (TLS) para uma conta de armazenamento
• Recomendações de segurança para o armazenamento de Blobs