Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
ОБЛАСТЬ ПРИМЕНЕНИЯ: все уровни управления API
Azure Управление API поддерживает несколько версий протокола TLS для защиты трафика API для:
- Клиентская сторона (клиентский шлюз управления API)
- Серверная часть (шлюз управления API для серверной части)
Кроме того, Управление API поддерживает несколько наборов шифров, используемых шлюзом API.
В зависимости от уровня служб управление API поддерживает версии TLS до 1.2 или TLS 1.3 для подключения клиента и серверной части и нескольких поддерживаемых наборов шифров. В этом руководстве показано, как управлять конфигурациями протоколов и шифров для экземпляра Управления API Azure.
Примечание.
- Если вы используете локальный шлюз, ознакомьтесь с безопасностью локального шлюза для управления протоколами TLS и наборами шифров.
- Следующие уровни не поддерживают изменения конфигурации шифров по умолчанию: Consumption, Basic v2, Standard v2, Premium v2.
- В рабочих областях управляемый шлюз не поддерживает изменения протокола по умолчанию и конфигурации шифров.
Примечание.
В зависимости от уровня службы управления API изменения могут занять 15–45 минут или больше. Экземпляр на уровне служб разработчика испытывает время простоя в процессе выполнения. Экземпляры на базовом и более высоких уровнях не испытывают простоя во время выполнения процесса.
Предварительные условия
- Экземпляр API управления. Создайте его, если у вас его нет.
Перейдите к своему экземпляру управления API.
На портале Azure найдите и выберите службы управления API:
На странице управления API выберите ваш экземпляр службы управления API:
Управление протоколами TLS и наборами шифров
- В левой области навигации экземпляра Управление API в разделе "Безопасность" выберите "Протоколы + шифры".
- Включите или отключите нужные протоколы или шифры.
- Выберите Сохранить.
Примечание.
Некоторые протоколы или наборы шифров (например, серверная часть TLS 1.2) не могут быть включены или отключены из портал Azure. Вместо этого необходимо применить вызов REST API. Используйте структуру properties.customProperties в REST API для создания/обновления службы управления API.
Поддержка TLS 1.3 на классических уровнях
Поддержка TLS 1.3 доступна на классических уровнях служб управления API (потребление, разработчик, базовый, стандартный и премиум). В большинстве экземпляров, созданных на этих уровнях служб, протокол TLS 1.3 по умолчанию включен для клиентских подключений. Включение серверной части TLS 1.3 является необязательным. ПРОТОКОЛ TLS 1.2 также включен по умолчанию как на стороне клиента, так и во внутренней части.
TLS 1.3 — это основная редакция протокола TLS, которая обеспечивает улучшенную безопасность и производительность. Он включает такие функции, как снижение задержки подтверждения и улучшенная безопасность для определенных типов атак.
Примечание.
Уровни управления API и рабочих областейверсии 2 поддерживают TLS 1.2 по умолчанию для клиентских и внутренних подключений. В настоящее время они не поддерживают TLS 1.3.
При необходимости включите TLS 1.3, если для клиентов требуется повторное согласование сертификатов
TLS 1.3 не поддерживает повторное согласование сертификатов. Повторное согласование сертификатов в TLS позволяет клиенту и серверу перенастраивать параметры подключения в середине сеанса для проверки подлинности без прекращения подключения.
Службы, которые мы определили как зависящие от повторного согласования сертификата клиента, по умолчанию не включают TLS 1.3.
Предупреждение
Если к api-интерфейсам обращаются клиенты, совместимые с TLS, использующие повторное согласование сертификатов, включение TLS 1.3 для клиентских подключений приведет к сбою подключения этих клиентов. Просмотрите API, которые недавно использовали повторное представление сертификата, прежде чем включить протокол TLS 1.3 на стороне клиента в любой службе, которая не включает его по умолчанию.
Чтобы включить TLS 1.3 для клиентских подключений в этих экземплярах, настройте параметры на странице протоколов и шифров :
- На странице "Протоколы + шифры" в разделе протокола клиента рядом с TLS 1.3 выберите "Просмотр конфигурации" и "Управление ими".
- Просмотрите список повторных выводов сертификатов клиента. В списке показаны операции API, в которых клиенты недавно использовали сертификат клиента.
- Если вы решили включить TLS 1.3 для клиентских подключений, нажмите кнопку "Включить".
- Нажмите кнопку "Закрыть".
После включения TLS 1.3 просмотрите метрики запросов шлюза или исключения, связанные с TLS, в журналах, которые указывают на сбои подключения TLS. При необходимости отключите TLS 1.3 для клиентских подключений и понижение уровня TLS 1.2.
Если необходимо отключить TLS 1.3 для клиентских подключений в этих экземплярах, настройте параметры на странице протоколов и шифров :
- На странице "Протоколы + шифры" в разделе протокола клиента рядом с TLS 1.3 выберите "Просмотр конфигурации" и "Управление ими".
- Выберите "Отключить".
- Нажмите кнопку "Закрыть".
Серверная часть TLS 1.3
Включение серверной части TLS 1.3 является необязательным. Если этот параметр включен, управление API использует TLS 1.3 для подключений к внутренним службам.
Предупреждение
Включение TLS 1.3 для внутренних подключений приведет к сбоям подключения с внутренними службами, которые используют повторное согласование сертификата клиента между управлением API и серверными службами.
Серверная часть TLS 1.3 можно включить на странице "Протоколы + шифры ":
- На странице "Протоколы + шифры" в разделе "Внутренний протокол " включите параметр TLS 1.3 .
- Выберите Сохранить.
Связанный контент
- Для получения рекомендаций по защите вашего экземпляра API Management см. базовые показатели безопасности Azure для API Management.
- Узнайте о рекомендациях по обеспечению безопасности в архитектуре управления API для управления API.
- Дополнительные сведения о TLS.