移轉到適用於 Azure Resource Manager 的 TLS 1.2
傳輸層安全性 (TLS) 是一種安全性通訊協定,可建立透過電腦網路的加密通道。 TLS 1.2 是目前的業界標準,並受到 Azure Resource Manager 支援。 基於回溯相容性,Azure Resource Manager 也支援舊版 (例如 TLS 1.0 和 1.1),但該支援即將終止。
為了確保 Azure 符合法規需求,併為我們的客戶提供改善的安全性, Azure Resource Manager 將會在 2025 年 3 月 1 日停止支援 TLS 1.2 之前的通訊協定。
本文提供移除舊版安全性通訊協定相依性的指引。
為何移轉到 TLS 1.2
TLS 會加密透過網際網路傳送的資料,以防止惡意使用者存取私人敏感性資訊。 用戶端和伺服器會執行 TLS 交握來驗證彼此的身分識別,並判斷其通訊方式。 在交握期間,雙方會識別各自使用的 TLS 版本。 如果用戶端和伺服器支援一個通用版本,則可以進行通訊。
TLS 1.2 比其舊版更安全快速。
Azure Resource Manager 是 Azure 的部署與管理服務。 您可以使用 Azure Resource Manager 來建立、更新及刪除 Azure 帳戶中的資源。 為了加強安全性並降低任何未來通訊協定降級攻擊的風險,Azure Resource Manager 將不再支援 TLS 1.1 或舊版。 若要繼續使用 Azure Resource Manager,請確定呼叫 Azure 的所有用戶端都使用 TLS 1.2 或更新版本。
準備移轉到 TLS 1.2
當您準備將用戶端移轉到 TLS 1.2 時,建議您執行下列步驟:
將您的作業系統更新為最新版本。
將您的開發程式庫和架構更新為其最新版本。 例如,Python 3.8 支援 TLS 1.2。
修正 TLS 1.2 之前的安全性通訊協定硬式編碼執行個體。
通知您的客戶和合作夥伴,您的產品或服務即將移轉到 TLS 1.2。
如需更詳細的指引,請參閱在您的環境中淘汰舊版 TLS 的檢查清單。
快速提示
Windows 8+ 預設會啟用 TLS 1.2。
Windows Server 2016+ 預設會啟用 TLS 1.2。
可能的話,請避免硬式編碼通訊協定版本。 相反地,請將您的應用程式設定為一律採用作業系統的預設 TLS 版本。
例如,您可以在 .NET Framework 應用程式中啟用
SystemDefaultTLSVersion
旗標,以採用作業系統的預設版本。 此方法可讓您的應用程式利用未來的 TLS 版本。如果您無法避免硬式編碼,請指定 TLS 1.2。
升級以 .NET Framework 4.5 或舊版為目標的應用程式。 請改用 .NET Framework 4.7 或更新版本,因為這些版本支援 TLS 1.2。
例如,Visual Studio 2013 不支援 TLS 1.2。 請至少改用最新版的 Visual Studio 2017。
您可以使用 Qualys SSL Labs 來識別連線到您應用程式之用戶端所要求的 TLS 版本。
您可以使用 Fiddler 來識別用戶端在您傳送 HTTPS 要求時所使用的 TLS 版本。
下一步
- 解決 TLS 1.0 問題第 2 版 – 深入探討如何移轉到 TLS 1.2。
- 如何在用戶端上啟用 TLS 1.2 – 適用於 Microsoft Configuration Manager。
- 針對用戶端應用程式設定傳輸層安全性 (TLS) – 包含在 PowerShell 中更新 TLS 版本的指示。
- 在您的環境中啟用 TLS 1.2 的支援,以因應 Microsoft Entra TLS 1.1 和 1.0 的淘汰 – 包含為 WinHTTP 更新 TLS 版本的資訊。
- .NET Framework 的傳輸層安全性 (TLS) 最佳做法– 設定以 .NET Framework 為目標之應用程式的安全性通訊協定時其最佳做法。
- 使用 .NET Framework 的 TLS 最佳做法 (英文) - 在 GitHub 上詢問有關 .NET Framework 最佳做法的問題。
- 針對 TLS 1.2 與 PowerShell 的相容性進行疑難排解 (英文) – 探查以檢查 TLS 1.2 相容性,並在與 PowerShell 不相容時找出問題。