共用方式為

在 Azure API 管理中管理通訊協定和加密

適用於:所有 APIM 層

Azure API 管理支援多個版本的傳輸層安全性 (TLS) 通訊協定以保護 API 流量:

  • 用戶端 (用戶端至 APIM 閘道)
  • 後端部分(從 API 管理閘道到後端的路徑)

API 管理也支援 API 閘道所使用的多個加密套件。

視服務層級而定,API 管理 支援用戶端和後端連線的 TLS 版本最高為 1.2 或 TLS 1.3,以及數個支援的加密套件。 本指南示範如何管理適用於 Azure API 管理執行個體的通訊協定和加密設定。

在 Azure 入口網站中管理通訊協定和加密的螢幕擷取畫面。

附註

  • 如果您使用自我裝載閘道,請參閱自我裝載閘道安全性來管理 TLS 通訊協定和加密套件。
  • 以下各層不支援預設加密設定的變更:使用量基本 v2標準 v2進階 v2
  • 工作區中,受控閘道不支援預設通訊協定和加密設定的變更。

附註

視 API 管理 服務層級而定,變更可能需要 15 到 45 分鐘或更長時間才能套用。 開發人員服務層級中的執行個體在流程執行期間出現停機時間。 基本和較高階層中的執行個體在流程執行期間不會出現停機時間。

先決條件

移至您的 API 管理執行個體

  1. 在 Azure 入口網站中,搜尋並選取 API 管理 服務

    螢幕擷取畫面,顯示搜尋結果中的 API 管理 服務。

  2. [API 管理 服務 ] 頁面上,選取您的 API 管理 執行個體:

    螢幕擷取畫面,顯示 [API 管理 服務] 頁面上的 API 管理 實例。

如何管理 TLS 通訊協定和密碼套件

  1. 在 API 管理執行個體的左側導覽中,於 [安全性] 之下,選取 [通訊協定 + 加密]
  2. 啟用或停用所需的通訊協定或加密。
  3. 選取 [儲存]

附註

有些通訊協定或加密套件 (例如後端 TLS 1.2) 無法從 Azure 入口網站啟用或停用。 您必須改為套用 REST API 呼叫。 請使用建立/更新 API 管理服務 REST API 中的 properties.customProperties 結構。

傳統級別中的 TLS 1.3 支援

TLS 1.3 支援可在 API 管理 傳統服務層級 (取用、開發人員基本標準進階) 中使用。 在這些服務層中建立的大多數執行個體中,預設會永久啟用用戶端連線的 TLS 1.3。 啟用後端 TLS 1.3 是選擇性的。 TLS 1.2 預設也會在用戶端和後端啟用。

TLS 1.3 是 TLS 通訊協定的主要修訂版,可提供改進的安全性和效能。 它包括減少握手延遲和提高針對某些類型攻擊的安全性等功能。

附註

API 管理 和工作區閘道v2 層預設支援用戶端和後端連線的 TLS 1.2。 他們目前不支援 TLS 1.3。

選擇性地在用戶端需要憑證重新交涉時啟用 TLS 1.3

TLS 1.3 不支援憑證重新交涉。 TLS 中的憑證重新交涉可讓用戶端和伺服器在階段作業中重新交涉連線參數以進行驗證,而不會終止連線。

我們識別為依賴用戶端憑證重新交涉的服務預設未啟用 TLS 1.3。

警告

如果您的 API 是由依賴憑證重新交涉的 TLS 相容用戶端存取,則為用戶端連線啟用 TLS 1.3 將導致這些用戶端無法連線。 在任何預設未啟用 TLS 1.3 的服務中啟用用戶端 TLS 1.3 前,請檢閱最近使用憑證重新協商的 API。

若要在這些執行個體中啟用用戶端連線的 TLS 1.3,請在 [通訊協定 + 密碼 ] 頁面上設定設定:

  1. [通訊協定 + 密碼 ] 頁面的 [ 用戶端通訊協定] 區段中,選取 [TLS 1.3] 旁邊的 [ 檢視和管理設定]。
  2. 檢閱 最近的用戶端憑證重新交涉清單。 此清單顯示用戶端最近使用用戶端憑證重新交涉的 API 作業。
  3. 如果您選擇為用戶端連線啟用 TLS 1.3,請選取 [ 啟用]。
  4. 選取 [關閉]。

啟用 TLS 1.3 之後,請檢閱記錄中指出 TLS 連線失敗的閘道要求指標或 TLS 相關例外狀況。 如有必要,請停用用戶端連線的 TLS 1.3,並降級至 TLS 1.2。

如果您需要在這些實例中停用用戶端連線的 TLS 1.3,請在 [通訊協定 + 密碼 ] 頁面上設定設定:

  1. [通訊協定 + 密碼 ] 頁面的 [ 用戶端通訊協定] 區段中,選取 [TLS 1.3] 旁邊的 [ 檢視和管理設定]。
  2. 選取 [ 停用]。
  3. 選取 [關閉]。

伺服器端 TLS 1.3

啟用後端 TLS 1.3 是選擇性的。 如果您啟用它,API 管理 會使用 TLS 1.3 連線至您的後端服務。

警告

啟用後端連線的 TLS 1.3 會導致後端服務的連線失敗,這些服務依賴 API 管理 與後端之間的用戶端憑證重新交涉。

您可以從 [通訊協定 + 密碼 ] 頁面啟用後端 TLS 1.3:

  1. [通訊協定 + 密碼 ] 頁面的 [後端通訊協定] 區段中,啟用 [TLS 1.3 ] 設定。
  2. 選取 [儲存]

相關內容

  • Last updated on