Konfigurace minimální verze protokolu TLS pro obor názvů služby Service Bus

  • Článek

Obory názvů služby Azure Service Bus umožňují klientům odesílat a přijímat data s protokolem TLS 1.0 a vyšším. Pokud chcete vynutit přísnější bezpečnostní opatření, můžete nakonfigurovat obor názvů služby Service Bus tak, aby vyžadoval, aby klienti odesílali a přijímali data s novější verzí protokolu TLS. Pokud obor názvů služby Service Bus vyžaduje minimální verzi protokolu TLS, všechny požadavky provedené se starší verzí selžou. Koncepční informace o této funkci najdete v tématu Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na obor názvů služby Service Bus.

Minimální verzi protokolu TLS můžete nakonfigurovat pomocí webu Azure Portal nebo šablony Azure Resource Manageru (ARM).

Upozorňující

Od 28. února 2025 už se ve službě Azure Service Bus nebudou podporovat protokoly TLS 1.0 a TLS 1.1. Minimální verze protokolu TLS bude 1.2 pro všechna nasazení služby Service Bus.

Důležité

Dne 31. října 2024 bude protokol TLS 1.3 povolený pro provoz AMQP. Protokol TLS 1.3 je již povolený pro provoz HTTPS. Klienti Java mohou mít problém s protokolem TLS 1.3 kvůli závislosti na starší verzi Proton-J. Další podrobnosti najdete v článku o změnách klienta Java pro podporu protokolu TLS 1.3 se službou Azure Service Bus a azure Event Hubs.

Zadání minimální verze protokolu TLS na webu Azure Portal

Při vytváření oboru názvů služby Service Bus na webu Azure Portal na kartě Upřesnit můžete zadat minimální verzi protokolu TLS.

Snímek obrazovky zobrazující stránku pro nastavení minimální verze protokolu TLS při vytváření oboru názvů

Na stránce Konfigurace můžete také zadat minimální verzi protokolu TLS pro existující obor názvů.

Snímek obrazovky zobrazující stránku pro nastavení minimální verze protokolu TLS pro existující obor názvů

Použití Azure CLI

Pokud chcete vytvořit obor názvů s minimální verzí protokolu TLS nastavenou na 1.2, použijte az servicebus namespace create příkaz se --min-tls nastavenou na 1.2hodnotu .

az servicebus namespace create \
    --name mynamespace \
    --resource-group myresourcegroup \
    --min-tls 1.2

Použití Azure Powershell

Pokud chcete vytvořit obor názvů s minimální verzí protokolu TLS nastavenou na 1.2, použijte New-AzServiceBusNamespace příkaz se -MinimumTlsVersion nastavenou na 1.2hodnotu .

New-AzServiceBusNamespace `
    -ResourceGroup myresourcegroup `
    -Name mynamespace `
    -MinimumTlsVersion 1.2

Vytvoření šablony pro konfiguraci minimální verze protokolu TLS

Pokud chcete nakonfigurovat minimální verzi protokolu TLS pro obor názvů služby Service Bus, nastavte MinimumTlsVersion vlastnost verze na 1.0, 1.1 nebo 1.2. Když vytvoříte obor názvů služby Service Bus pomocí šablony Azure Resource Manageru, MinimumTlsVersion vlastnost se ve výchozím nastavení nastaví na hodnotu 1.2, pokud explicitně nenastavíte jinou verzi.

Poznámka:

Obory názvů vytvořené pomocí rozhraní API-version starší než 2022-01-01-preview budou mít hodnotu 1.0.MinimumTlsVersion Toto chování bylo předchozí výchozí a stále existuje kvůli zpětné kompatibilitě.

Následující kroky popisují, jak vytvořit šablonu na webu Azure Portal.

  1. Na webu Azure Portal zvolte Vytvořit prostředek.

  2. Do pole Hledat na Marketplace zadejte vlastní nasazení a stiskněte enter.

  3. Zvolte Vlastní nasazení (nasazení pomocí vlastních šablon) (Preview), zvolte Vytvořit a pak v editoru zvolte Vytvořit vlastní šablonu.

  4. V editoru šablon vložte následující JSON a vytvořte nový obor názvů a nastavte minimální verzi protokolu TLS na TLS 1.2. Nezapomeňte nahradit zástupné symboly v lomených závorkách vlastními hodnotami.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
    },
    "resources": [
        {
        "name": "[variables('serviceBusNamespaceName')]",
        "type": "Microsoft.ServiceBus/namespaces",
        "apiVersion": "2022-01-01-preview",
        "location": "westeurope",
        "properties": {
            "minimumTlsVersion": "1.2"
        },
        "dependsOn": [],
        "tags": {}
        }
    ]
}

  5. Uložte šablonu.

  6. Zadejte parametr skupiny prostředků a pak zvolte tlačítko Zkontrolovat a vytvořit šablonu a vytvořte obor názvů s nakonfigurovanou MinimumTlsVersion vlastností.

Poznámka:

Po aktualizaci minimální verze protokolu TLS pro obor názvů služby Service Bus může trvat až 30 sekund, než se změna plně rozšíří.

Konfigurace minimální verze protokolu TLS vyžaduje verzi api-version 2022-01-01-preview nebo novější poskytovatele prostředků služby Azure Service Bus.

Kontrola minimální požadované verze protokolu TLS pro obor názvů

Pokud chcete zkontrolovat minimální požadovanou verzi protokolu TLS pro obor názvů služby Service Bus, můžete dotazovat rozhraní API Azure Resource Manageru. K dotazování na rozhraní API budete potřebovat nosný token, který můžete načíst pomocí ARMClient spuštěním následujících příkazů.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Jakmile budete mít nosný token, můžete k dotazování rozhraní API použít následující skript v kombinaci s něčím, jako je REST Client .

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Odpověď by měla vypadat podobně jako v následujícím příkladu s minimálním nastavenímTlsVersion pod vlastnostmi.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium"
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.ServiceBus/Namespaces",
  "location": "West Europe",
  "tags": {},
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": false,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Testování minimální verze protokolu TLS z klienta

Pokud chcete otestovat, že minimální požadovaná verze protokolu TLS pro obor názvů služby Service Bus zakazuje volání provedená ve starší verzi, můžete klienta nakonfigurovat tak, aby používal starší verzi protokolu TLS. Další informace o konfiguraci klienta pro použití konkrétní verze protokolu TLS naleznete v tématu Konfigurace protokolu TLS (Transport Layer Security) pro klientskou aplikaci.

Když klient přistupuje k oboru názvů služby Service Bus pomocí verze protokolu TLS, která nesplňuje minimální nakonfigurovanou verzi protokolu TLS pro obor názvů, vrátí Služba Azure Service Bus kód chyby 401 (Neautorizováno) a zprávu oznamující, že použitá verze protokolu TLS není povolená k provádění požadavků na tento obor názvů služby Service Bus.

Poznámka:

Při konfiguraci minimální verze protokolu TLS pro obor názvů služby Service Bus se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu protokolu TLS ve vrstvě protokolu, můžou při spuštění přímo na koncovém bodu oboru názvů služby Service Bus vrátit kromě minimální požadované verze také verze PROTOKOLU TLS.

Další kroky

Další informace najdete v následující dokumentaci.