Konfigurieren der TLS-Mindestversion für einen Event Hubs-Namespace

Azure Event Hubs-Namespaces ermöglichen Clients das Senden und Empfangen von Daten mit TLS 1.0 und höher. Wenn Sie strengere Sicherheitsmaßnahmen durchsetzen möchten, können Sie Ihren Event Hubs-Namespace so konfigurieren, dass Clients Daten mit einer neueren TLS-Version senden und empfangen müssen. Wenn für einen Event Hubs-Namespace eine TLS-Mindestversion erforderlich ist, verursachen alle Anforderungen mit einer älteren Version einen Fehler. Konzeptionelle Informationen zu dieser Funktion finden Sie unter Erzwingen der erforderlichen TLS-Mindestversion (Transport Layer Security) für Anforderungen an einen Event Hubs-Namespace.

Sie können die TLS-Mindestversion mithilfe des Azure-Portals oder einer Azure Resource Manager-Vorlage (ARM) konfigurieren.

Angeben der TLS-Mindestversion im Azure-Portal

Sie können die TLS-Mindestversion angeben, wenn Sie einen Event Hubs-Namespace im Azure-Portal auf der Registerkarte Erweitert erstellen.

Screenshot: Seite zum Festlegen der TLS-Mindestversion beim Erstellen eines Namespace

Sie können auch die TLS-Mindestversion für einen vorhandenen Namespace auf der Konfigurationsseite angeben.

Screenshot: Seite zum Festlegen der TLS-Mindestversion für einen vorhandenen Namespace

Erstellen einer Vorlage zum Konfigurieren der TLS-Mindestversion

Um die TLS-Mindestversion für einen Event Hubs-Namespace mit einer Vorlage zu konfigurieren, erstellen Sie eine Vorlage, bei der die MinimumTlsVersion-Eigenschaft auf 1.0, 1.1 oder 1.2 festgelegt ist. Wenn Sie einen Event Hubs-Namespace mit einer Azure Resource Manager-Vorlage erstellen, wird die MinimumTlsVersion-Eigenschaft standardmäßig auf 1.2 festgelegt, sofern nicht explizit eine andere Version festgelegt wird.

Hinweis

Namespaces, die mit einer API-Version vor 2022-01-01-preview erstellt wurden, weisen 1.0 als Wert für MinimumTlsVersion auf. Dieses Verhalten war der vorherige Standardwert und ist weiterhin aus Gründen der Abwärtskompatibilität vorhanden.

Die folgenden Schritte beschreiben, wie eine Vorlage im Azure-Portal erstellt wird.

  1. Klicken Sie im Azure-Portal auf Ressource erstellen.

  2. Geben Sie unter Marketplace durchsuchenbenutzerdefinierte Bereitstellung ein, und drücken Sie dann die EINGABETASTE.

  3. Wählen Sie Benutzerdefinierte Bereitstellung (Bereitstellen mit benutzerdefinierten Vorlagen) (Vorschau), dann Erstellen und anschließend die Option Eigene Vorlage im Editor erstellen aus.

  4. Fügen Sie im Vorlagen-Editor den folgenden JSON-Code ein, um einen neuen Namespace zu erstellen, und legen Sie die TLS-Mindestversion auf TLS 1.2 fest. Denken Sie daran, die Platzhalter in eckigen Klammern durch Ihre eigenen Werte zu ersetzen.

    {
        "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
        "contentVersion": "1.0.0.0",
        "parameters": {},
        "variables": {
            "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
        },
        "resources": [
            {
            "name": "[variables('eventHubNamespaceName')]",
            "type": "Microsoft.EventHub/namespaces",
            "apiVersion": "2022-01-01-preview",
            "location": "westeurope",
            "properties": {
                "minimumTlsVersion": "1.2"
            },
            "dependsOn": [],
            "tags": {}
            }
        ]
    }
    
  5. Speichern Sie die Vorlage.

  6. Geben Sie den Ressourcengruppenparameter an, wählen Sie dann die Schaltfläche Überprüfen und erstellen aus, um die Vorlage bereitzustellen und einen Namespace mit der konfigurierten Eigenschaft MinimumTlsVersion zu erstellen.

Hinweis

Nachdem Sie die TLS-Mindestversion für den Event Hubs-Namespace aktualisiert haben, kann es bis zu 30 Sekunden dauern, bis die Änderung vollständig weitergegeben wurde.

Die Konfiguration der TLS-Mindestversion erfordert die API-Version 2022-01-01-preview oder höher des Azure Event Hubs-Ressourcenanbieters.

Überprüfen der erforderlichen TLS-Mindestversion für einen Namespace

Um die mindestens erforderliche TLS-Version für Ihren Event Hubs-Namespace zu überprüfen, können Sie die Azure Resource Manager-API abfragen. Sie benötigen ein Bearertoken zur Abfrage der API, das Sie über die ARMClient-App abrufen können, indem Sie die folgenden Befehle ausführen.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Sobald Sie über Ihr Bearertoken verfügen, können Sie das folgende Skript in Kombination mit einem REST-Client verwenden, um die API abzufragen.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Die Antwort sollte ähnlich wie unten gezeigt aussehen, wobei die minimumTlsVersion unter den Eigenschaften festgelegt wird.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Testen der TLS-Mindestversion auf einem Client

Wenn Sie testen möchten, ob mit einer älteren Version durchgeführte Aufrufe durch die erforderliche TLS-Mindestversion für einen Event Hubs-Namespace verhindert werden, können Sie einen Client für die Verwendung einer älteren TLS-Version konfigurieren. Weitere Informationen zum Konfigurieren eines Clients für die Verwendung einer bestimmten TLS-Version finden Sie unter Konfigurieren der Transport Layer Security (TLS) für eine Clientanwendung.

Wenn ein Client auf einen Event Hubs-Namespace über eine TLS-Version zugreift, die nicht der für den Namespace konfigurierten TLS-Mindestversion entspricht, gibt Azure Event Hubs Fehlercode 401 (nicht autorisiert) zurück. Zudem wird in einer Meldung darauf hingewiesen, dass die verwendete TLS-Version für Anforderungen an diesen Event Hubs-Namespace nicht zulässig ist.

Hinweis

Aufgrund von Einschränkungen in der Konfluentbibliothek werden Fehler, die aufgrund einer ungültigen TLS-Version auftreten, beim Herstellen einer Verbindung über das Kafka-Protokoll nicht angezeigt. Stattdessen wird eine allgemeine Ausnahme angezeigt.

Hinweis

Wenn Sie eine TLS-Mindestversion für einen Event Hubs-Namespace konfigurieren, wird diese Mindestversion auf Anwendungsebene erzwungen. Tools, die versuchen, die TLS-Unterstützung auf der Protokollebene zu ermitteln, geben möglicherweise zusätzlich zur mindestens erforderlichen Version TLS-Versionen zurück, wenn sie direkt auf dem Endpunkt des Event Hubs-Namespace ausgeführt werden.

Nächste Schritte

Weitere Informationen findest du in den folgenden Artikeln.