Konfigurace minimální verze protokolu TLS ve službě Azure SQL Managed Instance

Nastavení minimální verze TLS (Transport Layer Security) verze umožňuje zákazníkům řídit verzi protokolu TLS, kterou používá jejich spravovaná instance Azure SQL.

V současné době podporujeme protokol TLS 1.0, 1.1 a 1.2. Nastavení minimální verze protokolu TLS zajistí, že se budou podporovat další novější verze protokolu TLS. Například výběr verze protokolu TLS vyšší než 1.1. znamená, že se přijímají pouze připojení s protokolem TLS 1.1 a 1.2 a protokol TLS 1.0 se odmítne. Po otestování podpory aplikací doporučujeme nastavit minimální verzi protokolu TLS na verzi 1.2, protože obsahuje opravy chyb zabezpečení nalezených v předchozích verzích a je nejvyšší podporovanou verzí protokolu TLS ve službě Azure SQL Managed Instance.

Zákazníkům s aplikacemi, které spoléhají na starší verze protokolu TLS, doporučujeme nastavit minimální verzi protokolu TLS podle požadavků vašich aplikací. Pro zákazníky, kteří se spoléhají na aplikace pro připojení pomocí nešifrovaného připojení, doporučujeme nenastavovat žádnou minimální verzi protokolu TLS.

Další informace najdete v tématu aspekty protokolu TLS pro připojení ke službě SQL Database.

Po nastavení minimální verze protokolu TLS se pokusy o přihlášení od klientů, kteří používají nižší verzi protokolu TLS, než je minimální verze protokolu TLS serveru, nezdaří s následující chybou:

Error 47072
Login failed with invalid TLS version

Poznámka

Při konfiguraci minimální verze protokolu TLS se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu TLS na úrovni protokolu, mohou kromě minimální požadované verze vrátit i jiné verze TLS, když jsou spuštěny přímo na koncovém bodu spravované instance.

Nastavení minimální verze protokolu TLS přes PowerShell

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, přečtěte si téma InstalaceAzure PowerShellu. Informace o migraci do modulu Az PowerShell najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Důležitý

Modul Azure Resource Manager (AzureRM) PowerShellu byl 29. února 2024 zastaralý. Veškerý budoucí vývoj by měl používat modul Az.Sql. Uživatelům se doporučuje migrovat z AzureRM do modulu Az PowerShell, aby se zajistila nepřetržitá podpora a aktualizace. Modul AzureRM se už neudržuje ani nepodporuje. Argumenty pro příkazy v modulu Az PowerShell a v modulech AzureRM jsou podstatně identické. Další informace o jejich kompatibilitě najdete v tématu Představujeme nový modul Az PowerShell.

Následující skript vyžaduje modul Azure PowerShellu.

Následující skript PowerShell ukazuje, jak Get a Set vlastnost minimální verze TLS na úrovni instance:

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Nastavení minimální verze protokolu TLS přes Azure CLI

Důležitý

Všechny skripty v této části vyžadují Azure CLI.

Azure CLI v příkazové řádce Bash

Následující skript rozhraní příkazového řádku ukazuje, jak změnit nastavení minimální verze protokolu TLS v prostředí Bash:

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"