Configurer le protocole TLS (Transport Layer Security) pour une application cliente Service Bus

Pour des raisons de sécurité, un espace de noms Service Bus peut exiger que les clients utilisent une version minimale de TLS (Transport Layer Security) pour envoyer des demandes. Les appels à Service Bus échouent si le client utilise une version de TLS inférieure à la version minimale requise. Par exemple, si un espace de noms nécessite TLS 1.2, une demande envoyée par un client qui utilise TLS 1.1 échoue.

Cet article explique comment configurer une application cliente pour qu’elle utilise une version particulière de TLS. Pour plus d’informations sur la configuration d’une version minimale requise de TLS pour un espace de noms Azure Service Bus, consultez Appliquer une version minimale requise de Transport Layer Security (TLS) pour les demandes adressées à un espace de noms Service Bus.

Configurer la version TLS du client

Pour qu’un client envoie une demande avec une version particulière de TLS, le système d’exploitation doit prendre en charge cette version.

L'exemple suivant montre comment définir la version TLS du client sur 1.2 à partir de .NET. Le .NET Framework utilisé par le client doit prendre en charge TLS 1.2. Pour plus d’informations, consultez Prise en charge de TLS 1.2.

.NET

L'exemple suivant montre comment activer TLS 1.2 dans un client .NET utilisant la bibliothèque client Azure.Messaging.ServiceBus de Service Bus :

{
    // Enable TLS 1.2 before connecting to Service Bus
    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;
    
    // Connection string to your Service Bus namespace
    string connectionString = "<NAMESPACE CONNECTION STRING>";
    
    // Name of your Service Bus queue
    string queueName = "<QUEUE NAME>";

    // The client that owns the connection and can be used to create senders and receivers
    static ServiceBusClient client = new ServiceBusClient(connectionString);
    
    // The sender used to publish messages to the queue
    ServiceBusSender sender = client.CreateSender(queueName);
    
    // Use the producer client to send a message to the Service Bus queue
    await sender.SendMessagesAsync(new ServiceBusMessage($"Message for TLS check")));
}

Java

La version minimale de Java pour les kits SDK de messagerie est Java 8. Pour les installations Java 8, la version TLS par défaut est 1.2. Pour Java 11 et versions ultérieures, la valeur par défaut est TLS 1.3.

Les kits SDK de messagerie Java utilisent la valeur par défaut SSLContext du JDK. Ainsi, si vous configurez JDK TLS à l’aide des propriétés système documentées par la machine virtuelle JVM, les bibliothèques de messagerie Java l’utilisent implicitement. Par exemple, pour les machines virtuelles JVM basées sur OpenJDK, vous pouvez utiliser la propriété système jdk.tls.client.protocols. Exemple : -Djdk.tls.client.protocols=TLSv1.2.

Voici plusieurs autres façons d’activer TLS 1.2 :

sslSocket.setEnabledProtocols(new String[] {"TLSv1. 2"});

Vérifier la version de TLS utilisée par un client

Pour vérifier que la version spécifiée de TLS a été utilisée par le client pour envoyer une demande, vous pouvez utiliser Fiddler ou un outil similaire. Ouvrez Fiddler pour commencer à capturer le trafic réseau du client, puis exécutez l’un des exemples de la section précédente. Examinez la trace Fiddler pour vérifier que la version correcte de TLS a été utilisée pour envoyer la demande.

Étapes suivantes

Pour plus d’informations, consultez la documentation suivante.

• Appliquer une version minimale requise du protocole TLS (Transport Layer Security) pour des demandes adressées à un espace de noms Service Bus
• Configurer la version TLS minimale pour un espace de noms Service Bus
• Utilisez Azure Policy pour auditer la conformité en ce qui concerne la version TLS minimale pour un espace de noms Service Bus