Configurare la versione minima di TLS per uno spazio dei nomi bus di servizio
Gli spazi dei nomi del bus di servizio di Azure consentono ai client di inviare e ricevere dati con TLS 1.0 e versioni successive. Per applicare misure di sicurezza più rigorose, puoi configurare lo spazio dei nomi del bus di servizio in modo da richiedere che i client inviino e ricevano dati con una versione più recente di TLS. Se uno spazio dei nomi del bus di servizio richiede una versione minima di TLS, eventuali richieste effettuate con una versione precedente avranno esito negativo. Per informazioni concettuali su questa funzionalità, vedere Applicare una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi bus di servizio.
È possibile configurare la versione minima di TLS usando il portale di Azure o un modello di Azure Resource Manager (ARM).
Avviso
A partire dal 28 febbraio 2025, TLS 1.0 e TLS 1.1 non saranno più supportati in bus di servizio di Azure. La versione minima di TLS sarà 1.2 per tutte le distribuzioni bus di servizio.
Importante
Il 31 ottobre 2024, TLS 1.3 verrà abilitato per il traffico AMQP. TLS 1.3 è già abilitato per il traffico HTTPS. I client Java potrebbero avere un problema con TLS 1.3 a causa di una dipendenza da una versione precedente di Proton-J. Per maggiori dettagli, vedere le modifiche del client Java per supportare TLS 1.3 con il bus di servizio di Azure e Hub eventi di Azure
Specificare la versione minima di TLS nel portale di Azure
È possibile specificare la versione minima di TLS durante la creazione di uno spazio dei nomi bus di servizio nella portale di Azure nella scheda Avanzate.
È anche possibile specificare la versione minima di TLS per uno spazio dei nomi esistente nella pagina Configurazione.
Utilizzare l'interfaccia della riga di comando di Azure
Per creare uno spazio dei nomi con versione minima di TLS impostata su 1.2, usare il az servicebus namespace create comando con --min-tls impostato su 1.2.
az servicebus namespace create \
--name mynamespace \
--resource-group myresourcegroup \
--min-tls 1.2
Usare Azure PowerShell
Per creare uno spazio dei nomi con versione minima di TLS impostata su 1.2, usare il New-AzServiceBusNamespace comando con -MinimumTlsVersion impostato su 1.2.
New-AzServiceBusNamespace `
-ResourceGroup myresourcegroup `
-Name mynamespace `
-MinimumTlsVersion 1.2
Creare un modello per configurare la versione minima di TLS
Per configurare la versione minima di TLS per uno spazio dei nomi bus di servizio, impostare la MinimumTlsVersion proprietà version su 1.0, 1.1 o 1.2. Quando si crea uno spazio dei nomi bus di servizio con un modello di Azure Resource Manager, la MinimumTlsVersion proprietà è impostata su 1.2 per impostazione predefinita, a meno che non sia impostata in modo esplicito su un'altra versione.
Nota
Gli spazi dei nomi creati con un valore api-version precedente a 2022-01-01-preview avranno 1.0 come valore per MinimumTlsVersion. Questo comportamento era l'impostazione predefinita precedente ed è ancora disponibile per compatibilità con le versioni precedenti.
La procedura seguente descrive come creare un modello nel portale di Azure.
Nel portale di Azure scegliere Crea una risorsa.
In Cerca nel Marketplace digitare distribuzione personalizzata e quindi premere INVIO.
Scegliere Distribuzione personalizzata (distribuzione tramite modelli personalizzati) (anteprima), scegliere Crea e quindi Crea un modello personalizzato nell'editor.
Nell'editor del modello incollare il codice JSON seguente per creare un nuovo spazio dei nomi e impostare la versione minima di TLS su TLS 1.2. Ricordare di sostituire i segnaposto tra parentesi angolari con valori personalizzati.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "variables": { "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]" }, "resources": [ { "name": "[variables('serviceBusNamespaceName')]", "type": "Microsoft.ServiceBus/namespaces", "apiVersion": "2022-01-01-preview", "location": "westeurope", "properties": { "minimumTlsVersion": "1.2" }, "dependsOn": [], "tags": {} } ] }Scegliere Salva per salvare il modello.
Specificare il parametro del gruppo di risorse, quindi scegliere il pulsante Rivedi e crea per distribuire il modello e creare uno spazio dei nomi con la proprietà
MinimumTlsVersionconfigurata.
Nota
Dopo aver aggiornato la versione minima di TLS per lo spazio dei nomi bus di servizio, potrebbero essere necessari fino a 30 secondi prima che la modifica venga propagata completamente.
La configurazione della versione minima di TLS richiede api-version 2022-01-01-preview o versioni successive del provider di risorse bus di servizio di Azure.
Controllare la versione minima di TLS richiesta per uno spazio dei nomi
Per controllare la versione minima di TLS necessaria per lo spazio dei nomi bus di servizio, è possibile eseguire query sull'API di Azure Resource Manager. È necessario un token bearer per eseguire query sull'API, che è possibile recuperare usando ARMClient eseguendo i comandi seguenti.
.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>
Dopo aver ottenuto il bearer token, è possibile usare lo script seguente in combinazione con un client REST per eseguire query sull'API.
@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>
###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}
La risposta dovrebbe essere simile alla seguente, con il valore minimumTlsVersion impostato tra le proprietà.
{
"sku": {
"name": "Premium",
"tier": "Premium"
},
"id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
"name": "<your-namespace-name>",
"type": "Microsoft.ServiceBus/Namespaces",
"location": "West Europe",
"tags": {},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": false,
"provisioningState": "Succeeded",
"status": "Active"
}
}
Testare la versione minima di TLS in un client
Per verificare che la versione minima di TLS necessaria per uno spazio dei nomi bus di servizio impedisca le chiamate effettuate con una versione precedente, è possibile configurare un client per l'uso di una versione precedente di TLS. Per altre informazioni sulla configurazione di un client per l'uso di una versione specifica di TLS, vedere Configurare Transport Layer Security (TLS) per un'applicazione client.
Quando un client accede a uno spazio dei nomi bus di servizio usando una versione TLS che non soddisfa la versione minima di TLS configurata per lo spazio dei nomi, bus di servizio di Azure restituisce il codice di errore 401 (non autorizzato) e un messaggio che indica che la versione TLS usata non è consentita per l'invio di richieste a questo spazio dei nomi bus di servizio.
Nota
Quando si configura una versione minima di TLS per uno spazio dei nomi bus di servizio, tale versione minima viene applicata a livello di applicazione. Gli strumenti che tentano di determinare il supporto TLS a livello di protocollo possono restituire versioni TLS oltre alla versione minima richiesta quando vengono eseguiti direttamente sull'endpoint dello spazio dei nomi bus di servizio.
Passaggi successivi
Per altre informazioni, vedere la documentazione seguente.
- Applicare una versione minima richiesta di Transport Layer Security (TLS) per le richieste a uno spazio dei nomi bus di servizio
- Configurare Transport Layer Security (TLS) per un'applicazione client bus di servizio
- Usare Criteri di Azure per controllare la conformità della versione minima di TLS per uno spazio dei nomi bus di servizio