Delen via

De minimale TLS-versie voor een Event Hubs-naamruimte configureren

  • Artikel

met Azure Event Hubs-naamruimten kunnen clients gegevens verzenden en ontvangen met TLS 1.0 en hoger. Als u strengere beveiligingsmaatregelen wilt afdwingen, kunt u uw Event Hubs-naamruimte zo configureren dat clients gegevens verzenden en ontvangen met een nieuwere versie van TLS. Als voor een Event Hubs-naamruimte een minimale versie van TLS is vereist, mislukken alle aanvragen met een oudere versie. Zie Een minimaal vereiste versie van Tls (Transport Layer Security) afdwingen voor aanvragen naar een Event Hubs-naamruimte voor conceptuele informatie over deze functie.

U kunt de minimale TLS-versie configureren met behulp van de sjabloon Azure Portal of Azure Resource Manager (ARM).

Geef de minimale TLS-versie op in de Azure Portal

U kunt de minimale TLS-versie opgeven bij het maken van een Event Hubs-naamruimte in de Azure Portal op het tabblad Geavanceerd.

Schermopname van de pagina om de minimale TLS-versie in te stellen bij het maken van een naamruimte.

U kunt ook de minimale TLS-versie voor een bestaande naamruimte opgeven op de pagina Configuratie .

Schermopname van de pagina voor het instellen van de minimale TLS-versie voor een bestaande naamruimte.

Een sjabloon maken om de minimale TLS-versie te configureren

Als u de minimale TLS-versie voor een Event Hubs-naamruimte wilt configureren met een sjabloon, maakt u een sjabloon met de MinimumTlsVersion eigenschap 1.0, 1.1 of 1.2. Wanneer u een Event Hubs-naamruimte maakt met een Azure Resource Manager-sjabloon, wordt de MinimumTlsVersion eigenschap standaard ingesteld op 1.2, tenzij deze expliciet is ingesteld op een andere versie.

Notitie

Naamruimten die zijn gemaakt met een API-versie vóór 2022-01-01-preview, hebben 1.0 als de waarde voor MinimumTlsVersion. Dit gedrag was de eerdere standaardinstelling en is nog steeds beschikbaar voor compatibiliteit met eerdere versies.

In de volgende stappen wordt beschreven hoe u een sjabloon maakt in de Azure Portal.

  1. Kies een resource maken in de Azure Portal.

  2. Typ aangepaste implementatie in Marketplace doorzoeken en druk op Enter.

  3. Kies Aangepaste implementatie (implementeren met aangepaste sjablonen) (preview), kies Maken en kies vervolgens Uw eigen sjabloon bouwen in de editor.

  4. Plak in de sjablooneditor de volgende JSON om een nieuwe naamruimte te maken en stel de minimale TLS-versie in op TLS 1.2. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden.

    {
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "eventHubNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
    },
    "resources": [
        {
        "name": "[variables('eventHubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "apiVersion": "2022-01-01-preview",
        "location": "westeurope",
        "properties": {
            "minimumTlsVersion": "1.2"
        },
        "dependsOn": [],
        "tags": {}
        }
    ]
}

  5. Sla de sjabloon op.

  6. Geef de resourcegroepparameter op en kies vervolgens de knop Controleren en maken om de sjabloon te implementeren en een naamruimte te maken met de MinimumTlsVersion eigenschap geconfigureerd.

Notitie

Nadat u de minimale TLS-versie voor de Event Hubs-naamruimte hebt bijgewerkt, kan het tot 30 seconden duren voordat de wijziging volledig wordt doorgegeven.

Voor het configureren van de minimale TLS-versie is api-versie 2022-01-01-preview of hoger van de Azure Event Hubs resourceprovider vereist.

Controleer de minimaal vereiste TLS-versie voor een naamruimte

Als u de minimaal vereiste TLS-versie voor uw Event Hubs-naamruimte wilt controleren, kunt u een query uitvoeren op de Azure Resource Manager-API. U hebt een Bearer-token nodig om een query uit te voeren op de API, die u kunt ophalen met behulp van de ARMClient-app door de volgende opdrachten uit te voeren.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

Zodra u uw Bearer-token hebt, kunt u het onderstaande script gebruiken in combinatie met iets als REST Client om een query uit te voeren op de API.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.EventHub/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Het antwoord moet er ongeveer als volgt uitzien, waarbij de minimumTlsVersion is ingesteld onder de eigenschappen.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium",
    "capacity": 1
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.EventHub/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.EventHub/Namespaces",
  "location": "West Europe",
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": true,
    "isAutoInflateEnabled": false,
    "maximumThroughputUnits": 0,
    "kafkaEnabled": true,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

De minimale TLS-versie van een client testen

Als u wilt testen of de minimaal vereiste TLS-versie voor een Event Hubs-naamruimte aanroepen met een oudere versie verbiedt, kunt u een client configureren voor het gebruik van een oudere versie van TLS. Zie Transport Layer Security (TLS) configureren voor een clienttoepassing voor meer informatie over het configureren van een client voor het gebruik van een specifieke versie van TLS.

Wanneer een client een Event Hubs-naamruimte opent met behulp van een TLS-versie die niet voldoet aan de minimale TLS-versie die is geconfigureerd voor de naamruimte, retourneert Azure Event Hubs foutcode 401 (Niet geautoriseerd) en een bericht dat aangeeft dat de gebruikte TLS-versie niet is toegestaan voor het indienen van aanvragen voor deze Event Hubs-naamruimte.

Notitie

Vanwege beperkingen in de confluent-bibliotheek worden er geen fouten weergegeven die afkomstig zijn van een ongeldige TLS-versie wanneer u verbinding maakt via het Kafka-protocol. In plaats daarvan wordt een algemene uitzondering weergegeven.

Notitie

Wanneer u een minimale TLS-versie configureert voor een Event Hubs-naamruimte, wordt die minimale versie afgedwongen op de toepassingslaag. Hulpprogramma's die tls-ondersteuning op de protocollaag proberen te bepalen, kunnen naast de minimaal vereiste versie TLS-versies retourneren wanneer ze rechtstreeks worden uitgevoerd op het eindpunt van de Event Hubs-naamruimte.

Volgende stappen

Zie de volgende artikelen voor meer informatie.