De minimale TLS-versie voor een Service Bus-naamruimte configureren
Met Azure Service Bus-naamruimten kunnen gegevens op clients worden verzonden en ontvangen met TLS 1.0 en hoger. Je kunt strengere beveiligingsmaatregelen afdwingen door je Service Bus-naamruimte zodanig te configureren dat gegevens op clients worden verzonden en ontvangen met een nieuwere versie van TLS. Als voor een Service Bus-naamruimte een minimale versie van TLS is vereist, mislukken aanvragen die zijn gemaakt met een oudere versie. Zie Een minimaal vereiste versie van Transport Layer Security (TLS) afdwingen voor aanvragen naar een Service Bus-naamruimte voor conceptuele informatie over deze functie.
U kunt de minimale TLS-versie configureren met behulp van de Arm-sjabloon (Azure Portal of Azure Resource Manager).
Waarschuwing
Vanaf 28 februari 2025 worden TLS 1.0 en TLS 1.1 niet meer ondersteund in Azure Service Bus. De minimale TLS-versie is 1.2 voor alle Service Bus-implementaties.
Belangrijk
Op 31 oktober 2024 wordt TLS 1.3 ingeschakeld voor AMQP-verkeer. TLS 1.3 is al ingeschakeld voor HTTPS-verkeer. Java-clients kunnen een probleem hebben met TLS 1.3 vanwege een afhankelijkheid van een oudere versie van Proton-J. Lees voor meer informatie java-clientwijzigingen ter ondersteuning van TLS 1.3 met Azure Service Bus en Azure Event Hubs
Geef de minimale TLS-versie op in Azure Portal
U kunt de minimale TLS-versie opgeven bij het maken van een Service Bus-naamruimte in Azure Portal op het tabblad Geavanceerd .
U kunt ook de minimale TLS-versie voor een bestaande naamruimte opgeven op de pagina Configuratie .
Azure CLI gebruiken
Als u een naamruimte met minimale TLS-versie wilt maken die is ingesteld op 1.2, gebruikt u de opdracht met --min-tls ingesteld az servicebus namespace create op 1.2.
az servicebus namespace create \
--name mynamespace \
--resource-group myresourcegroup \
--min-tls 1.2
Azure PowerShell gebruiken
Als u een naamruimte met minimale TLS-versie wilt maken die is ingesteld op 1.2, gebruikt u de opdracht met -MinimumTlsVersion ingesteld New-AzServiceBusNamespace op 1.2.
New-AzServiceBusNamespace `
-ResourceGroup myresourcegroup `
-Name mynamespace `
-MinimumTlsVersion 1.2
Een sjabloon maken om de minimale TLS-versie te configureren
Als u de minimale TLS-versie voor een Service Bus-naamruimte wilt configureren, stelt u de MinimumTlsVersion versie-eigenschap in op 1.0, 1.1 of 1.2. Wanneer u een Service Bus-naamruimte met een Azure Resource Manager-sjabloon maakt, is de MinimumTlsVersion eigenschap standaard ingesteld op 1.2, tenzij deze expliciet is ingesteld op een andere versie.
Notitie
Naamruimten die zijn gemaakt met een API-versie vóór 2022-01-01-preview, hebben 1.0 als waarde voor MinimumTlsVersion. Dit gedrag was de vorige standaardinstelling en is nog steeds beschikbaar voor compatibiliteit met eerdere versies.
In de volgende stappen wordt beschreven hoe u een sjabloon maakt in Azure Portal.
Kies een resource maken in Azure Portal.
Typ in Marketplace zoeken de aangepaste implementatie en druk op Enter.
Kies Aangepaste implementatie (implementeren met aangepaste sjablonen) (preview), kies Maken en kies vervolgens Uw eigen sjabloon maken in de editor.
Plak in de sjablooneditor de volgende JSON om een nieuwe naamruimte te maken en stel de minimale TLS-versie in op TLS 1.2. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "variables": { "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]" }, "resources": [ { "name": "[variables('serviceBusNamespaceName')]", "type": "Microsoft.ServiceBus/namespaces", "apiVersion": "2022-01-01-preview", "location": "westeurope", "properties": { "minimumTlsVersion": "1.2" }, "dependsOn": [], "tags": {} } ] }Sla de sjabloon op.
Geef de resourcegroepparameter op en kies vervolgens de knop Beoordelen en maken om de sjabloon te implementeren en een naamruimte te maken met de
MinimumTlsVersioneigenschap die is geconfigureerd.
Notitie
Nadat u de minimale TLS-versie voor de Service Bus-naamruimte hebt bijgewerkt, kan het tot 30 seconden duren voordat de wijziging volledig wordt doorgegeven.
Voor het configureren van de minimale TLS-versie is api-versie 2022-01-01-preview of hoger van de Azure Service Bus-resourceprovider vereist.
Controleer de minimaal vereiste TLS-versie voor een naamruimte
Als u de minimaal vereiste TLS-versie voor uw Service Bus-naamruimte wilt controleren, kunt u een query uitvoeren op de Azure Resource Manager-API. U hebt een Bearer-token nodig om een query uit te voeren op de API, die u kunt ophalen met behulp van ARMClient door de volgende opdrachten uit te voeren.
.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>
Zodra u uw Bearer-token hebt, kunt u het onderstaande script gebruiken in combinatie met iets als REST Client om een query uit te voeren op de API.
@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>
###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}
Het antwoord ziet er ongeveer als volgt uit, waarbij de minimumTlsVersion is ingesteld onder de eigenschappen.
{
"sku": {
"name": "Premium",
"tier": "Premium"
},
"id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
"name": "<your-namespace-name>",
"type": "Microsoft.ServiceBus/Namespaces",
"location": "West Europe",
"tags": {},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": false,
"provisioningState": "Succeeded",
"status": "Active"
}
}
De minimale TLS-versie van een client testen
Als u wilt testen of de minimaal vereiste TLS-versie voor een Service Bus-naamruimte aanroepen met een oudere versie verbiedt, kunt u een client configureren voor het gebruik van een oudere versie van TLS. Zie Transport Layer Security (TLS) configureren voor een clienttoepassing voor meer informatie over het configureren van een client voor het gebruik van een specifieke versie van TLS.
Wanneer een client een Service Bus-naamruimte opent met behulp van een TLS-versie die niet voldoet aan de minimale TLS-versie die is geconfigureerd voor de naamruimte, retourneert Azure Service Bus foutcode 401 (Niet geautoriseerd) en een bericht dat aangeeft dat de GEBRUIKTE TLS-versie niet is toegestaan voor het indienen van aanvragen voor deze Service Bus-naamruimte.
Notitie
Wanneer u een minimale TLS-versie voor een Service Bus-naamruimte configureert, wordt die minimale versie afgedwongen op de toepassingslaag. Hulpprogramma's die TLS-ondersteuning op de protocollaag proberen te bepalen, kunnen TLS-versies retourneren naast de minimaal vereiste versie wanneer deze rechtstreeks worden uitgevoerd op het Service Bus-naamruimte-eindpunt.
Volgende stappen
Zie de volgende documentatie voor meer informatie.
- Een minimaal vereiste versie van Transport Layer Security (TLS) afdwingen voor aanvragen naar een Service Bus-naamruimte
- Tls (Transport Layer Security) configureren voor een Service Bus-clienttoepassing
- Azure Policy gebruiken om te controleren op naleving van de minimale TLS-versie voor een Service Bus-naamruimte