Udostępnij za pośrednictwem

Konfigurowanie minimalnej wersji protokołu TLS w usłudze Azure SQL Managed Instance

  • Artykuł

Ważny

Nadchodzące zmiany emerytalne

Platforma Azure ogłosiła, że wsparcie dla starszych wersji protokołu TLS (TLS 1.0 i 1.1) kończy się 31 sierpnia 2025 r. Aby uzyskać więcej informacji, zobacz Wycofywanie protokołów TLS 1.0 i 1.1. Od listopada 2024 r. nie będzie już można ustawić minimalnej wersji protokołu TLS dla połączeń klienta usługi Azure SQL Managed Instance poniżej protokołu TLS 1.2.

Ustawienie Wersja minimalnej Transport Layer Security (TLS) umożliwia klientom kontrolowanie wersji protokołu TLS używanej przez wystąpienie zarządzane usługi Azure SQL.

Obecnie obsługujemy protokoły TLS 1.0, 1.1 i 1.2. Ustawienie minimalnej wersji protokołu TLS gwarantuje, że kolejne nowsze wersje protokołu TLS są obsługiwane. Na przykład wybranie wersji protokołu TLS nowszej niż 1.1. oznacza, że akceptowane są tylko połączenia z protokołami TLS 1.1 i 1.2, a protokół TLS 1.0 jest odrzucany. Po przetestowaniu w celu potwierdzenia obsługi aplikacji zalecamy ustawienie minimalnej wersji protokołu TLS na 1.2, ponieważ zawiera poprawki luk w zabezpieczeniach znalezionych w poprzednich wersjach i jest najwyższą wersją protokołu TLS obsługiwaną w usłudze Azure SQL Managed Instance.

W przypadku klientów z aplikacjami korzystającymi ze starszych wersji protokołu TLS zalecamy ustawienie minimalnej wersji protokołu TLS zgodnie z wymaganiami aplikacji. W przypadku klientów korzystających z aplikacji do nawiązywania nieszyfrowanego połączenia, zalecamy nie ustawianie żadnej minimalnej wersji protokołu TLS.

Aby uzyskać więcej informacji, zobacz kwestie protokołu TLS w kontekście łączności z bazą danych SQL.

Po ustawieniu minimalnej wersji protokołu TLS próby logowania klientów używających wersji protokołu TLS niższej niż minimalna wersja protokołu TLS serwera zakończy się niepowodzeniem z powodu następującego błędu:

Error 47072
Login failed with invalid TLS version

Notatka

Po skonfigurowaniu minimalnej wersji protokołu TLS minimalna wersja jest wymuszana w warstwie aplikacji. Narzędzia, które próbują określić obsługę protokołu TLS na poziomie warstwy protokołu, mogą zwracać wersje protokołu TLS oprócz minimalnej wymaganej wersji podczas uruchamiania bezpośrednio na punkt końcowy zarządzanego wystąpienia.

Ustawianie minimalnej wersji protokołu TLS za pomocą programu PowerShell

Notatka

W tym artykule użyto modułu Azure Az programu PowerShell, który jest zalecanym modułem programu PowerShell do interakcji z platformą Azure. Aby rozpocząć pracę z modułem Azure PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az programu PowerShell, zobacz Migrate Azure PowerShell from AzureRM to Az.

Ważny

Moduł Azure Resource Manager (AzureRM) programu PowerShell został wycofany 29 lutego 2024 r. Wszystkie przyszłe programowanie powinno używać modułu Az.Sql. Zaleca się migrowanie użytkowników z modułu AzureRM do modułu Az programu PowerShell w celu zapewnienia ciągłej obsługi i aktualizacji. Moduł AzureRM nie jest już utrzymywany ani obsługiwany. Argumenty poleceń w module Az programu PowerShell i modułach AzureRM są zasadniczo identyczne. Aby uzyskać więcej informacji na temat ich zgodności, zobacz Wprowadzenie do nowego modułu Az programu PowerShell.

Poniższy skrypt wymaga modułu Azure PowerShell.

Poniższy skrypt programu PowerShell pokazuje, jak Get i Set właściwość dotycząca minimalnej wersji protokołu TLS na poziomie wystąpienia:

#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion

# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"

Ustawianie minimalnej wersji protokołu TLS za pośrednictwem interfejsu wiersza polecenia platformy Azure

Ważny

Wszystkie skrypty w tej sekcji wymagają Azure CLI.

Interfejs wiersza polecenia platformy Azure w powłoce bash

Poniższy skrypt CLI pokazuje, jak zmienić ustawienie Minimalna Wersja TLS w powłoce bash:

# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"