Настройка минимальной версии TLS в Управляемом экземпляре SQL Azure
Важный
Предстоящие изменения в пенсионной системе
Azure объявила, что поддержка старых версий TLS (TLS 1.0 и 1.1) заканчивается 31 августа 2025 г. Дополнительные сведения см. в статье TLS 1.0 и 1.1. Начиная с ноября 2024 г. вы больше не сможете установить минимальную версию TLS для клиентских подключений управляемого экземпляра SQL Azure ниже TLS 1.2.
Настройка минимальной версии транспортного уровня безопасности (TLS) позволяет клиентам управлять версией TLS, используемой управляемым экземпляром Azure SQL.
В настоящее время мы поддерживаем TLS 1.0, 1.1 и 1.2. Установка минимальной версии TLS гарантирует, что поддерживаются более новые версии TLS. Например, выбор версии TLS больше 1.1. означает, что принимаются только подключения с TLS 1.1 и 1.2, а TLS 1.0 отклоняются. После тестирования для подтверждения поддержки приложений рекомендуется установить минимальную версию TLS до версии 1.2, так как она включает исправления уязвимостей, обнаруженные в предыдущих версиях, и является самой высокой версией TLS, поддерживаемой в Управляемом экземпляре SQL Azure.
Для клиентов с приложениями, используюющими более старые версии TLS, рекомендуется задать минимальную версию TLS в соответствии с требованиями приложений. Для клиентов, использующих приложения для подключения с помощью незашифрованного подключения, рекомендуется не устанавливать минимальную версию TLS.
Дополнительные сведения см. в рекомендации по протоколу TLS для подключения к базе данных SQL.
После установки минимальной версии TLS попытка входа из клиентов, использующих версию TLS ниже минимальной версии TLS сервера, завершится ошибкой:
Error 47072
Login failed with invalid TLS version
Заметка
При настройке минимальной версии TLS эта минимальная версия применяется на уровне приложения. Средства, пытающиеся определить поддержку TLS на уровне протокола, могут возвращать версии TLS в дополнение к минимальной требуемой версии при выполнении непосредственно с конечной точкой управляемого экземпляра.
Установка минимальной версии TLS с помощью PowerShell
Заметка
В этой статье используется модуль Azure Az PowerShell, который является рекомендуемым модулем PowerShell для взаимодействия с Azure. Чтобы приступить к работе с модулем Az PowerShell, см. инструкцию по установке Azure PowerShell. Сведения о миграции в модуль Az PowerShell см. в статье Миграция Azure PowerShell из AzureRM в Az.
Важный
Модуль PowerShell Azure Resource Manager (AzureRM) был устаревшим с 29 февраля 2024 г. Все будущие разработки должны использовать модуль Az.Sql. Пользователям рекомендуется выполнить миграцию из AzureRM в модуль Az PowerShell, чтобы обеспечить постоянную поддержку и обновления. Модуль AzureRM больше не поддерживается и не сопровождается. Аргументы команд в модуле Az PowerShell и в модулях AzureRM существенно идентичны. Дополнительные сведения о совместимости см. в статье Знакомство с новым модулем Az PowerShell.
Для выполнения следующего скрипта требуется модуль Azure PowerShell .
В следующем скрипте PowerShell показано, как Get и Set свойству минимальной версии TLS на уровне экземпляра:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Настройка минимальной версии TLS с помощью Azure CLI
Azure CLI в оболочке Bash
В следующем скрипте CLI показано, как изменить настройку Минимальная версия TLS в оболочке bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"