Настройка протокола TLS для клиентского приложения служебной шины

В целях безопасности пространство имен служебной шины Azure может потребовать, чтобы клиенты использовали для отправки запросов минимальную версию протокола TLS. Вызовы служебной шины Azure завершатся ошибкой, если клиент использует версию TLS ниже минимальной требуемой версии. Например, если пространство имен службы требует использовать TLS 1.2, то запрос, отправленный клиентом, который использует версию TLS 1.1, завершится ошибкой.

В этой статье описывается, как настроить клиентское приложение для использования определенной версии TLS. Сведения о настройке минимальной требуемой версии TLS для пространства имен служебной шины Azure см. в разделе Принудительное применение минимальной требуемой версии протокола TLS для запросов к пространству имен служебной шины.

Настройка версии TLS на клиенте

Чтобы клиент мог отправить запрос, используя определенную версию протокола TLS, операционная система должна поддерживать эту версию.

В следующем примере показано, как задать для клиента версию TLS 1.2 из .NET. Платформа .NET Framework, используемая клиентом, должна поддерживать TLS 1.2. Подробнее см. на странице Поддержка TLS 1.2.

.NET

В следующем примере показано, как включить TLS 1.2 в клиенте .NET с помощью клиентской библиотеки Azure.Messaging.ServiceBus служебной шины.

{
    // Enable TLS 1.2 before connecting to Service Bus
    HttpClientHandler handler = new HttpClientHandler();
    handler.SslProtocols = System.Security.Authentication.SslProtocols.Tls12;
    HttpClient httpClient = new HttpClient(handler);
    
    // Connection string to your Service Bus namespace
    string connectionString = "<NAMESPACE CONNECTION STRING>";
    
    // Name of your Service Bus queue
    string queueName = "<QUEUE NAME>";

    // The client that owns the connection and can be used to create senders and receivers
    static ServiceBusClient client = new ServiceBusClient(connectionString);
    
    // The sender used to publish messages to the queue
    ServiceBusSender sender = client.CreateSender(queueName);
    
    // Use the producer client to send a message to the Service Bus queue
    await sender.SendMessagesAsync(new ServiceBusMessage($"Message for TLS check")));
}

Java

Минимальная версия Java для пакетов SDK для обмена сообщениями — Java 8. Для установок Java 8 версия TLS по умолчанию — 1.2. Для Java 11 и более поздних версий по умолчанию используется TLS 1.3.

Пакеты SDK для обмена сообщениями для Java используют значение по умолчанию SSLContext из JDK. Это значит, что если вы настроите протокол TLS c JDK с помощью системных свойств, задокументированных виртуальными машинами Java, библиотеки обмена сообщениями Java будут неявно использовать его. Например, для виртуальных машин Java на основе OpenJDK можно использовать системное свойство jdk.tls.client.protocols. Например, -Djdk.tls.client.protocols=TLSv1.2.

Существует несколько других способов включения TLS 1.2, включая следующий:

sslSocket.setEnabledProtocols(new String[] {"TLSv1. 2"});

Проверка версии TLS, используемой клиентом

Чтобы убедиться, что клиент использовал для отправки запроса указанную версию протокола TLS, можно использовать Fiddler или аналогичное средство. Откройте Fiddler, чтобы начать запись сетевого трафика клиента, а затем выполните один из примеров из предыдущего раздела. Просмотрите трассировку Fiddler и убедитесь, что для отправки запроса использовалась правильная версия протокола TLS.

Дальнейшие действия

Дополнительные сведения см. в следующей документации:

• Настройка минимально требуемой версии протокола TLS для запросов к пространству имен служебной шины
• Настройка минимальной версии TLS для пространства служебной шины
• Использование Политики Azure для выполнения аудита на предмет соответствия требованиям по использованию минимальной версии TLS для пространства имен служебной шины