Konfigurera den lägsta TLS-versionen för ett Service Bus-namnområde

Azure Service Bus-namnrymder tillåter att klienter skickar och tar emot data med TLS 1.0 och senare. Om du vill tillämpa strängare säkerhetsåtgärder kan du konfigurera Service Bus-namnrymden så att klienterna måste skicka och ta emot data med en nyare version av TLS. Om en Service Bus-namnrymd kräver en lägsta version av TLS misslyckas alla begäranden som görs med en äldre version. Konceptuell information om den här funktionen finns i Framtvinga en lägsta version av TLS (Transport Layer Security) för begäranden till ett Service Bus-namnområde.

Du kan konfigurera den lägsta TLS-versionen med hjälp av mallen Azure Portal eller Azure Resource Manager (ARM).

Varning

Från och med den 28 februari 2025 stöds inte längre TLS 1.0 och TLS 1.1 på Azure Service Bus. Den lägsta TLS-versionen är 1.2 för alla Service Bus-distributioner.

Viktigt!

Den 31 oktober 2024 aktiveras TLS 1.3 för AMQP-trafik. TLS 1.3 är redan aktiverat för HTTPS-trafik. Java-klienter kan ha problem med TLS 1.3 på grund av ett beroende av en äldre version av Proton-J. Mer information finns i Java-klientändringar för att stödja TLS 1.3 med Azure Service Bus och Azure Event Hubs

Ange den lägsta TLS-versionen i Azure Portal

Du kan ange den lägsta TLS-versionen när du skapar ett Service Bus-namnområde i Azure Portal på fliken Avancerat.

Du kan också ange den lägsta TLS-versionen för ett befintligt namnområde på sidan Konfiguration .

Använda Azure CLI

Om du vill skapa ett namnområde med lägsta TLS-version inställd på 1.2 använder du az servicebus namespace create kommandot med --min-tls värdet 1.2.

az servicebus namespace create \
    --name mynamespace \
    --resource-group myresourcegroup \
    --min-tls 1.2

Använda Azure PowerShell

Om du vill skapa ett namnområde med lägsta TLS-version inställd på 1.2 använder du New-AzServiceBusNamespace kommandot med -MinimumTlsVersion värdet 1.2.

New-AzServiceBusNamespace `
    -ResourceGroup myresourcegroup `
    -Name mynamespace `
    -MinimumTlsVersion 1.2

Skapa en mall för att konfigurera den lägsta TLS-versionen

Om du vill konfigurera den lägsta TLS-versionen för ett Service Bus-namnområde anger du versionsegenskapen MinimumTlsVersion till 1.0, 1.1 eller 1.2. När du skapar ett Service Bus-namnområde med en Azure Resource Manager-mall MinimumTlsVersion är egenskapen inställd på 1.2 som standard, såvida den inte uttryckligen anges till en annan version.

Kommentar

Namnområden som skapats med en api-version före 2022-01-01-preview har 1.0 som värde för MinimumTlsVersion. Det här beteendet var den tidigare standardinställningen och finns fortfarande där för bakåtkompatibilitet.

Följande steg beskriver hur du skapar en mall i Azure Portal.

1. I Azure Portal väljer du Skapa en resurs.

2. I Sök på Marketplace skriver du anpassad distribution och trycker sedan på RETUR.

3. Välj Anpassad distribution (distribuera med anpassade mallar) (förhandsversion), välj Skapa och välj sedan Skapa en egen mall i redigeraren.

4. I mallredigeraren klistrar du in följande JSON för att skapa ett nytt namnområde och anger den lägsta TLS-versionen till TLS 1.2. Kom ihåg att ersätta platshållarna i vinkelparenteser med dina egna värden.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('serviceBusNamespaceName')]",
           "type": "Microsoft.ServiceBus/namespaces",
           "apiVersion": "2022-01-01-preview",
           "location": "westeurope",
           "properties": {
               "minimumTlsVersion": "1.2"
           },
           "dependsOn": [],
           "tags": {}
           }
       ]
   }
   

5. Spara mallen.

6. Ange resursgruppsparameter och välj sedan knappen Granska + skapa för att distribuera mallen och skapa ett namnområde med egenskapen MinimumTlsVersion konfigurerad.

Kommentar

När du har uppdaterat den lägsta TLS-versionen för Service Bus-namnområdet kan det ta upp till 30 sekunder innan ändringen är helt spridd.

För att konfigurera den lägsta TLS-versionen krävs api-version 2022-01-01-preview eller senare av Azure Service Bus-resursprovidern.

Kontrollera den lägsta TLS-version som krävs för ett namnområde

Om du vill kontrollera den lägsta TLS-version som krävs för Service Bus-namnområdet kan du fråga Azure Resource Manager-API:et. Du behöver en ägartoken för att köra frågor mot API:et, som du kan hämta med ARMClient genom att köra följande kommandon.

.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>

När du har din ägartoken kan du använda skriptet nedan i kombination med något som LIKNAR REST Client för att fråga API:et.

@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>

###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}

Svaret bör se ut ungefär som nedan, med minimumTlsVersion inställt under egenskaperna.

{
  "sku": {
    "name": "Premium",
    "tier": "Premium"
  },
  "id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
  "name": "<your-namespace-name>",
  "type": "Microsoft.ServiceBus/Namespaces",
  "location": "West Europe",
  "tags": {},
  "properties": {
    "minimumTlsVersion": "1.2",
    "publicNetworkAccess": "Enabled",
    "disableLocalAuth": false,
    "zoneRedundant": false,
    "provisioningState": "Succeeded",
    "status": "Active"
  }
}

Testa den lägsta TLS-versionen från en klient

Om du vill testa att den lägsta nödvändiga TLS-versionen för ett Service Bus-namnområde förbjuder anrop som görs med en äldre version kan du konfigurera en klient att använda en äldre version av TLS. Mer information om hur du konfigurerar en klient för att använda en viss version av TLS finns i Konfigurera TLS (Transport Layer Security) för ett klientprogram.

När en klient får åtkomst till ett Service Bus-namnområde med en TLS-version som inte uppfyller den lägsta TLS-version som konfigurerats för namnområdet, returnerar Azure Service Bus felkoden 401 (obehörig) och ett meddelande som anger att den TLS-version som användes inte är tillåten för att göra begäranden mot det här Service Bus-namnområdet.

Kommentar

När du konfigurerar en lägsta TLS-version för ett Service Bus-namnområde tillämpas den lägsta versionen på programnivån. Verktyg som försöker fastställa TLS-stöd på protokolllagret kan returnera TLS-versioner utöver den lägsta version som krävs när de körs direkt mot Service Bus-namnområdesslutpunkten.

Nästa steg

Mer information finns i följande dokumentation.

• Framtvinga en lägsta nödvändig version av TLS (Transport Layer Security) för begäranden till ett Service Bus-namnområde
• Konfigurera TLS (Transport Layer Security) för ett Service Bus-klientprogram
• Använda Azure Policy för att granska efterlevnad av lägsta TLS-version för ett Service Bus-namnområde