你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 应用服务 TLS 概述
注意
客户可能会注意到与 Azure 服务交互的 TLS 1.0 和 1.1 的停用通知。 此停用不会影响在应用服务或 Azure Functions 上运行的应用程序。 配置为接受面向传入请求的 TLS 1.0 或 TLS 1.1 的应用服务或 Azure Functions 上的应用程序将继续运行而不受影响。
TLS 在 Azure 应用服务中的作用是什么?
传输层安全性 (TLS) 是一种广泛使用的安全协议,旨在保护服务器和客户端之间的连接和通信。 Azure 应用服务允许客户使用 TLS/SSL 证书来保护对其 Web 应用的传入请求。 Azure 应用服务目前支持不同的 TLS 功能集,供客户保护其 Web 应用。
提示
可以向 Azure Copilot 提出以下问题:
- 应用服务支持哪些版本的 TLS?
- 与以前的版本相比,使用 TLS 1.3 有什么好处?
- 如何更改应用服务环境的密码套件顺序?
若要查找 Azure Copilot,请在 Azure 门户 工具栏上,选择“Copilot”。
应用服务上支持的 TLS 版本?
对于 Web 应用的传入请求,Azure 应用服务支持 TLS 版本 1.0、1.1、1.2 和 1.3。
设置最低 TLS 版本
按照以下步骤更改应用服务资源的最低 TLS 版本:
- 在 Azure 门户中浏览到你的应用
- 在左侧菜单中,选择“配置”,然后选择“常规设置”选项卡。
- 在“最低入站 TLS 版本”上,使用下拉列表选择所需的版本。
- 选择“保存”,保存更改。
最低 TLS 版本与 Azure Policy
当涉及到最低 TLS 版本时,可以使用 Azure Policy 来帮助审核资源。 可以参考应用服务应用应使用最新的 TLS 版本策略定义一文,并将值更改为所需的最低 TLS 版本。 有关其他应用服务资源的类似策略定义,请参阅内置策略定义列表 - 适用于应用服务的 Azure Policy。
最低 TLS 版本和 SCM 最低 TLS 版本
Azure 应用服务还允许为 Web 应用和 SCM 站点的传入请求设置最低 TLS 版本。 默认情况下,在门户和 API 上,对 Web 应用和 SCM 的传入请求的最低 TLS 版本将设置为 1.2。
TLS 1.3
TLS 1.3 中提供了最低 TLS 密码套件设置。 这包括密码套件顺序最前面的两个密码套件:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 和 1.1
TLS 1.0 和 1.1 被视为旧协议,不再被视为安全协议。 通常,建议客户使用 TLS 1.2 或更高版本作为最低 TLS 版本。 创建 Web 应用时,默认的最低 TLS 版本为 TLS 1.2。
为了确保 TLS 1.0 和 TLS 1.1 的后向兼容性,Azure 应用服务将继续支持对 Web 应用的传入请求使用 TLS 1.0 和 1.1。 但是,由于默认最低 TLS 版本设置为 TLS 1.2,因此需要将 Web 应用上的最低 TLS 版本配置更新为 TLS 1.0 或 1.1,这样请求就不会被拒绝。
重要
对 Web 应用的传入请求和对 Azure 的传入请求的处理方式不同。 Azure 应用服务将继续对 Web 应用的传入请求支持 TLS 1.0 和 1.1。 对于直接传入 Azure 控制平面的请求,例如通过 ARM 或 API 调用,不建议使用 TLS 1.0 或 1.1。
最低 TLS 密码套件
注意
多租户应用服务上的基本和更高级别 SKU 支持最低 TLS 密码套件。
最低 TLS 密码套件包括一个固定的密码套件列表,其中包含无法更改的最佳优先级顺序。 不建议对密码套件重新排序或重新排列优先级,因为这可能会将 Web 应用暴露给较弱的加密。 也不能向此列表添加新的或不同的密码套件。 选择最小密码套件时,系统会自动禁用 Web 应用的所有安全性较差的密码套件,而不允许有选择地禁用某些较弱的密码套件。
什么是密码套件以及它们如何在应用服务上运行?
密码套件是一组指令,其中包含有助于保护客户端和服务器之间的网络连接的算法和协议。 默认情况下,前端的操作系统会选取应用服务和客户端支持的最安全的密码套件。 但是,如果客户端仅支持弱密码套件,则前端的操作系统最终会选取两者支持的弱密码套件。 如果你所在的组织对不允许使用的密码套件设有限制,你可以更新 Web 应用的最低 TLS 密码套件属性,确保对 Web 应用禁用较弱的密码套件。
具有群集设置 FrontEndSSLCipherSuiteOrder
的应用服务环境 (ASE) V3
对于具有 FrontEndSSLCipherSuiteOrder
群集设置的应用服务环境,需要更新设置以包括两个 TLS 1.3 密码套件(TLS_AES_256_GCM_SHA384 和 TLS_AES_128_GCM_SHA256)。 更新后,重启前端,使更改生效。 仍必须包括文档中所述的两个必需的密码套件。
端到端 TLS 加密
高级应用服务计划(以及旧版标准应用服务计划)中提供了端到端 (E2E) TLS 加密。 应用服务前端与运行应用程序工作负载的辅助角色之间的前端群集内流量现在可以加密。