Konfigurieren der Transport Layer Security (TLS) für eine Clientanwendung

Aus Sicherheitsgründen ist es für ein Azure Storage-Konto möglicherweise erforderlich, dass Clients eine Mindestversion von Transport Layer Security (TLS) zum Senden von Anforderungen verwenden. Aufrufe an Azure Storage schlagen fehl, wenn der Client eine TLS-Version verwendet, die niedriger als die erforderliche Mindestversion ist. Wenn für ein Speicherkonto zum Beispiel TLS 1.2 erforderlich ist, schlägt eine Anforderung fehl, die von einem Client gesendet wird, der TLS 1.1 verwendet.

In diesem Artikel wird beschrieben, wie Sie eine Clientanwendung für die Verwendung einer bestimmten TLS-Version konfigurieren. Informationen dazu, wie Sie eine mindestens erforderliche Version von TLS für ein Azure Storage-Konto konfigurieren, finden Sie unter Konfigurieren der erforderlichen Mindestversion der Transport Layer Security (TLS) für ein Speicherkonto.

Konfigurieren der TLS-Clientversion

Damit ein Client eine Anforderung mit einer bestimmten TLS-Version senden kann, muss das Betriebssystem diese Version unterstützen.

In den folgenden Beispielen wird gezeigt, wie die TLS-Version des Clients von PowerShell oder .NET auf 1.2 festgelegt wird. Die vom Client verwendete .NET Framework-Instanz muss TLS 1.2 unterstützen. Weitere Informationen finden Sie unter Unterstützung für TLS 1.2.

PowerShell

Im folgenden Beispiel wird gezeigt, wie Sie TLS 1.2 in einem PowerShell-Client aktivieren:

# Set the TLS version used by the PowerShell client to TLS 1.2.
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;

# Create a new container.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
New-AzStorageContainer -Name "sample-container" -Context $ctx

.NET

Im folgenden Beispiel wird gezeigt, wie Sie TLS 1.2 in einem .NET-Client mit Version 12 der Azure Storage-Clientbibliothek aktivieren.

public static async Task ConfigureTls12()
{
    // Enable TLS 1.2 before connecting to Azure Storage
    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.
    string connectionString = "";

    // Create a new container with Shared Key authorization.
    BlobContainerClient containerClient = new BlobContainerClient(connectionString, "sample-container");
    await containerClient.CreateIfNotExistsAsync();
}

Überprüfen der von einem Client verwendeten TLS-Version

Wenn Sie überprüfen möchten, ob die angegebene TLS-Version vom Client verwendet wurde, um eine Anforderung zu senden, können Sie Fiddler oder ein ähnliches Tool verwenden. Öffnen Sie Fiddler, um den Netzwerkdatenverkehr auf dem Client zu erfassen, und führen Sie dann eines der Beispiele im vorherigen Abschnitt aus. Sehen Sie sich die Fiddler-Ablaufverfolgung an, um zu bestätigen, dass wie im Bild unten dargestellt die richtige TLS-Version zum Senden der Anforderung verwendet wurde.

Nächste Schritte

• Konfigurieren der erforderlichen Mindestversion der Transport Layer Security (TLS) für ein Speicherkonto
• Sicherheitsempfehlungen für Blob Storage