Mengonfigurasi versi TLS minimum untuk namespace Bus Layanan
Namespace layanan Azure Service Bus mengizinkan klien untuk mengirim dan menerima data dengan TLS 1.0 dan yang lebih baru. Guna memberlakukan langkah-langkah keamanan yang lebih ketat, Anda dapat mengonfigurasi namespace Azure Service Bus Anda untuk mewajibkan klien mengirim dan menerima data dengan versi TLS yang lebih baru. Jika namespace layanan Azure Service Bus memerlukan versi minimum TLS, maka permintaan apa pun yang dibuat dengan versi yang lebih lama akan gagal. Untuk informasi konseptual mengenai fitur ini, lihat Memberlakukan versi minimum Keamanan Lapisan Transportasi (TLS) yang diperlukan untuk permintaan ke namespace layanan Azure Service Bus.
Anda dapat mengonfigurasi versi TLS minimum menggunakan portal Azure atau templat Azure Resource Manager (ARM).
Tentukan versi TLS minimum di portal Microsoft Azure
Anda dapat menentukan versi TLS minimum saat membuat namespace Service Bus di portal Microsoft Azure pada tab Tingkat Lanjut.
Anda juga dapat menentukan versi TLS minimum untuk namespace yang ada di halaman Konfigurasi.
Gunakan Azure CLI
Untuk membuat namespace layanan dengan versi TLS minimum yang diatur ke 1.2, gunakan az servicebus namespace create perintah dengan --min-tls diatur ke 1.2.
az servicebus namespace create \
--name mynamespace \
--resource-group myresourcegroup \
--min-tls 1.2
Menggunakan Azure PowerShell
Untuk membuat namespace layanan dengan versi TLS minimum yang diatur ke 1.2, gunakan New-AzServiceBusNamespace perintah dengan -MinimumTlsVersion diatur ke 1.2.
New-AzServiceBusNamespace `
-ResourceGroup myresourcegroup `
-Name mynamespace `
-MinimumTlsVersion 1.2
Membuat templat untuk mengonfigurasi versi TLS minimum
Untuk mengonfigurasi TLS versi minimum untuk namespace layanan Microsoft Azure Service Bus, atur MinimumTlsVersion properti versi ke 1.0, 1.1, atau 1.2. Saat membuat namespace layanan Service Bus dengan templat Azure Resource Manager, properti MinimumTlsVersion diatur ke 1.2 secara default, kecuali diatur secara jelas ke versi lain.
Catatan
Namespace layanan yang dibuat menggunakan api-version sebelum 2022-01-01-preview akan memiliki 1.0 sebagai nilai untuk MinimumTlsVersion. Perilaku ini adalah nilai default sebelumnya, dan masih ada untuk kompatibilitas mundur.
Langkah-langkah berikut ini menjelaskan cara membuat templat di portal Microsoft Azure.
Di portal Microsoft Azure, pilih Buat sumber daya.
Di Telusuri Marketplace, ketik penyebaran templat, lalu tekan ENTER.
Pilih Penyebaran kustom (sebarkan menggunakan templat kustom) (pratinjau), pilih Buat, lalu pilih Buat templat Anda sendiri di editor.
Di editor templat, tempelkan JSON berikut untuk membuat namespace layanan baru dan mengatur TLS versi minimum ke TLS 1.2. Ingatlah untuk mengganti tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri.
{ "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "variables": { "serviceBusNamespaceName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]" }, "resources": [ { "name": "[variables('serviceBusNamespaceName')]", "type": "Microsoft.ServiceBus/namespaces", "apiVersion": "2022-01-01-preview", "location": "westeurope", "properties": { "minimumTlsVersion": "1.2" }, "dependsOn": [], "tags": {} } ] }Simpan templat.
Tentukan parameter grup sumber daya, kemudian pilih tombol Tinjau + buat untuk menyebarkan templat dan membuat namespace layanan dengan properti
MinimumTlsVersionyang dikonfigurasi.
Catatan
Setelah Anda memperbarui TLS versi minimum untuk namespace layanan Service Bus, mungkin diperlukan waktu hingga 30 detik sebelum perubahan disebarluaskan sepenuhnya.
Mengonfigurasi TLS versi minimum memerlukan api-version 2022-01-01-preview atau yang lebih baru dari penyedia sumber daya Azure Service Bus.
Periksa versi TLS minimum yang diperlukan untuk namespace
Untuk memeriksa versi TLS minimum yang diperlukan untuk namespace Bus Layanan, Anda dapat mengkueri Azure Resource Manager API. Anda akan memerlukan token Pembawa untuk mengkueri terhadap API, yang dapat Anda ambil menggunakan ARMClient dengan menjalankan perintah berikut.
.\ARMClient.exe login
.\ARMClient.exe token <your-subscription-id>
Setelah Anda memiliki token pembawa, Anda dapat menggunakan skrip di bawah ini dalam kombinasi dengan sesuatu seperti REST Client untuk mengkueri API.
@token = Bearer <Token received from ARMClient>
@subscription = <your-subscription-id>
@resourceGroup = <your-resource-group-name>
@namespaceName = <your-namespace-name>
###
GET https://management.azure.com/subscriptions/{{subscription}}/resourceGroups/{{resourceGroup}}/providers/Microsoft.ServiceBus/namespaces/{{namespaceName}}?api-version=2022-01-01-preview
content-type: application/json
Authorization: {{token}}
Respons akan terlihat seperti di bawah ini, dengan minimumTlsVersion yang diatur di bawah properti.
{
"sku": {
"name": "Premium",
"tier": "Premium"
},
"id": "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group-name>/providers/Microsoft.ServiceBus/namespaces/<your-namespace-name>",
"name": "<your-namespace-name>",
"type": "Microsoft.ServiceBus/Namespaces",
"location": "West Europe",
"tags": {},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": false,
"provisioningState": "Succeeded",
"status": "Active"
}
}
Menguji versi TLS minimum dari klien
Untuk menguji bahwa TLS versi minimum yang diperlukan untuk namespace layanan Service Bus melarang panggilan yang dilakukan dengan versi yang lebih lama, Anda dapat mengonfigurasi klien untuk menggunakan TLS versi sebelumnya. Untuk informasi selengkapnya tentang mengonfigurasi klien agar menggunakan versi TLS tertentu, lihat Mengonfigurasi Keamanan Lapisan Transportasi (TLS) untuk aplikasi klien.
Jika klien mengakses namespace layanan Service Bus menggunakan versi TLS yang tidak memenuhi TLS versi minimum yang dikonfigurasi untuk namespace layanan tersebut, Azure Service Bus akan menampilkan kode galat 401 (Tidak Diizinkan) dan pesan yang menunjukkan bahwa versi TLS yang digunakan tidak diizinkan untuk membuat permintaan terhadap namespace layanan Service Bus ini.
Catatan
Jika Anda mengonfigurasi TLS versi minimum untuk namespace layanan Service Bus, versi minimum tersebut akan diterapkan pada lapisan aplikasi. Alat yang mencoba menentukan dukungan TLS pada lapisan protokol dapat menampilkan versi TLS selain versi minimum yang diperlukan saat dijalankan langsung terhadap titik akhir namespace layanan Service Bus.
Langkah berikutnya
Lihat dokumentasi berikut untuk informasi selengkapnya.
- Memberlakukan Keamanan Lapisan Transportasi (TLS) versi minimum yang diperlukan untuk permintaan ke namespace layanan Service Bus
- Mengonfigurasi Keamanan Lapisan Transportasi (TLS) untuk aplikasi klien Service Bus
- Menggunakan Azure Policy untuk mengaudit kepatuhan TLS versi minimum untuk namespace layanan Service Bus