Настройка протокола TLS для клиентского приложения

В целях безопасности учетной записи службы хранилища Azure может потребоваться, чтобы клиенты использовали для отправки запросов минимальную версию протокола TLS. Вызовы службы хранилища Azure завершатся ошибкой, если клиент использует версию TLS ниже минимальной требуемой версии. Например, если учетной записи хранения требуется ПРОТОКОЛ TLS 1.2, запрос, отправленный клиентом, использующим TLS 1.1, завершится ошибкой.

В этой статье описывается, как настроить клиентское приложение для использования определенной версии TLS. Сведения о том, как настроить минимально необходимую версию TLS для учетной записи службы хранилища Azure, см. в статье Настройка минимальной требуемой версии протокола TLS для учетной записи хранения.

Настройка версии TLS на клиенте

Чтобы клиент мог отправить запрос, используя определенную версию протокола TLS, операционная система должна поддерживать эту версию.

В следующих примерах показано, как задать для клиента версию TLS 1.2 из PowerShell или .NET. Платформа .NET Framework, используемая клиентом, должна поддерживать TLS 1.2. Подробнее см. на странице Поддержка TLS 1.2.

PowerShell

В следующем примере показано, как включить TLS 1.2 в клиенте PowerShell.

# Set the TLS version used by the PowerShell client to TLS 1.2.
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;

# Create a new container.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
New-AzStorageContainer -Name "sample-container" -Context $ctx

.NET

В следующем примере показано, как включить TLS 1.2 в клиенте .NET с помощью клиентской библиотеки службы хранилища Azure версии 12.

public static async Task ConfigureTls12()
{
    // Enable TLS 1.2 before connecting to Azure Storage
    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.
    string connectionString = "";

    // Create a new container with Shared Key authorization.
    BlobContainerClient containerClient = new BlobContainerClient(connectionString, "sample-container");
    await containerClient.CreateIfNotExistsAsync();
}

Проверка версии TLS, используемой клиентом

Чтобы убедиться, что клиент использовал для отправки запроса указанную версию протокола TLS, можно использовать Fiddler или аналогичное средство. Откройте Fiddler, чтобы начать запись сетевого трафика клиента, а затем выполните один из примеров из предыдущего раздела. Просмотрите трассировку Fiddler и убедитесь, что для отправки запроса использовалась правильная версия протокола TLS, как показано на следующем рисунке.

Дальнейшие действия

• Настройка минимальной требуемой версии протокола TLS для учетной записи хранения
• Рекомендации по обеспечению безопасности для хранилища BLOB-объектов