Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ПРИМЕНИМО К: все уровни API Management
Azure API Management поддерживает несколько версий протокола TLS для защиты трафика API для:
- Клиентская сторона (клиент для шлюза API Management)
- Серверная часть (шлюз API Management к серверной части)
API Management также поддерживает несколько наборов шифров, используемых шлюзом API.
API Management поддерживает версии TLS до TLS 1.3 для подключения клиента и серверной части и нескольких поддерживаемых наборов шифров. В этом руководстве показано, как управлять конфигурацией протоколов и шифров для экземпляра Azure API Management.
Примечание.
- Если вы используете локальный шлюз, ознакомьтесь с безопасностью локального шлюза для управления протоколами TLS и наборами шифров.
- Следующие уровни не поддерживают изменения конфигурации шифров по умолчанию: Consumption, Basic v2, Standard v2, Premium v2.
- В рабочих областях управляемый шлюз не поддерживает изменения протокола по умолчанию и конфигурации шифров.
Примечание.
В зависимости от уровня служб API Management изменения могут занять от 15 до 45 минут или дольше. Экземпляр на уровне служб разработчика испытывает время простоя в процессе выполнения. Экземпляры на базовом и более высоких уровнях не испытывают простоя во время выполнения процесса.
Предварительные условия
- Экземпляр API Management. Создайте его, если у вас его нет.
Перейдите к вашей инстанции API Management
На портале Azure найдите и выберите службы управления API:
На странице служб API Management выберите экземпляр API Management:
Управление протоколами TLS и наборами шифров
- В боковом меню экземпляра API Management в разделе Безопасность выберите Протоколы и шифры.
- Включите или отключите нужные протоколы или шифры.
- Выберите Сохранить.
Примечание.
Некоторые протоколы или наборы шифров, такие как серверная часть TLS 1.2, не могут быть включены или отключены из Azure portal. Вместо этого необходимо применить вызов REST API для этих обновлений (только на стороне серверной части). Используйте структуру properties.customProperties в Create/Update API Management Service REST API.
Поддержка TLS 1.3
Поддержка TLS 1.3 доступна во всех уровнях служб API Management. В большинстве экземпляров, созданных на этих уровнях служб, протокол TLS 1.3 по умолчанию включен для клиентских подключений. Включение серверной части TLS 1.3 является необязательным. ПРОТОКОЛ TLS 1.2 также включен по умолчанию как на стороне клиента, так и на стороне сервера.
TLS 1.3 — это основная редакция протокола TLS, которая обеспечивает улучшенную безопасность и производительность. Он включает такие функции, как снижение задержки рукопожатия и улучшенная защита от определенных типов атак.
При необходимости включите TLS 1.3, если для клиентов требуется повторное согласование сертификатов
TLS 1.3 не поддерживает повторное согласование сертификатов. Повторное согласование сертификатов в TLS позволяет клиенту и серверу перенастраивать параметры подключения в середине сеанса для проверки подлинности без прекращения подключения.
Экземпляры API Management, которые обнаружены как зависящие от повторного согласования сертификата клиента, по умолчанию имеют отключённый TLS 1.3. В этих случаях можно вручную включить TLS 1.3.
Предупреждение
Если к api-интерфейсам обращаются клиенты, совместимые с TLS, использующие повторное согласование сертификатов, включение TLS 1.3 для клиентских подключений приведет к сбою подключения этих клиентов. Просмотрите API, которые недавно использовали повторное представление сертификата, прежде чем включить протокол TLS 1.3 на стороне клиента в любой службе, которая не включает его по умолчанию.
Чтобы включить TLS 1.3 для клиентских подключений в этих экземплярах, настройте параметры на странице протоколов и шифров :
- На странице "Протоколы + шифры" в разделе протокола клиента рядом с TLS 1.3 выберите "Просмотр конфигурации" и "Управление ими".
- Посмотрите список недавних ренеготиаций клиентских сертификатов. В списке показаны операции API, в которых клиенты недавно использовали переговоры по переустановке клиентских сертификатов.
- Если вы решили включить TLS 1.3 для клиентских подключений, в разделе "Изменение состояния TLS 1.3" нажмите кнопку "Включить".
- Нажмите кнопку "Закрыть".
После включения TLS 1.3 просмотрите метрики запросов шлюза или исключения, связанные с TLS, в журналах, которые указывают на сбои подключения TLS. При необходимости отключите TLS 1.3 для клиентских подключений и выполните откат до версии TLS 1.2.
Если необходимо отключить TLS 1.3 для клиентских подключений в этих экземплярах, настройте параметры на странице протоколов и шифров :
- На странице "Протоколы + шифры" в разделе протокола клиента рядом с TLS 1.3 выберите "Просмотр конфигурации" и "Управление ими".
- В разделе "Изменение состояния TLS 1.3" выберите "Отключить".
- Нажмите кнопку "Закрыть".
Серверная часть TLS 1.3
Включение серверной части TLS 1.3 является необязательным. Если этот параметр включен, API Management использует TLS 1.3 для подключений к внутренним службам.
Предупреждение
Включение TLS 1.3 для внутренних подключений приведет к сбоям подключения с внутренними службами, которые используют повторное согласование сертификатов клиента между API Management и серверными службами.
Серверная часть TLS 1.3 можно включить на странице "Протоколы + шифры ":
- На странице "Протоколы + шифры" в разделе "Внутренний протокол " рядом с TLS 1.3 выберите "Просмотр конфигурации" и "Управление ими".
- В разделе "Изменение состояния TLS 1.3" выберите "Включить".
- Выберите Сохранить.
Связанный контент
- Рекомендации по защите экземпляра API Management можно найти в базовом уровне безопасности Azure для API Management.
- Узнайте о вопросах безопасности в лучших практиках архитектуры управления API API Management.
- Дополнительные сведения о TLS.