Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важный
Изменения в пенсии
Azure объявила, что поддержка старых версий TLS (TLS 1.0 и 1.1) заканчивается 31 августа 2025 г. Дополнительные сведения см. в статье TLS 1.0 и 1.1. Начиная с ноября 2024 г. вы больше не сможете задать минимальную версию TLS для клиентских подключений управляемого экземпляра SQL Azure ниже TLS 1.2.
Минимальный параметр версии TLS позволяет клиентам управлять версией TLS, используемой управляемым экземпляром SQL Azure.
Установка минимальной версии TLS до версии 1.2 в настоящее время применяется для управляемого экземпляра SQL. Установка минимальной версии TLS гарантирует, что поддерживаются более новые версии TLS. Принимаются только подключения, использующие TLS 1.2 или более поздней версии.
Дополнительные сведения см. в рекомендации по протоколу TLS для подключения к базе данных SQL.
После установки минимальной версии TLS попытка входа из клиентов, использующих версию TLS ниже минимальной версии TLS сервера, завершится ошибкой:
Error 47072
Login failed with invalid TLS version
Заметка
- При настройке минимальной версии TLS эта минимальная версия применяется на уровне приложения. Средства, пытающиеся определить поддержку TLS на уровне протокола, могут возвращать версии TLS в дополнение к минимальной требуемой версии при выполнении непосредственно с конечной точкой управляемого экземпляра.
- ПРОТОКОЛ TLS 1.0 и 1.1 больше недоступен.
Установка минимальной версии TLS с помощью PowerShell
Заметка
В этой статье используется модуль Azure Az PowerShell, который является рекомендуемым модулем PowerShell для взаимодействия с Azure. Чтобы приступить к работе с модулем Az PowerShell, см. инструкцию по установке Azure PowerShell. Сведения о миграции в модуль Az PowerShell см. в статье Миграция Azure PowerShell из AzureRM в Az.
Важный
Модуль PowerShell Azure Resource Manager (AzureRM) был устаревшим с 29 февраля 2024 г. Все будущие разработки должны использовать модуль Az.Sql. Пользователям рекомендуется выполнить миграцию из AzureRM в модуль Az PowerShell, чтобы обеспечить постоянную поддержку и обновления. Модуль AzureRM больше не поддерживается и не сопровождается. Аргументы команд в модуле Az PowerShell и в модулях AzureRM существенно идентичны. Дополнительные сведения о совместимости см. в статье Знакомство с новым модулем Az PowerShell.
Для выполнения следующего скрипта требуется модуль Azure PowerShell .
В следующем скрипте PowerShell показано, как Get и Set свойству минимальной версии TLS на уровне экземпляра:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Настройка минимальной версии TLS с помощью Azure CLI
Важный
Для всех сценариев в этом разделе требуется Azure CLI.
Azure CLI в оболочке Bash
В следующем скрипте CLI показано, как изменить настройку Минимальная версия TLS в оболочке bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Предстоящие изменения о выходе TLS 1.0 и 1.1
Azure объявила, что поддержка старых версий TLS (TLS 1.0 и 1.1) заканчивается 31 августа 2025 г. Дополнительные сведения см. в статье TLS 1.0 и 1.1.
Начиная с ноября 2024 г. вы больше не сможете установить минимальную версию TLS для базы данных SQL Azure и клиентских подключений управляемого экземпляра SQL Azure ниже TLS 1.2.
Почему протокол TLS 1.0 и 1.1 отменяется?
TLS версии 1.0 и 1.1 устарели и больше не соответствуют современным стандартам безопасности. Они уходят в отставку:
- Уменьшите воздействие известных уязвимостей.
- Соответствие отраслевым рекомендациям и требованиям к соответствию требованиям.
- Убедитесь, что клиенты используют более надежные протоколы шифрования, такие как TLS 1.2 или TLS 1.3.
Что произойдет, если tls 1.0 и 1.1 используются после 31 августа 2025 г.?
После 31 августа 2025 г. tls 1.0 и 1.1 больше не будет поддерживаться, а подключения с использованием TLS 1.0 и 1.1, скорее всего, завершится сбоем. Крайне важно перейти к минимуму TLS 1.2 или выше до крайнего срока.
Как проверить, используются ли экземпляры БАЗЫ данных SQL, Управляемого экземпляра SQL, Cosmos DB или MySQL TLS 1.0/1.1?
Чтобы определить клиенты, подключающиеся к базе данных SQL Azure с помощью TLS 1.0 и 1.1, необходимо включить журналы аудита SQL . С включенным аудитом можно просматривать клиентские подключения.
Чтобы определить клиенты, подключающиеся к управляемому экземпляру SQL Azure с помощью TLS 1.0 и 1.1, необходимо включить аудит . С включенным аудитом можно использовать журналы аудита с помощью службы хранилища Azure, Центров событий или журналов Azure Monitor для просмотра клиентских подключений.
Чтобы проверить минимальную версию TLS для Azure Cosmos DB, получите текущее значение
minimalTlsVersionсвойства с помощью Azure CLI или Azure PowerShell.Чтобы проверить минимальную версию TLS, настроенную для сервера Базы данных Azure для MySQL, проверьте значение
tls_versionпараметра сервера с помощью интерфейса командной строки MySQL, чтобы понять, какие протоколы настроены.
Почему моя служба помечена, если я уже настроила TLS 1.2?
Службы могут быть неправильно помечены из-за:
- Периодический возврат к старым версиям TLS устаревшими клиентами.
- Неправильно настроенные клиентские библиотеки или строки подключения, которые не применяют TLS 1.2.
- Задержка телеметрии или ложные срабатывания в логике обнаружения.
Что делать, если я получил уведомление об выходе на пенсию в ошибке?
Если сервер или база данных уже настроены с минимальным протоколом TLS 1.2 или настроены без минимального TLS (параметр по умолчанию в базе данных SQL и управляемом экземпляре minimalTLSVersion SQL, сопоставленном 0с ) и подключение с 1.2, никаких действий не требуется.
Что произойдет, если приложение или клиентская библиотека не поддерживает TLS 1.2?
Подключения завершаются ошибкой после отключения TLS 1.0/1.1. Необходимо обновить клиентские библиотеки, драйверы или платформы до версий, поддерживающих TLS 1.2.
Что делать, если сервер настроен без минимальной версии TLS?
Серверы, настроенные без минимальной версии TLS и подключения к TLS 1.0/1.1, должны быть обновлены до минимальной версии TLS 1.2. Для серверов, настроенных без минимальной версии TLS и подключения к версии 1.2, никаких действий не требуется. Для серверов, настроенных без минимальной версии TLS и использования зашифрованных подключений, никаких действий не требуется.
Как получать уведомления об выходе на пенсию TLS для моих ресурсов?
Напоминания по электронной почте будут продолжаться до выхода TLS 1.0 и 1.1 в августе.
Кто может связаться, если мне нужна помощь в проверке или обновлении параметров TLS?
Если вам нужна помощь по проверке или обновлению параметров TLS, обратитесь в Microsoft Q&A или откройте запрос в службу поддержки на портале Azure, если у вас есть план поддержки.
Связанный контент
- архитектура подключения для управляемого экземпляра SQL Azure