Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
GÄLLER FÖR: Alla API Management-nivåer
Azure API Management stöder flera versioner av TLS-protokollet (Transport Layer Security) för att skydda API-trafik för:
- Klientsidan (klient till API Management-gateway)
- Serverdelssidan (API Management-gateway till serverdel)
API Management stöder även flera chiffersviter som används av API-gatewayen.
Beroende på tjänstnivå stöder API Management TLS-versioner upp till 1.2 eller TLS 1.3 för klient- och serverdelsanslutning och flera chiffersviter som stöds. Den här guiden visar hur du hanterar protokoll och chifferkonfiguration för en Azure API Management-instans.
Note
- Om du använder den lokalt installerade gatewayen kan du läsa säkerhet för lokalt installerad gateway för att hantera TLS-protokoll och chiffersviter.
- Följande nivåer stöder inte ändringar i standardkonfigurationen för chiffer: Konsumtion, Basic v2, Standard v2, Premium v2.
- I arbetsytor stöder den hanterade gatewayen inte ändringar i standardprotokollet och chifferkonfigurationen.
Note
Beroende på API Management-tjänstnivån kan det ta 15 till 45 minuter eller längre att tillämpa ändringarna. En instans på tjänstnivån Utvecklare har stilleståndstid under processen. Instanser på basic- och högre nivåer har inte stilleståndstid under processen.
Förutsättningar
- En API Management-instans. Skapa en om du inte redan har gjort det.
Gå till API Management-instansen
I Azure -portalensöker du efter och väljer API Management-tjänster:
På sidan API Management Services väljer du din API Management-instans:
Hantera TLS-protokoll och chiffersviter
- I det vänstra navigeringsfältet för DIN API Management-instans går du till Säkerhet och väljer Protokoll + chiffer.
- Aktivera eller inaktivera önskade protokoll eller chiffer.
- Välj Spara.
Note
Vissa protokoll eller chiffersviter (till exempel TLS 1.2 på serversidan) kan inte aktiveras eller inaktiveras från Azure Portal. I stället måste du tillämpa REST API-anropet.
properties.customProperties Använd strukturen i REST API:et Create/Update API Management Service.
TLS 1.3-stöd på klassiska nivåer
TLS 1.3-stöd är tillgängligt på den klassiska API Management-tjänstnivån (Förbrukning, Utvecklare, Basic, Standard och Premium). I de flesta fall som skapats på dessa tjänstnivåer är TLS 1.3 permanent aktiverat som standard för anslutningar på klientsidan. Det är valfritt att aktivera TLS 1.3 på serversidan. TLS 1.2 är också aktiverat som standard på både klient- och serverdelssidan.
TLS 1.3 är en viktig revision av TLS-protokollet som ger bättre säkerhet och prestanda. Den innehåller funktioner som kortare svarstid för handskakning och förbättrad säkerhet mot vissa typer av attacker.
Note
V2-nivåerna för API Management- och arbetsytegatewayer stöder som standard TLS 1.2 för anslutningar på klientsidan och på serversidan. De stöder för närvarande inte TLS 1.3.
Du kan också aktivera TLS 1.3 när klienter kräver omförhandling av certifikat
TLS 1.3 stöder inte omförhandling av certifikat. Omförhandling av certifikat i TLS gör att klienten och servern kan omförhandla anslutningsparametrar mitt i sessionen för autentisering utan att avsluta anslutningen.
Tjänster som vi har identifierat som beroende av omförhandling av klientcertifikat har inte TLS 1.3 aktiverat som standard.
Varning
Om dina API:er används av TLS-kompatibla klienter som förlitar sig på omförhandling av certifikat, gör aktivering av TLS 1.3 för anslutningar på klientsidan att klienterna inte kan ansluta. Granska API:er som nyligen använde certifikatförhandling innan du aktiverar TLS 1.3 på klientsidan i alla tjänster som inte har det aktiverat som standard.
Om du vill aktivera TLS 1.3 för anslutningar på klientsidan i dessa instanser konfigurerar du inställningar på sidan Protokoll + chiffer :
- På sidan Protokoll + chiffer går du till avsnittet Klientprotokoll bredvid TLS 1.3och väljer Visa och hantera konfiguration.
- Granska listan över nyligen genomförda omförhandlingar av klientcertifikat. Listan visar API-åtgärder där klienter nyligen använde omförhandling av klientcertifikat.
- Om du väljer att aktivera TLS 1.3 för anslutningar på klientsidan väljer du Aktivera.
- Välj Stäng.
När du har aktiverat TLS 1.3 granskar du mått för gatewaybegäran eller TLS-relaterade undantag i loggar som anger TLS-anslutningsfel. Om det behövs inaktiverar du TLS 1.3 för anslutningar på klientsidan och nedgraderar till TLS 1.2.
Om du behöver inaktivera TLS 1.3 för anslutningar på klientsidan i dessa instanser konfigurerar du inställningar på sidan Protokoll + chiffer :
- På sidan Protokoll + chiffer går du till avsnittet Klientprotokoll bredvid TLS 1.3och väljer Visa och hantera konfiguration.
- Välj Inaktivera.
- Välj Stäng.
Serverdels-TLS 1.3
Det är valfritt att aktivera TLS 1.3 på serversidan. Om du aktiverar det använder API Management TLS 1.3 för anslutningar till dina serverdelstjänster.
Varning
Om du aktiverar TLS 1.3 för serverdelsanslutningar orsakas anslutningsfel med serverdelstjänster som förlitar sig på omförhandling av klientcertifikat mellan API Management och serverdelarna.
Du kan aktivera TLS 1.3 på serversidan från sidan Protokoll + chiffer :
- På sidan Protokoll + chiffer i avsnittet Serverdelsprotokoll aktiverar du inställningen TLS 1.3 .
- Välj Spara.
Relaterat innehåll
- Rekommendationer om hur du skyddar din API Management-instans finns i Azures säkerhetsbaslinje för API Management.
- Lär dig mer om säkerhetsöverväganden i metodtipsen för API Management-arkitektur för API Management.
- Läs mer om TLS.