Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP: Alle niveaus van API Management
Azure API Management ondersteunt meerdere versies van het TLS-protocol (Transport Layer Security) om API-verkeer te beveiligen voor:
- Clientzijde (Cliënt naar API Management-gateway)
- Backendzijde (API Management-gateway naar backend)
API Management ondersteunt ook meerdere suites met coderingsmethoden die door de API-gateway worden gebruikt.
Afhankelijk van de servicelaag ondersteunt API Management TLS-versies tot 1.2 of TLS 1.3 voor client- en back-endconnectiviteit en verschillende ondersteunde coderingssuites. In deze handleiding wordt beschreven hoe u de configuratie van protocollen en coderingsmethoden voor een Azure API Management-exemplaar beheert.
Notitie
- Als u de zelf-gehoste gateway gebruikt, raadpleeg zelf-gehoste gatewaybeveiliging voor het beheren van TLS-protocollen en coderingssuites.
- De volgende lagen bieden geen ondersteuning voor wijzigingen in de standaardconfiguratie voor codering: Verbruik, Basic v2, Standard v2, Premium v2.
- In werkruimten biedt de beheerde gateway geen ondersteuning voor wijzigingen in de standaardprotocol- en coderingsconfiguratie.
Notitie
Afhankelijk van de API Management-servicelaag kunnen wijzigingen 15 tot 45 minuten of langer duren. Een instantie in de servicelaag Developer ondervindt downtime tijdens het proces. Exemplaren in de Basic- en hogere lagen hebben geen downtime tijdens het proces.
Vereisten
- Een API Management-exemplaar. Maak er een als u dat nog niet hebt gedaan.
Ga naar je API Management-instantie
Zoek en selecteer in de Azure portalde API Management-services:
Selecteer op de pagina API Management-services uw API Management-exemplaar:
TLS-protocollen en versleutelingssuites beheren
- Selecteer protocollen en coderingen in de linkernavigatiebalk van uw API Management-exemplaar onder Beveiliging.
- Gewenste protocollen of coderingen in- of uitschakelen.
- Selecteer Opslaan.
Notitie
Sommige protocollen of coderingssuites (zoals TLS 1.2 aan de back-endzijde) kunnen niet worden ingeschakeld of uitgeschakeld vanuit Azure Portal. In plaats daarvan moet u de REST API-aanroep toepassen. Gebruik de properties.customProperties-structuur in de REST API voor het maken/bijwerken van de API-managementservice.
TLS 1.3-ondersteuning in klassieke lagen
TLS 1.3-ondersteuning is beschikbaar in de klassieke API Management-servicelagen (Verbruik, Ontwikkelaar, Basic, Standard en Premium). In de meeste gevallen die zijn gemaakt in deze servicelagen, is TLS 1.3 standaard permanent ingeschakeld voor verbindingen aan de clientzijde. Het inschakelen van TLS 1.3 aan de back-endzijde is optioneel. TLS 1.2 is ook standaard ingeschakeld aan zowel client- als back-endzijden.
TLS 1.3 is een belangrijke revisie van het TLS-protocol dat betere beveiliging en prestaties biedt. Het bevat functies zoals verminderde handshakelatentie en verbeterde beveiliging tegen bepaalde soorten aanvallen.
Notitie
De v2-lagen van API Management- en werkruimtegateways ondersteunen standaard TLS 1.2 voor verbindingen aan de clientzijde en back-end. Ze bieden momenteel geen ondersteuning voor TLS 1.3.
Schakel optioneel TLS 1.3 in wanneer clients heronderhandeling van certificaten vereisen
TLS 1.3 biedt geen ondersteuning voor heronderhandeling van certificaten. Met certificaatonderhandeling in TLS kunnen client en server de verbindingsparameters halverwege de sessie opnieuw onderhandelen voor authenticatie, zonder de verbinding te beëindigen.
Services die we hebben geïdentificeerd als afhankelijk van heronderhandeling van clientcertificaten, hebben niet standaard TLS 1.3 ingeschakeld.
Waarschuwing
Als uw API's worden geopend door TLS-compatibele clients die afhankelijk zijn van heronderhandeling van certificaten, zorgt het inschakelen van TLS 1.3 voor verbindingen aan de clientzijde ervoor dat deze clients geen verbinding kunnen maken. Bekijk API's die onlangs certificaatonderhandeling hebben gebruikt voordat TLS 1.3 aan de clientzijde wordt ingeschakeld in een service waarvoor deze niet standaard is ingeschakeld.
Als u TLS 1.3 wilt inschakelen voor verbindingen aan de clientzijde in deze gevallen, configureert u instellingen op de pagina Protocollen en coderingen :
- Selecteer op de pagina Protocollen en coderingen , in de sectie Clientprotocol , naast TLS 1.3, de optie Configuratie weergeven en beheren.
- Bekijk de lijst met recente heronderhandelingen van het clientcertificaat. De lijst toont API-bewerkingen waarbij clients onlangs clientcertificaatonderhandeling hebben gebruikt.
- Als u TLS 1.3 wilt inschakelen voor verbindingen aan de clientzijde, selecteert u Inschakelen.
- Selecteer Sluiten.
Nadat u TLS 1.3 hebt ingeschakeld, controleert u de metrische gegevens van de gatewayaanvraag of tls-gerelateerde uitzonderingen in logboeken die duiden op TLS-verbindingsfouten. Schakel indien nodig TLS 1.3 uit voor verbindingen aan de clientzijde en downgrade naar TLS 1.2.
Als u TLS 1.3 wilt uitschakelen voor verbindingen aan de clientzijde in deze exemplaren, configureert u instellingen op de pagina Protocollen en coderingen :
- Selecteer op de pagina Protocollen en coderingen , in de sectie Clientprotocol , naast TLS 1.3, de optie Configuratie weergeven en beheren.
- Selecteer Uitschakelen.
- Selecteer Sluiten.
TLS 1.3 aan de serverzijde
Het inschakelen van TLS 1.3 aan de back-endzijde is optioneel. Als u dit inschakelt, gebruikt API Management TLS 1.3 voor verbindingen met uw back-endservices.
Waarschuwing
Als u TLS 1.3 inschakelt voor verbindingen aan de back-end, worden verbindingsfouten veroorzaakt met back-endservices die afhankelijk zijn van heronderhandeling van clientcertificaten tussen API Management en de back-ends.
U kunt TLS 1.3 aan de back-end inschakelen vanaf de pagina Protocollen en coderingen :
- Schakel op de pagina Protocollen en coderingen in de sectie Backend-protocol de TLS 1.3-instelling in.
- Selecteer Opslaan.
Verwante inhoud
- Zie de Azure-beveiligingsbasislijn voor API Management voor aanbevelingen voor het beveiligen van uw API Management-exemplaar.
- Meer informatie over beveiligingsoverwegingen in de beste praktijken voor API-beheerarchitectuur.
- Meer informatie over TLS.