你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于:所有 API 管理层级
Azure API 管理支持将多版本的传输层安全性 (TLS) 协议,可用于保护以下 API 流量:
- 客户端侧(客户端到 API 管理网关)
- 后端部分(API 管理网关至后端)
API 管理还支持 API 网关使用的多个密码套件。
根据服务层级,API 管理支持最多 1.2 或 TLS 1.3 的 TLS 版本,用于客户端和后端连接以及多个受支持的密码套件。 此指南将演示如何管理 Azure API 管理实例的协议和加密配置。
注意
注意
根据 API 管理服务层,更改可能需要 15 到 45 分钟或更长时间才能应用。 开发人员服务层级中的实例在此过程中会停机。 基本和更高级别中的实例在此过程中不会停机。
先决条件
- API 管理实例。 如果还没有实例,请创建一个。
转到你的 API 管理实例
在 Azure 门户中,搜索并选择 API 管理服务:
在 API 管理服务 页上,选择 API 管理实例:
如何管理 TLS 协议和密码套件
- 请在 API 管理实例的左侧导航中,在“安全”下选择“协议 + 密码”。
- 启用或禁用所需协议或加密。
- 选择“保存”。
注意
某些协议或密码套件(如后端 TLS 1.2)无法从 Azure 门户启用或禁用。 而需要应用 REST API 调用。 使用properties.customProperties REST API 中的 结构。
经典层中的 TLS 1.3 支持
API 管理经典服务层级(消耗、开发人员、基本、标准和高级)中提供了 TLS 1.3 支持。 在这些服务层中创建的大多数实例中,默认情况下,TLS 1.3 会永久启用客户端连接。 启用后端 TLS 1.3 是可选的。 默认情况下,客户端和后端端也启用 TLS 1.2。
TLS 1.3 是 TLS 协议的主要修订版,可提供改进的安全性和性能。 它包括诸如减少握手延迟和改进某些类型的攻击的安全性等功能。
(可选)当客户端需要重新协商证书时启用 TLS 1.3
TLS 1.3 不支持重新协商证书。 TLS 中的证书重新协商允许客户端和服务器在不中断连接的情况下,重新协商连接参数以进行身份验证。
我们标识为依赖于客户端证书重新协商的服务默认未启用 TLS 1.3。
警告
如果 API 是由依赖于证书重新协商的符合 TLS 的客户端访问,那么启用 TLS 1.3 进行客户端连接将导致这些客户端无法连接。 在启用客户端 TLS 1.3 之前,请审查最近曾使用证书重新协商的 API,适用于默认情况下未启用该功能的服务。
若要在这些实例中为客户端连接启用 TLS 1.3,请在 “协议 + 密码 ”页上配置设置:
- 在 “协议 + 密码 ”页上的 “客户端协议 ”部分中,选择 “TLS 1.3”旁边的“ 查看和管理配置”。
- 查看 最近客户端证书重新协商的列表。 此列表显示最近用户进行客户端证书重新协商的API操作。
- 如果选择为客户端连接启用 TLS 1.3,请选择“ 启用”。
- 选择 “关闭”。
启用 TLS 1.3 后,请查看日志中指示 TLS 连接失败的网关请求指标或与 TLS 相关的异常。 如有必要,请禁用客户端连接的 TLS 1.3,并降级到 TLS 1.2。
如果需要在这些实例中为客户端连接禁用 TLS 1.3,请在 “协议 + 密码 ”页上配置设置:
- 在 “协议 + 密码 ”页上的 “客户端协议 ”部分中,选择 “TLS 1.3”旁边的“ 查看和管理配置”。
- 选择 “禁用”。
- 选择 “关闭”。
后端 TLS 1.3
启用后端 TLS 1.3 是可选的。 如果启用,API 管理将使用 TLS 1.3 连接到后端服务。
警告
为后端连接启用 TLS 1.3 将导致后端服务连接失败,这些服务依赖于 API 管理和后端之间的客户端证书重新协商。
可以从 “协议 + 密码 ”页启用后端 TLS 1.3:
- 在 “协议 + 密码 ”页上的 “后端协议 ”部分中,启用 TLS 1.3 设置。
- 选择“保存”。
相关内容
- 有关保护 API 管理实例的建议,请参阅适用于 API 管理的 Azure 安全基线。
- 了解 API 管理体系结构最佳做法中的安全注意事项。
- 详细了解 TLS。