针对发送到服务总线命名空间的请求强制实施必需的最低版本的传输层安全性 (TLS)

客户端应用程序与 Azure 服务总线命名空间之间的通信使用传输层安全性 (TLS) 进行加密。 TLS 是一种标准的加密协议,可确保通过 Internet 进行通信的客户端与服务之间的隐私和数据完整性。 有关 TLS 的详细信息,请参阅传输层安全性

Azure 服务总线支持为命名空间选择特定的 TLS 版本。 目前,Azure 服务总线默认在公共终结点上使用 TLS 1.2,但仍支持 TLS 1.0 和 TLS 1.1 以实现后向兼容性。

Azure 服务总线命名空间允许客户端使用 TLS 1.0 及更高版本发送和接收数据。 若要强制实施更严格的安全措施,可以将服务总线命名空间配置为要求客户端使用较新版本的 TLS 发送和接收数据。 如果服务总线命名空间需要最低版本的 TLS,则使用较旧版本发出的任何请求都会失败。

重要

如果使用连接到 Azure 服务总线的服务,请确保在你设置服务总线命名空间所需的最低版本前,该服务使用相应的 TLS 版本向 Azure 服务总线发送请求。

需要最低版本的 TLS 所需的权限

若要为服务总线命名空间设置 MinimumTlsVersion 属性,用户必须具有创建和管理服务总线命名空间的权限。 提供这些权限的 Azure 基于角色的访问控制 (Azure RBAC) 角色包括 Microsoft.ServiceBus/namespaces/write 或 Microsoft.ServiceBus/namespaces/* 操作。 具有此操作的内置角色包括:

角色分配的范围必须限定为服务总线命名空间级别或更高级别,以便允许用户针对服务总线命名空间要求使用最低版本的 TLS。 有关角色范围的详细信息,请参阅了解 Azure RBAC 的范围

注意,请仅向需要创建服务总线命名空间或更新其属性的权限的用户分配这些角色。 使用最小特权原则确保用户拥有完成任务所需的最少权限。 有关使用 Azure RBAC 管理访问权限的详细信息,请参阅 Azure RBAC 最佳做法

注意

经典订阅管理员角色“服务管理员”和“共同管理员”具有 Azure 资源管理器所有者角色的等效权限。 “所有者”角色包含所有操作,因此具有这些管理角色之一的用户也可以创建和管理服务总线命名空间。 有关详细信息,请参阅 Azure 角色、Azure AD 角色和经典订阅管理员角色

网络注意事项

当客户端向服务总线命名空间发送请求时,客户端在处理任何请求之前,首先会与服务总线命名空间终结点建立连接。 建立 TLS 连接后,将检查最低 TLS 版本设置。 如果请求使用的 TLS 版本比设置指定的版本低,则连接仍会成功,但是请求最终会失败。

注意

由于向后兼容性,对于没有指定 MinimumTlsVersion 设置或将其指定为 1.0 的命名空间,我们在通过 SBMP 协议连接时不会执行任何 TLS 检查。

注意

2026 年 9 月 30 日,我们将不再支持 Azure 服务总线的 SBMP 协议,因此在 2026 年 9 月 30 日之后,你将无法再使用此协议。 请在该日期之前迁移到最新的使用 AMQP 协议的 Azure 服务总线 SDK 库,新库提供了关键安全更新和改进功能。

有关详细信息,请参阅支持停用公告

以下是要考虑的几个要点:

  • 如果使用的 TLS 版本低于配置的最低 TLS 版本,则网络跟踪将显示已成功建立 TCP 连接且已成功进行了 TLS 协商,然后返回 401。
  • yournamespace.servicebus.chinacloudapi.cn 上的渗透或终结点扫描将指示对 TLS 1.0、TLS 1.1 和 TLS 1.2 的支持,因为服务将继续支持所有这些协议。 在命名空间级别强制要求的最低 TLS 版本指示命名空间将支持的最低 TLS 版本。

后续步骤

有关详细信息,请参阅以下文档。