Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Od 28 lipca 2025 r. zmiany w certyfikatach zarządzanych usługi App Service (ASMC) będą mieć wpływ na sposób wystawiania i odnawiania certyfikatów w niektórych scenariuszach. Chociaż większość klientów nie musi podejmować działań, zalecamy zapoznanie się ze szczegółowym wpisem w blogu usługi ASMC , aby uzyskać więcej informacji.
Transport Layer Security (TLS) to powszechnie przyjęty protokół zabezpieczeń, który jest przeznaczony do zabezpieczania połączeń i komunikacji między serwerami i klientami. W usłudze Azure App Service można używać certyfikatów TLS i Secure Sockets Layer (SSL), aby ułatwić zabezpieczanie żądań przychodzących w aplikacjach internetowych.
Usługa App Service obsługuje protokół TLS, aby zapewnić:
- Szyfrowanie danych przesyłanych.
- Uwierzytelnianie aplikacji internetowych za pośrednictwem zaufanych certyfikatów.
- Zapobieganie naruszeniom danych podczas transmisji.
Napiwek
Możesz również zadać następujące pytania dotyczące platformy Azure Copilot :
- Jakie wersje protokołu TLS są obsługiwane w usłudze App Service?
- Jakie są zalety korzystania z protokołu TLS 1.3 zamiast wcześniejszych wersji?
- Jak mogę zmienić kolejność zestawu szyfrowania dla mojego środowiska App Service Environment?
W nagłówku strony portalu Azurewybierz pozycję Copilot.
Obsługa wersji protokołu TLS
Usługa App Service obsługuje następujące wersje protokołu TLS dla żądań przychodzących do aplikacji internetowej:
- TLS 1.3. Najnowsza i najbezpieczniejsza wersja, teraz w pełni obsługiwana.
- TLS 1.2. Domyślna minimalna wersja protokołu TLS dla nowych aplikacji internetowych.
- Protokoły TLS 1.1 i TLS 1.0. Wersje obsługiwane w celu zachowania zgodności z poprzednimi wersjami, ale nie są zalecane.
Możesz skonfigurować minimalną wersję protokołu TLS dla żądań przychodzących do aplikacji internetowej i witryny Menedżera kontroli źródła (SCM). Domyślnie wartość minimalna jest ustawiona na tls 1.2.
Usługa Azure Policy może pomóc w inspekcji zasobów i minimalnej wersji protokołu TLS. Przejdź do , aby aplikacje usługi App Service używały najnowszej definicji zasad wersji TLS i zmień wartości na minimalną wersję protokołu TLS, której chcesz używać w aplikacjach internetowych. Aby uzyskać informacje o powiązanych definicjach zasad dla innych zasobów usługi App Service, zobacz Lista wbudowanych definicji zasad — Azure Policy for App Service.
Protokół TLS 1.3
Protokół TLS 1.3 jest w pełni obsługiwany w usłudze App Service i wprowadza kilka ulepszeń protokołu TLS 1.2:
- Zwiększone zabezpieczenia dzięki uproszczonym szyfrom i utajnianiu przyszłych komunikatów.
- Szybsze podawanie ręki dla zmniejszenia opóźnienia.
- Zaszyfrowane wiadomości uzgadniania dla dodatkowej ochrony prywatności.
Aby wymagać TLS 1.3 dla wszystkich żądań przychodzących, ustaw Minimalną Wersję TLS dla Ruchu Przychodzącego na TLS 1.3 w Azure Portal, Azure CLI lub w szablonie Azure Resource Manager (szablonie ARM).
Protokół TLS 1.3 obsługuje następujące zestawy szyfrowania, które są stałe i nie można ich dostosować:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Te pakiety zapewniają silne szyfrowanie i są automatycznie używane podczas negocjowania protokołu TLS 1.3.
TLS 1.2
Protokół TLS 1.2 jest domyślną wersją protokołu TLS dla usługi App Service. Zapewnia silne szyfrowanie i szeroką zgodność oraz spełnia standardy zgodności, takie jak Payment Card Industry Data Security Standard (PCI DSS). Domyślnie nowe aplikacje internetowe i punkty końcowe SCM używają protokołu TLS 1.2, chyba że zostaną zmienione.
Usługa App Service używa bezpiecznego zestawu szyfrowania TLS 1.2, aby zapewnić zaszyfrowane połączenia i chronić przed znanymi lukami w zabezpieczeniach. Mimo że w celu zapewnienia zgodności z poprzednimi wersjami można włączyć protokoły TLS 1.1 i TLS 1.0, zalecamy używanie protokołu TLS 1.2 lub nowszego.
Protokoły TLS 1.1 i TLS 1.0
Protokoły TLS 1.1 i TLS 1.0 są starszymi protokołami i nie są już uważane za bezpieczne. Te wersje są obsługiwane tylko w usłudze App Service w celu zapewnienia zgodności z poprzednimi wersjami i należy unikać ich, jeśli to możliwe. Domyślna minimalna wersja protokołu TLS dla nowych aplikacji to TLS 1.2 i zalecamy migrację aplikacji korzystających z protokołu TLS 1.1 lub TLS 1.0.
Ważne
Żądania przychodzące do aplikacji internetowych i żądań przychodzących do platformy Azure są obsługiwane inaczej. Usługa App Service nadal obsługuje protokoły TLS 1.1 i TLS 1.0 dla żądań przychodzących do aplikacji internetowych.
W przypadku żądań przychodzących wysyłanych bezpośrednio do płaszczyzny sterowania platformy Azure, na przykład za pośrednictwem usługi Azure Resource Manager lub wywołań interfejsu API, nie zalecamy używania protokołu TLS 1.1 ani TLS 1.0.
Minimalny zestaw szyfrowania TLS
Uwaga
Ustawienie minimalnego pakietu szyfrowania TLS jest obsługiwane w przypadku podstawowych jednostek SKU lub wyższych w wielodostępnej usłudze App Service.
Minimalny zestaw szyfrowania TLS zawiera stałą listę zestawów szyfrowania, które mają optymalną kolejność priorytetu, której nie można zmienić. Nie zalecamy zmieniania kolejności ani ponownego zmieniania kolejności zestawów szyfrowania, ponieważ może to spowodować włączenie słabszego szyfrowania w aplikacjach internetowych. Nie można również dodawać nowych ani różnych zestawów szyfrowania do tej listy. Po wybraniu minimalnej szyfrowania system automatycznie blokuje wszystkie mniej bezpieczne zestawy szyfrowania dla aplikacji internetowej. Nie można selektywnie blokować tylko niektórych słabszych zestawów szyfrowania.
Co to są zestawy szyfrowania i jak działają w usłudze App Service?
Zestaw szyfrowania to zestaw instrukcji, które zawierają algorytmy i protokoły ułatwiające zabezpieczanie połączeń sieciowych między klientami i serwerami. Domyślnie przedni system operacyjny wybiera najbezpieczniejszy pakiet szyfrowania, który obsługują zarówno App Service, jak i klient. Jeśli jednak klient obsługuje tylko słabe zestawy szyfrowania, system operacyjny frontonu wybiera słaby zestaw szyfrowania. Jeśli Twoja organizacja ogranicza dozwolone zestawy szyfrowania, możesz zaktualizować minimalną właściwość pakietu szyfrowania TLS aplikacji internetowej, aby upewnić się, że słabe zestawy szyfrowania są blokowane dla aplikacji internetowej.
Środowisko usługi aplikacji z ustawieniem klastra FrontEndSSLCipherSuiteOrder
W przypadku środowisk App Service Environment, które mają skonfigurowane ustawienie klastra FrontEndSSLCipherSuiteOrder, zaktualizuj ustawienia tak, aby zawierały dwa zestawy szyfrowania TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Po zaktualizowaniu ustawienia klastra należy ponownie uruchomić interfejs, aby zmiany zaczęły obowiązywać. Ponadto należy nadal uwzględnić dwa wymagane zestawy szyfrowania opisane wcześniej, nawet jeśli zaktualizujesz ustawienia tak, aby obsługiwały protokół TLS 1.3. Jeśli używasz już usługi FrontEndSSLCipherSuiteOrder, nie zalecamy również włączenia minimalnego pakietu szyfrowania TLS dla aplikacji internetowej. Wynikiem mogą być konfiguracje powodujące konflikt. Skonfiguruj tylko jedną z tych opcji, aby zarządzać preferencjami pakietu szyfrowania.
Kompleksowe szyfrowanie TLS
Szyfrowanie TLS typu end-to-end (E2E) gwarantuje, że komunikacja między frontonem a procesem roboczym w usłudze App Service jest szyfrowana za pośrednictwem protokołu TLS. Bez tej funkcji, chociaż przychodzące żądania HTTPS są szyfrowane do frontonów, ruch z frontonów do procesów roboczych z obciążeniami aplikacji jest przenoszony niezaszyfrowany wewnątrz infrastruktury platformy Azure.
Protokół TLS E2E pomaga zapewnić pełne szyfrowanie ruchu między:
- Klienci i frontony usługi App Service.
- Frontony usługi App Service i procesy robocze obsługujące aplikację.
Ta funkcja jest dostępna w następujących miejscach:
- Plany usługi App Service w warstwie Premium (zalecane w przypadku nowych wdrożeń).
- Starsze plany usługi App Service w warstwie Standardowa (istniejące wdrożenia).
Ważne
Plany Premium są zalecane w przypadku nowych wdrożeń, które wymagają szyfrowania E2E i innych zaawansowanych funkcji zabezpieczeń.
Włączanie kompleksowego szyfrowania TLS
Szyfrowanie TLS E2E można włączyć za pośrednictwem:
- Ustawienia witryny Azure Portal.
- Polecenia interfejsu wiersza polecenia platformy Azure.
- Szablony usługi ARM na potrzeby automatyzacji.
Po włączeniu szyfrowania TLS E2E cała komunikacja wewnątrz klastra dla aplikacji internetowej jest szyfrowana za pośrednictwem protokołu TLS, co zapewnia kompleksową ochronę danych.
Certyfikaty TLS/SSL w usłudze App Service
Aby obsługiwać ruch HTTPS, usługa App Service wymaga certyfikatu TLS/SSL powiązanego z domeną niestandardową. Usługa App Service oferuje wiele opcji certyfikatów, od w pełni zarządzanych bezpłatnych certyfikatów do certyfikatów zarządzanych przez klienta.
Typy certyfikatów
Certyfikaty zarządzane usługi App Service (wersja bezpłatna)
- Zapewnione bez ponoszenia kosztów.
- W pełni zarządzane przez usługę App Service, w tym automatyczne odnawianie.
- Nie można uzyskać dostępu do tych certyfikatów, eksportować ani używać ich poza usługą App Service.
- Brak obsługi symboli wieloznacznych ani niestandardowych głównych urzędów certyfikacji.
Certyfikaty usługi App Service (ASC)
- Płatne certyfikaty wystawione przez firmę GoDaddy.
- Posiadasz certyfikat i zarządzasz nim.
- Przechowywane w magazynie kluczy. Można eksportować i używać poza usługą App Service.
Przynieś własny certyfikat (BYOC)
- Przekazywanie własnych certyfikatów TLS/SSL i zarządzanie nimi (format PFX).
- W pełni zarządzane przez klienta.
Każda z tych opcji zapewnia elastyczność zaspokajania potrzeb związanych z zabezpieczeniami i zarządzaniem.
Wiązanie certyfikatów z domenami niestandardowymi
Po przesłaniu lub utworzeniu certyfikatu należy powiązać go z domeną niestandardową w aplikacji internetowej przy użyciu:
- Powiązania SSL SNI (wskazanie nazwy serwera) dla hostingu wielodostępnych.
- Powiązania PROTOKOŁU SSL ip dla dedykowanych adresów IP.
Uwaga
Domeny zarządzane przez platformę Azure (takie jak *.azurewebsites.net) są automatycznie zabezpieczone przy użyciu certyfikatów domyślnych, więc nie jest wymagana żadna dodatkowa konfiguracja.
Wzajemne uwierzytelnianie TLS (mTLS)
Usługa App Service obsługuje wzajemne protokoły TLS (mTLS) w planach systemu Linux i Windows App Service, dzięki czemu aplikacje mogą wymagać certyfikatów klienta w celu zapewnienia dodatkowego bezpieczeństwa.
Jak działa mTLS
- Klienci przedstawiają certyfikaty zweryfikowane w skonfigurowanym łańcuchu zaufanych urzędów certyfikacji.
- Tylko klienci z prawidłowymi certyfikatami mogą się łączyć.
- Jest ona często używana do zabezpieczania interfejsów API i aplikacji wewnętrznych.
Opcje konfiguracji
- Włącz usługę mTLS przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub szablonów usługi ARM.
- Prześlij zaufane certyfikaty CA do weryfikacji klienta.
- Uzyskiwanie dostępu do informacji o certyfikacie klienta w kodzie aplikacji za pośrednictwem nagłówków żądań.
Automatyczne zarządzanie certyfikatami
Usługa App Service udostępnia wbudowane funkcje do automatycznego zarządzania certyfikatami:
certyfikaty zarządzane przez usługę App Service (wersja bezpłatna). Automatycznie wystawiane i odnawiane dla domen niestandardowych. Te certyfikaty są ograniczone do podstawowej weryfikacji domeny i nie obsługują symboli wieloznacznych ani certyfikatów z możliwością eksportowania.
certyfikaty usługi App Service (płatne). W pełni zarządzane certyfikaty, które obsługują zaawansowane scenariusze, w tym domeny wieloznaczne i certyfikaty z możliwością eksportowania. Te certyfikaty są przechowywane i zarządzane w usłudze Azure Key Vault.
Usługa App Service ułatwia zabezpieczanie aplikacji internetowych przy użyciu protokołów TLS i SSL. Dzięki obsłudze nowoczesnych wersji protokołu TLS, elastycznych opcji certyfikatów i zaawansowanych funkcji, takich jak wzajemne protokoły TLS, usługa App Service pomaga chronić dane podczas przesyłania i spełniać wymagania dotyczące zgodności.