Включение поддержки TLS 1.1 и TLS 1.2 в Office Online Server
Сводка: В этой статье описывается, как включить протокол TLS версии 1.1 и 1.2 в Office Online Server.
Чтобы включить протокол TLS версий 1.1 и 1.2 в среде Office Online Server, необходимо настроить параметры на каждом сервере фермы Office Online Server.
При этом необходимо настроить несколько разделов реестров для включения или выключения протоколов безопасности. Вы можете внести изменения в реестр вручную или с помощью REG-файла, но мы рекомендуем создать объекты групповой политики для управления этими параметрами, особенно если необходимо настроить эти протоколы во всей организации.
В этой статье рассматриваются следующие основные этапы:
- Включите надежное шифрование в платформа .NET Framework.
Примечание.
По состоянию на июль 2021 г. этотhttps://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5 шаг не требуется. Любой пользователь, применяющий это исправление, может пропустить этот шаг.
- (Необязательный) Отключение более ранних версий протоколов SSL и TLS
Примечание.
Использование TLS 1.1 и TLS 1.2 и более поздних версий с Office Online Server требует включения TLS 1.1 и TLS 1.2 на Windows Server для каждого компьютера в ферме Office Online Server. Для Windows Server 2012 R2 они включены по умолчанию.
Выполните указанные действия на каждом сервере фермы Office Online Server.
Включение криптостойкого алгоритма шифрования для .NET Framework 4.5 или более поздних версий
Примечание.
По состоянию на июль 2021 г. этотhttps://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5 шаг не требуется. Любой пользователь, применяющий это исправление, может пропустить этот шаг.
Для использования TLS 1.1 и TLS 1.2 и более поздних версий с Office Online Server требуется строгое шифрование в платформа .NET Framework версии 4.5 или более поздней версии. Чтобы включить криптостойкий алгоритм шифрования в .NET Framework 4.5 или более поздних версий, добавьте разделы реестров, указанные ниже.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
Отключение более ранних версий протоколов SSL и TLS в Windows Schannel
Поддержка протоколов SSL и TLS включается или отключается в Windows Schannel путем изменения реестра Windows. Каждую версию протоколов SSL и TLS можно включить или отключить независимо друг от друга. Вам не нужно включать или отключать одну версию протокола, чтобы включить или отключить другую.
Важно!
Корпорация Майкрософт рекомендует отключить протоколы SSL 2.0 и SSL 3.0 из-за серьезных уязвимостей в этих версиях протокола. > Клиенты также могут отключить TLS 1.0 и TLS 1.1, чтобы обеспечить использование только последней версии протокола. Но это может вызвать проблемы совместимости с программным обеспечением, которое не поддерживает самую новую версию протокола TLS. Клиентам следует испытать такое изменение перед выполнением его в рабочей среде.
Значение реестра Enabled определяет, можно ли использовать версию протокола. Если задано значение 0, версию протокола использовать невозможно, даже если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если задано значение 1, версию протокола можно использовать, если она включена по умолчанию или приложение явно запрашивает эту версию протокола. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.
Значение реестра DisabledByDefault определяет, используется ли по умолчанию версия протокола. Этот параметр применяется, только если приложение не запрашивает явно версии протокола, которые будут использоваться. Если задано значение 0, версия протокола используется по умолчанию. Если задано значение 1, версия протокола не будет использоваться по умолчанию. Если значение не определено, будет использоваться значение по умолчанию, определяемое операционной системой.
Чтобы отключить поддержку протокола SSL 2.0 в Windows Schannel, добавьте указанные ниже разделы реестров.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Чтобы отключить поддержку протокола SSL 3.0 в Windows Schannel, добавьте указанные ниже разделы реестров.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Чтобы отключить поддержку протокола TLS 1.0 в Windows Schannel, добавьте указанные ниже разделы реестров.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Чтобы отключить поддержку протокола TLS 1.1 в Windows Schannel, добавьте указанные ниже разделы реестров.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000