增强传输层安全性 (TLS) 加密

适用于:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

安全套接字层 (SSL) /传输层安全性 (TLS) 加密客户端和服务器之间的数据,但某些类型的加密比其他类型更强。 SharePoint Server 利用 Windows Server 2022 的高级安全功能,确保 与服务器建立的 TLS 连接仅使用最强加密

SharePoint Server 将自身配置为对其 SSL 绑定强制实施 RFC 7540 第 9.2 节规定的最低 TLS 版本和密码套件要求,而不管连接使用的 HTTP 版本如何。

具体来说:

  • 协商的 SSL/TLS 协议版本必须为 TLS 1.2 或更高版本。 对于与其 SSL 绑定建立的连接,将阻止低于 TLS 1.2 的 TLS 协议版本以及所有 SSL 协议版本。

  • 协商的 TLS 密码套件必须支持对关联数据 (AEAD) 加密模式(如 GCM)进行前向保密和身份验证加密。 对于与其 SSL 绑定建立的连接,将阻止不提供正向机密的密码套件,或基于 null 弱流加密 ((例如 RC4) )或块密码模式 ((如 CBC) ) 的密码套件。

默认情况下,这些要求将适用于所有使用 SSL 绑定的 SharePoint Web 应用程序,以及承载 SharePoint 服务应用程序终结点的“SharePoint Web Services”IIS 网站的 SSL 绑定。 如果客户需要继续支持旧加密以实现向后兼容性 ((例如较旧的 TLS 协议版本和密码套件) ),他们可以通过管理中心中的“允许旧加密”设置进行配置。 还可以通过以下 PowerShell cmdlets 命令行工具中的 -AllowLegacyEncryption 参数对其进行配置:

  • New-SPWebApplication

  • New-SPWebApplicationExtension

  • Set-SPWebApplication (“Zone”参数集)

  • New-SPCentralAdministration

  • Set-SPCentralAdministration

  • Set-SPServiceHostConfig

  • PSConfig.exe -cmd adminvs

注意

在使用早期版本的 Windows Server 部署 SharePoint Server 订阅版时,默认情况下,强 TLS 加密不可用。 Microsoft 建议使用 Windows Server 2022 或更高版本部署 SharePoint Server 订阅版。