在 Office Online Server 中启用 TLS 1.1 和 TLS 1.2 及更高版本支持
总结:本文介绍如何在 Office Online Server 中启用传输层安全性 (TLS) 协议版本 1.1 和 1.2。
若要在Office Online Server环境中启用 TLS 协议版本 1.1 和 1.2,需要在Office Online Server场中的每台服务器上配置设置。
配置流程涉及设置多个注册表项来启用或停用安全协议。 虽然可以手动或使用 .reg 文件对注册表进行这些更新,但我们仍建议你创建组策略对象来管理这些设置,尤其当你要在整个组织内配置这些协议时。
本文涉及的基本步骤如下:
- 在 .NET Framework 中启用强加密。
注意
自 2021 年 7 月累积安全更新 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) 起,不需要此步骤。 应用此修补程序的任何人都可以跳过此步骤。
- (可选)禁用早期版本的 SSL 和 TLS
注意
将 TLS 1.1 和 TLS 1.2 及 Office Online Server 配合使用要求在 Windows Server 上为Office Online Server场中的每台计算机启用 TLS 1.1 和 TLS 1.2 及更高版本。 默认情况下, Windows Server 2012 R2 已启用这两版协议。
请在 Office Online Server 场中的每台服务器上按以下步骤操作。
在 .NET Framework 4.5 或更高版本中启用安全系数高的加密技术
注意
自 2021 年 7 月累积安全更新 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) 起,不需要此步骤。 应用此修补程序的任何人都可以跳过此步骤。
将 TLS 1.1 和 TLS 1.2 及更高版本与 Office Online Server 配合使用需要在 .NET Framework 4.5 或更高版本中使用强加密。 若要在 .NET Framework 4.5 或更高版本中启用安全系数高的加密技术,请添加以下注册表项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
在 Windows Schannel 中禁用早期版本的 SSL 和 TLS
通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。 可独立启用或禁用每个 SSL 和 TLS 协议版本。 不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。
重要
由于这些协议版本中严重的安全漏洞,Microsoft 建议禁用 SSL 2.0 和 SSL 3.0。 > 客户还可以选择禁用 TLS 1.0 和 TLS 1.1,以确保仅使用最新的协议版本。 但是,这可能导致不支持最新 TLS 协议版本的软件兼容性问题。 客户应在生产中执行更改前测试此更改。
Enabled 注册表值定义是否可以使用协议版本。 如果该值设置为 0,则协议版本不能使用,即使它为默认启用,或者如果应用程序显式请求该协议版本。 如果该值设置为 1,则可以在默认情况下,或者如果应用程序显式请求该协议版本,则可以使用该协议版本。 如果未定义值,则它将使用由操作系统决定的默认值。
DisabledByDefault 注册表值定义是否以默认方式使用协议版本。 此设置仅适用于当应用程序未显式请求要使用的协议版本。 如果该值设置为 0,则将以默认方式使用该协议版本。 如果该值设置为 1,则不会以默认方式使用该协议版本。 如果未定义值,则它将使用由操作系统决定的默认值。
若要在 Windows Schannel 中禁用 SSL 2.0 支持,请添加以下注册表项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
若要在 Windows Schannel 中禁用 SSL 3.0 支持,请添加以下注册表项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
若要在 Windows Schannel 中禁用 TLS 1.0 支持,请添加以下注册表项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
若要在 Windows Schannel 中禁用 TLS 1.1 支持,请添加以下注册表项:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000