在 Office Online Server 中启用 TLS 1.1 和 TLS 1.2 及更高版本支持

项目
03/17/2023

总结：本文介绍如何在 Office Online Server 中启用传输层安全性 (TLS) 协议版本 1.1 和 1.2。

若要在Office Online Server环境中启用 TLS 协议版本 1.1 和 1.2，需要在Office Online Server场中的每台服务器上配置设置。

配置流程涉及设置多个注册表项来启用或停用安全协议。虽然可以手动或使用 .reg 文件对注册表进行这些更新，但我们仍建议你创建组策略对象来管理这些设置，尤其当你要在整个组织内配置这些协议时。

本文涉及的基本步骤如下：

在 .NET Framework 中启用强加密。

注意

自 2021 年 7 月累积安全更新 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) 起，不需要此步骤。应用此修补程序的任何人都可以跳过此步骤。

（可选）禁用早期版本的 SSL 和 TLS

注意

将 TLS 1.1 和 TLS 1.2 及 Office Online Server 配合使用要求在 Windows Server 上为Office Online Server场中的每台计算机启用 TLS 1.1 和 TLS 1.2 及更高版本。默认情况下， Windows Server 2012 R2 已启用这两版协议。

请在 Office Online Server 场中的每台服务器上按以下步骤操作。

在 .NET Framework 4.5 或更高版本中启用安全系数高的加密技术

注意

将 TLS 1.1 和 TLS 1.2 及更高版本与 Office Online Server 配合使用需要在 .NET Framework 4.5 或更高版本中使用强加密。若要在 .NET Framework 4.5 或更高版本中启用安全系数高的加密技术，请添加以下注册表项：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

在 Windows Schannel 中禁用早期版本的 SSL 和 TLS

通过编辑 Windows 注册表在 Windows Schannel 中启用或禁用 SSL 和 TLS 支持。可独立启用或禁用每个 SSL 和 TLS 协议版本。不需要启用或禁用一个协议版本来启用或禁用另一个协议版本。

重要

由于这些协议版本中严重的安全漏洞，Microsoft 建议禁用 SSL 2.0 和 SSL 3.0。 > 客户还可以选择禁用 TLS 1.0 和 TLS 1.1，以确保仅使用最新的协议版本。但是，这可能导致不支持最新 TLS 协议版本的软件兼容性问题。客户应在生产中执行更改前测试此更改。

Enabled 注册表值定义是否可以使用协议版本。如果该值设置为 0，则协议版本不能使用，即使它为默认启用，或者如果应用程序显式请求该协议版本。如果该值设置为 1，则可以在默认情况下，或者如果应用程序显式请求该协议版本，则可以使用该协议版本。如果未定义值，则它将使用由操作系统决定的默认值。

DisabledByDefault 注册表值定义是否以默认方式使用协议版本。此设置仅适用于当应用程序未显式请求要使用的协议版本。如果该值设置为 0，则将以默认方式使用该协议版本。如果该值设置为 1，则不会以默认方式使用该协议版本。如果未定义值，则它将使用由操作系统决定的默认值。

若要在 Windows Schannel 中禁用 SSL 2.0 支持，请添加以下注册表项：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要在 Windows Schannel 中禁用 SSL 3.0 支持，请添加以下注册表项：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要在 Windows Schannel 中禁用 TLS 1.0 支持，请添加以下注册表项：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要在 Windows Schannel 中禁用 TLS 1.1 支持，请添加以下注册表项：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

在 Office Online Server 中启用 TLS 1.1 和 TLS 1.2 及更高版本支持

在 .NET Framework 4.5 或更高版本中启用安全系数高的加密技术

在 Windows Schannel 中禁用早期版本的 SSL 和 TLS

其他资源