共用方式為


Azure 備份中的傳輸層安全性

傳輸層安全性 (TLS) 是一種加密通訊協定,可在透過網路傳輸時保護資料安全。 Azure 備份會使用傳輸層安全性來保護所傳輸備份資料的隱私權。 本文說明啟用 TLS 1.2 通訊協定的步驟,這個版本提供比舊版更為改進的安全性。

舊版 Windows

如果電腦執行的是舊版 Windows,則必須安裝以下所述的對應更新,並且必須套用知識庫文章中記載的登錄變更。

作業系統 知識庫文章
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2、Windows 7、Windows Server 2012 https://support.microsoft.com/help/3140245

注意

更新將會安裝必要的通訊協定元件。 安裝之後,您必須進行上述知識庫文章中所述的登錄機碼變更,才能正確地啟用所需的通訊協定。

確認 Windows 登錄

設定 SChannel 通訊協定

下列登錄機碼可確保在 SChannel 元件層級啟用 TLS 1.2 通訊協定:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

注意

所顯示的值預設是在 Windows Server 2012 R2 和更新版本中設定。 針對這些版本的 Windows,如果登錄機碼不存在,則不需要建立。

設定 .NET Framework

下列登錄機碼會設定 .NET Framework 以支援強式加密。 您可以在這裡深入瞭解 .NET Framework 的設定

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Azure TLS 憑證變更

Azure TLS/SSL 端點都會包含已更新的憑證,並鏈結至新的根 CA。 請確定下列變更包含已更新的根 CA。 深入了解可能對您應用程式造成的影響。

稍早,Azure 服務使用的大部分 TLS 憑證會鏈結到下列根 CA:

CA 的一般名稱 指紋 (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

現在,Azure 服務所使用的 TLS 憑證,有助於鏈結到下列其中一個根 CA:

CA 的一般名稱 指紋 (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

常見問題集

為什麼要啟用 TLS 1.2?

TLS 1.2 比先前的密碼編譯通訊協定更安全,例如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1。 Azure 備份服務已完全支援 TLS 1.2。

什麼項目決定所使用的加密通訊協定?

用戶端和伺服器所支援的最高通訊協定版本會進行交涉,以建立加密的交談。 如需 TLS 交握通訊協定的詳細資訊,請參閱使用 TLS 建立安全工作階段

未啟用 TLS 1.2 有什麼影響?

為了改善針對通訊協定降級攻擊的安全性,Azure 備份開始以分階段方式停用 1.2 以前的 TLS 版本。 這是跨服務長期轉移的一部分,不允許舊版通訊協定和加密套件連線。 Azure 備份的服務和元件完全支援 TLS 1.2。 不過,缺少必要更新或某些自訂設定的 Windows 版本,仍然會防止提供 TLS 1.2 通訊協定。 這會造成失敗,包括但不限於下列一或多項:

  • 備份與還原作業可能會失敗。
  • 備份元件連線失敗,並出現錯誤 10054 (遠端主機已強制關閉現有的連線)。
  • 與 Azure 備份相關的服務不會如往常般停止或啟動。

其他資源