Azure 備份中的傳輸層安全性
傳輸層安全性 (TLS) 是一種加密通訊協定,可在透過網路傳輸時保護資料安全。 Azure 備份會使用傳輸層安全性來保護所傳輸備份資料的隱私權。 本文說明啟用 TLS 1.2 通訊協定的步驟,這個版本提供比舊版更為改進的安全性。
舊版 Windows
如果電腦執行的是舊版 Windows,則必須安裝以下所述的對應更新,並且必須套用知識庫文章中記載的登錄變更。
| 作業系統 | 知識庫文章 |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2、Windows 7、Windows Server 2012 | https://support.microsoft.com/help/3140245 |
注意
更新將會安裝必要的通訊協定元件。 安裝之後,您必須進行上述知識庫文章中所述的登錄機碼變更,才能正確地啟用所需的通訊協定。
確認 Windows 登錄
設定 SChannel 通訊協定
下列登錄機碼可確保在 SChannel 元件層級啟用 TLS 1.2 通訊協定:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
注意
所顯示的值預設是在 Windows Server 2012 R2 和更新版本中設定。 針對這些版本的 Windows,如果登錄機碼不存在,則不需要建立。
設定 .NET Framework
下列登錄機碼會設定 .NET Framework 以支援強式加密。 您可以在這裡深入瞭解 .NET Framework 的設定。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS 憑證變更
Azure TLS/SSL 端點都會包含已更新的憑證,並鏈結至新的根 CA。 請確定下列變更包含已更新的根 CA。 深入了解可能對您應用程式造成的影響。
稍早,Azure 服務使用的大部分 TLS 憑證會鏈結到下列根 CA:
| CA 的一般名稱 | 指紋 (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
現在,Azure 服務所使用的 TLS 憑證,有助於鏈結到下列其中一個根 CA:
| CA 的一般名稱 | 指紋 (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
常見問題集
為什麼要啟用 TLS 1.2?
TLS 1.2 比先前的密碼編譯通訊協定更安全,例如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1。 Azure 備份服務已完全支援 TLS 1.2。
什麼項目決定所使用的加密通訊協定?
用戶端和伺服器所支援的最高通訊協定版本會進行交涉,以建立加密的交談。 如需 TLS 交握通訊協定的詳細資訊,請參閱使用 TLS 建立安全工作階段。
未啟用 TLS 1.2 有什麼影響?
為了改善針對通訊協定降級攻擊的安全性,Azure 備份開始以分階段方式停用 1.2 以前的 TLS 版本。 這是跨服務長期轉移的一部分,不允許舊版通訊協定和加密套件連線。 Azure 備份的服務和元件完全支援 TLS 1.2。 不過,缺少必要更新或某些自訂設定的 Windows 版本,仍然會防止提供 TLS 1.2 通訊協定。 這會造成失敗,包括但不限於下列一或多項:
- 備份與還原作業可能會失敗。
- 備份元件連線失敗,並出現錯誤 10054 (遠端主機已強制關閉現有的連線)。
- 與 Azure 備份相關的服務不會如往常般停止或啟動。