在 Office Online Server 中啟用 TLS 1.1 和 TLS 1.2 及更新版本的支援

發行項
03/17/2023

總結：本文說明如何在 Office Online Server 中啟用傳輸層安全性 (TLS) 通訊協定 1.1 和 1.2 版。

若要在 Office Online Server 環境中啟用 TLS 通訊協定 1.1 和 1.2 版，您必須在 Office Online Server 伺服器陣列中的每個伺服器上設定設定。

設定程序涉及設定數個登錄機碼，以開啟或關閉安全性通訊協定。雖然您可以手動或使用 .reg 檔案更新登錄檔，我們仍建議您建立群組原則物件來管理這些設定，尤其是您需要針對這些協定為您的組織進行設定的時侯。

本文所涵蓋的基本步驟為：

在 .NET Framework 中啟用強式密碼編譯。

注意事項

自 2021 年 7 月累積安全性更新 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) 起，不需要此步驟。任何套用此修補程序的人員都可以略過此步驟。

(選用) 停用較早版本的 SSL 和 TLS

注意事項

搭配使用 TLS 1.1 和 TLS 1.2 及更新版本與 Office Online Server 需要在 Windows Server 上針對 Office Online Server 伺服器陣列中的每部電腦啟用 TLS 1.1 和 TLS 1.2。 Windows Server 2012 R2 的預設為啟用。

請在您的 Office Online 伺服器伺服器陣列中遵循下列步驟。

在 .NET Framework 4.5 或更新版本中啟用強式密碼編譯

注意事項

搭配使用 TLS 1.1 和 TLS 1.2 與 Office Online Server 需要 .NET Framework 4.5 或更新版本的強式密碼編譯。若要在 .NET Framework 4.5 或更新版本中啟用強式密碼編譯，請新增下列登錄機碼：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

(選用) 停用 Windows Schannel 中更早版本的 SSL 和 TLS

您可藉由編輯 Windows 登錄檔，啟用或停用 Windows Schannel 中的 SSL 和 TLS 支援。每個 SSL 及 TLS 通訊協定版本皆可以獨立啟用或停用。您不需要啟用或停用一個通訊協定版本，才啟用或停用另一個通訊協定版本。

重要事項

[!重要事項] 由於在 SSL 2.0 和 SSL 3.0 中有嚴重的安全性弱點，Microsoft 建議停用這些通訊協定版本。 > 客戶也可以選擇停用 TLS 1.0 和 TLS 1.1，以確保只使用最新的通訊協定版本。不過，這可能導致不支援最新 TLS 通訊協定版本的軟體發生相容性問題。客戶在生產環境中執行之前，應先對此類變更進行測試。

Enabled 登錄值會定義是否能使用該通訊協定版本。如果值設為 0，即使預設為啟用或應用程式明確要求該通訊協定版本，該通訊協定版本也無法使用。如果值設為 1，如果預設為啟用或應用程式明確要求該通訊協定版本，則可以使用該通訊協定版本。如果未定義值，它會使用由作業系統決定的預設值。

DisabledByDefault 登錄值會定義是否使用預設的通訊協定版本。此設定僅在應用程式並未明確要求使用哪個通訊協定版本時，才會套用。如果值設為 0，會使用預設的通訊協定版本。如果值設為 1，則不會使用預設的通訊協定版本。如果未定義值，它會使用由作業系統決定的預設值。

若要停用 Windows Schannel 的 SSL 2.0 支援，請新增下列登錄機碼：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要停用 Windows Schannel 的 SSL 3.0 支援，請新增下列登錄機碼：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要停用 Windows Schannel 的 TLS 1.0 支援，請新增下列登錄機碼：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要停用 Windows Schannel 的 TLS 1.1 支援，請新增下列登錄機碼：


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

在 Office Online Server 中啟用 TLS 1.1 和 TLS 1.2 及更新版本的支援

在 .NET Framework 4.5 或更新版本中啟用強式密碼編譯

(選用) 停用 Windows Schannel 中更早版本的 SSL 和 TLS

其他資源