強傳輸層安全性 (TLS) 加密

  • 發行項

適用于:no-img-132013 no-img-16 2016no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

安全通訊端層 (SSL) /傳輸層安全性 (TLS) 加密用戶端與伺服器之間的資料,但某些類型的加密比其他加密類型更強大。 SharePoint Server 利用 Windows Server 2022 的進階安全性功能,確保對 伺服器進行的 TLS 連線只會使用最強大的加密

SharePoint Server 會將本身設定為在其 SSL 系結上強制執行 RFC 7540 第 9.2 節所指定的最低 TLS 版本和加密套件需求,而不論連線使用的 HTTP 版本為何。

特別是:

  • 交涉的 SSL/TLS 通訊協定版本必須是 TLS 1.2 或更新版本。 TLS 通訊協定版本低於 TLS 1.2 和所有 SSL 通訊協定版本,將會因為連線到其 SSL 系結而遭到封鎖。

  • 交涉的 TLS 加密套件必須支援與相關聯資料的轉送密碼和已驗證加密 (AEAD) 加密模式,例如 GCM。 不提供轉寄密碼的加密套件,或以 Null、弱式資料流程加密 (為基礎的加密套件,例如 RC4) ,或 CBC) 等 (封鎖加密模式,將會因為連線到其 SSL 系結而遭到封鎖。

這些需求預設會套用至所有使用 SSL 系結的 SharePoint Web 應用程式,以及裝載 SharePoint 服務應用程式端點之「SharePoint Web 服務」IIS 網站的 SSL 系結。 如果客戶需要繼續支援舊版加密,以提供舊版的相容性 (例如舊版 TLS 通訊協定和加密套件) ,他們可以透過管理中心的 [允許舊版加密] 設定來進行這項設定。 它也可以透過下列 PowerShell cmdlets 和命令列工具中的 -AllowLegacyEncryption 參數來設定:

  • New-SPWebApplication

  • New-SPWebApplicationExtension

  • Set-SPWebApplication (「Zone」 參數集)

  • New-SPCentralAdministration

  • Set-SPCentralAdministration

  • Set-SPServiceHostConfig

  • PSConfig.exe -cmd adminvs

注意事項

使用較舊版本的 Windows Server 部署 SharePoint Server 訂閱版本時,預設不會提供強式 TLS 加密。 Microsoft 建議使用 Windows Server 2022 或更新版本部署 SharePoint Server 訂閱版本。