Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in Office Online ServerEnable TLS 1.1 and TLS 1.2 support in Office Online Server

Zusammenfassung: Dieser Artikel enthält Informationen zum Aktivieren der Transport Layer Security (TLS)-Protokollversionen 1.1 und 1.2 in Office Online Server.Summary: This article describes how to enable Transport Layer Security (TLS) protocol versions 1.1 and 1.2 in Office Online Server.

Um die TLS-Protokollversionen 1.1 und 1.2 in Ihrer Office Online Server-Umgebung zu aktivieren, müssen Sie Einstellungen auf jedem Server in der Office Online Server Farm konfigurieren.To enable TLS protocol versions 1.1 and 1.2 in your Office Online Server environment, you need to configure settings on each server in your Office Online Server farm.

Bei der Konfiguration müssen mehrere Registrierungsschlüssel festgelegt werden, um Sicherheitsprotokolle zu aktivieren bzw. zu deaktivieren. Sie können diese Aktualisierungen der Registrierung manuell oder mithilfe einer REG-Datei vornehmen, wir empfehlen jedoch, Gruppenrichtlinienobjekte zum Verwalten dieser Einstellungen zu erstellen, insbesondere, wenn Sie diese Protokolle in Ihrer gesamten Organisation konfigurieren.The configuration process involves setting a number of registry keys to turn security protocols on or off. While you can make these updates to the registry manually or by using a .reg file, we recommend that you create group policy objects to manage these settings, particularly if you are configuring these protocols across your organization.

In diesem Artikel werden die folgenden grundlegenden Schritte behandelt:The basic steps covered in this article are:

  • Aktivieren starker Kryptografie in .NET FrameworkEnable strong cryptography in .NET Framework

  • (Optional) Deaktivieren früherer Versionen von SSL und TLS(Optional) Disable earlier versions of SSL and TLS

Beachten Sie, dass die Verwendung von TLS 1.1 und TLS 1.2 mit Office Online Server erfordert, dass TLS 1.1 und TLS 1.2 unter Windows Server für jeden Computer in der Office Online Server Farm aktiviert sind. Für Windows Server 2012 R2 sind sie standardmäßig aktiviert.Note that using TLS 1.1 and TLS 1.2 with Office Online Server requires that TLS 1.1 and TLS 1.2 be enabled on Windows Server for each computer in your Office Online Server farm. They are enabled by default for Windows Server 2012 R2.

Führen Sie diese Schritte auf jedem Server in der Office Online Server-Farm aus.Follow these steps on each server in your Office Online Server farm.

Aktivieren starker Kryptografie in .NET Framework 4.5 oder höherEnable strong cryptography in .NET Framework 4.5 or higher

Die Verwendung von TLS 1.1 und TLS 1.2 mit Office Online Server erfordert starke Kryptografie in .NET Framework 4.5 oder höher. Um starke Kryptografie in .NET Framework 4.5 oder höher zu aktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:Using TLS 1.1 and TLS 1.2 with Office Online Server requires strong cryptography in .NET Framework 4.5 or higher. To enable strong cryptography in .NET Framework 4.5 or higher, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Deaktivieren früherer Versionen von SSL und TLS in Windows SchannelDisable earlier versions of SSL and TLS in Windows Schannel

SSL und TLS-Unterstützung werden in Windows Schannel durch Bearbeiten der Windows-Registrierung aktiviert bzw. deaktiviert. SSL und TLS-Protokollversionen können unabhängig voneinander aktiviert bzw. deaktiviert werden. Es ist nicht erforderlich, zunächst eine Protokollversion zu aktivieren bzw. deaktivieren, um eine andere Protokollversion zu aktivieren bzw. zu deaktivieren.SSL and TLS support are enabled or disabled in Windows Schannel by editing the Windows Registry. Each SSL and TLS protocol version can be enabled or disabled independently. You don't need to enable or disable one protocol version to enable or disable another protocol version.

Wichtig

Microsoft empfiehlt, SSL 2.0 und SSL 3.0 aufgrund von schwerwiegende Sicherheitsrisiken in diesen Protokollversionen zu deaktivieren. > Benutzer können ggf. auch TLS 1.0 und TLS 1.1 deaktivieren, um sicherzustellen, dass nur die neueste Protokollversion verwendet wird. Dies kann jedoch zu Kompatibilitätsproblemen mit der Software führen, die nicht die neueste TLS-Protokollversion unterstützt. Benutzer sollten eine solche Änderung testen, bevor Sie diese in Produktion verwenden.Microsoft recommends disabling SSL 2.0 and SSL 3.0 due to serious security vulnerabilities in those protocol versions. > Customers may also choose to disable TLS 1.0 and TLS 1.1 to ensure that only the newest protocol version is used. However, this may cause compatibility issues with software that doesn't support the newest TLS protocol version. Customers should test such a change before performing it in production.

Der Enabled -Registrierungswert definiert, ob die Protokollversion verwendet werden kann. Wenn der Wert auf 0 festgelegt ist, kann die Protokollversion auch dann nicht verwendet werden, wenn diese standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert auf 1 festgelegt ist, kann die Protokollversion verwendet werden, wenn sie standardmäßig aktiviert ist oder wenn die Anwendung explizit diese Protokollversion anfordert. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.The Enabled registry value defines whether the protocol version can be used. If the value is set to 0, the protocol version cannot be used, even if it is enabled by default or if the application explicitly requests that protocol version. If the value is set to 1, the protocol version can be used if enabled by default or if the application explicitly requests that protocol version. If the value is not defined, it will use a default value determined by the operating system.

Der DisabledByDefault -Registrierungswert definiert, ob die Protokollversion standardmäßig verwendet wird. Diese Einstellung gilt nur, wenn die Anwendung nicht explizit die zu verwendende Protokollversion anfordert. Wenn der Wert auf 0 festgelegt ist, wird die Protokollversion standardmäßig verwendet. Wenn der Wert auf 1 festgelegt ist, wird die Protokollversion standardmäßig nicht verwendet. Wenn der Wert nicht definiert ist, wird ein vom Betriebssystem festgelegter Standardwert verwendet.The DisabledByDefault registry value defines whether the protocol version is used by default. This setting only applies when the application doesn't explicitly request the protocol versions to be used. If the value is set to 0, the protocol version will be used by default. If the value is set to 1, the protocol version will not be used by default. If the value is not defined, it will use a default value determined by the operating system.

Um SSL 2.0-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:To disable SSL 2.0 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Um SSL 3.0-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:To disable SSL 3.0 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Um TLS 1.0-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:To disable TLS 1.0 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Um TLS 1.1-Unterstützung in Windows Schannel zu deaktivieren, fügen Sie die folgenden Registrierungsschlüssel hinzu:To disable TLS 1.1 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000