你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 备份中的传输层安全性

传输层安全性 (TLS) 是在通过网络传输数据时保护数据安全的加密协议。 Azure 备份使用传输层安全性来保护正在传输的备份数据的隐私。 本文介绍了启用 TLS 1.2 协议的步骤,该协议提供了比以前版本更高的安全性。

早期版本的 Windows

如果计算机运行的是早期版本的 Windows,则必须安装下述相应更新,并且必须应用知识库文章中介绍的注册表更改。

操作系统 知识库文章
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2、Windows 7、Windows Server 2012 https://support.microsoft.com/help/3140245

注意

该更新将安装所需协议组件。 安装完成后,必须进行上述知识库文章中提到的注册表项更改,以正确启用所需协议。

验证 Windows 注册表

配置 SChannel 协议

以下注册表项确保在 SChannel 组件级别启用 TLS 1.2 协议:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

注意

显示的值在 Windows Server 2012 R2 及更高版本中是默认设置的。 对于这些版本的 Windows,如果注册表项不存在,则无需创建它们。

配置 .NET Framework

以下注册表项将 .NET Framework 配置为支持强加密。 可以在此处详细了解如何配置 .NET Framework

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Azure TLS 证书更改

Azure TLS/SSL 终结点包含链接到新根 CA 的已更新证书。 确保以下更改包括更新的根 CA。 详细了解可能对应用程序产生的影响。

之前,Azure 服务使用的大多数 TLS 证书都链接到以下根 CA:

CA 的公用名 指纹 (SHA1)
Baltimore CyberTrust 根 d4de20d05e66fc53fe1a50882c78db2852cae474

如今,Azure 服务使用的 TLS 证书有助于链接到以下根 CA 之一:

CA 的公用名 指纹 (SHA1)
DigiCert 全局根 G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert 全局根 CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust 根 d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST 根类 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA 根证书颁发机构 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC 根证书颁发机构 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

常见问题

为什么启用 TLS 1.2?

TLS 1.2 比以前的加密协议(如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1)更安全。 Azure 备份服务已完全支持 TLS 1.2。

什么因素决定所使用的加密协议?

客户端和服务器都支持的最高协议版本会通过协商确定,以便建立加密会话。 有关 TLS 握手协议的详细信息,请参阅通过使用 TLS 建立安全会话

未启用 TLS 1.2 会有什么影响?

为了更好地防御协议降级攻击,Azure 备份将以分阶段的方式开始禁用早于 1.2 的 TLS 版本。 这是为了禁止旧协议和密码套件连接而在服务间进行的长期转换过程的一部分。 Azure 备份服务和组件完全支持 TLS 1.2。 但是,缺少所需更新或某些自定义配置的 Windows 版本仍会阻止提供 TLS 1.2 协议。 这可能会导致失败,其中包括但不限于以下一种或多种情况:

  • 备份和还原操作可能会失败。
  • 备份组件连接失败,出现错误 10054(远程主机强行关闭了现有的连接)。
  • 与 Azure 备份相关的服务无法正常停止或启动。

其他资源