在 Office Online Server 啟用 TLS 1.1 和 TLS 1.2 的向前支援

總結: 本文說明如何在 Office Online Server 中啟用傳輸層安全性 (TLS) 通訊協定版本1.1 和1.2。

若要在 Office Online Server 環境中向前啟用 TLS 通訊協定版本1.1 和1.2,您必須在 Office Online Server 伺服器陣列的每一部伺服器上設定設定。

設定程序涉及設定數個登錄機碼,以開啟或關閉安全性通訊協定。雖然您可以手動或使用 .reg 檔案更新登錄檔,我們仍建議您建立群組原則物件來管理這些設定,尤其是您需要針對這些協定為您的組織進行設定的時侯。

本文所涵蓋的基本步驟為:

  • 在 .NET Framework 中啟用強式密碼編譯。

注意

從2021年7月累積安全性更新 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) ,不需要執行此步驟。 任何套用此修補程式的人都可以略過此步驟。

  • (選用) 停用較早版本的 SSL 和 TLS

注意

將 tls 1.1 和 tls 1.2 向前使用 Office Online Server 需要在 Windows 伺服器上為 Office Online Server 伺服器陣列中的每一部電腦啟用 tls 1.1 和 tls 1.2。 Windows Server 2012 R2 的預設為啟用。

請在您的 Office Online 伺服器 伺服器陣列中遵循下列步驟。

在 .NET Framework 4.5 或更新版本中啟用強式密碼編譯

注意

從2021年7月累積安全性更新 (https://support.microsoft.com/topic/description-of-the-security-update-for-office-online-server-july-13-2021-kb5001973-d9f20977-c147-4022-9087-5f90380e39f5) ,不需要執行此步驟。 任何套用此修補程式的人都可以略過此步驟。

將 tls 1.1 和 tls 1.2 向前使用 Office Online Server 需要 .NET Framework 4.5 或更高版本中的強式密碼編譯。 若要在 .NET Framework 4.5 或更新版本中啟用強式密碼編譯,請新增下列登錄機碼:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

(選用) 停用 Windows Schannel 中更早版本的 SSL 和 TLS

您可藉由編輯 Windows 登錄檔,啟用或停用 Windows Schannel 中的 SSL 和 TLS 支援。每個 SSL 及 TLS 通訊協定版本皆可以獨立啟用或停用。您不需要啟用或停用一個通訊協定版本,才啟用或停用另一個通訊協定版本。

重要

由於在 SSL 2.0 和 SSL 3.0 中有嚴重的安全性弱點,Microsoft 建議停用這些通訊協定版本。 > 客戶也可以選擇停用 TLS 1.0 和 TLS 1.1,以確保只會使用最新的通訊協定版本。不過,這可能導致不支援最新 TLS 通訊協定版本的軟體發生相容性問題。客戶在生產環境中執行之前,應先對此類變更進行測試。

Enabled 登錄值會定義是否能使用該通訊協定版本。如果值設為 0,即使預設為啟用或應用程式明確要求該通訊協定版本,該通訊協定版本也無法使用。如果值設為 1,如果預設為啟用或應用程式明確要求該通訊協定版本,則可以使用該通訊協定版本。如果未定義值,它會使用由作業系統決定的預設值。

DisabledByDefault 登錄值會定義是否使用預設的通訊協定版本。此設定僅在應用程式並未明確要求使用哪個通訊協定版本時,才會套用。如果值設為 0,會使用預設的通訊協定版本。如果值設為 1,則不會使用預設的通訊協定版本。如果未定義值,它會使用由作業系統決定的預設值。

若要停用 Windows Schannel 的 SSL 2.0 支援,請新增下列登錄機碼:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要停用 Windows Schannel 的 SSL 3.0 支援,請新增下列登錄機碼:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要停用 Windows Schannel 的 TLS 1.0 支援,請新增下列登錄機碼:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

若要停用 Windows Schannel 的 TLS 1.1 支援,請新增下列登錄機碼:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000