TLS 1.2 的 Windows Azure 的协议支持部署指南包

适用于: Azure

摘要


本文介绍如何部署 Windows Azure 包中的 TLS 1.2 协议。

先决条件


以下是在 Windows Azure 包支持 TLS 1.2 协议的先决条件:

  1. 在 Windows Server 2012 R2 中,执行下列操作:  
    • 更新 Microsoft.NET Framework 3.5 安装。 若要执行此操作,请转到以下文章 Microsoft 知识库中相应的文章:
      3154520 TLS 系统默认版本包含在 Windows 8.1 和 Windows Server 2012 R2 上.NET Framework 3.5 的支持
    • 对于.NET Framework 4.5 版安装所有重要更新。通过 Windows Update x
  2. 安装所需的 SQL Server TLS 1.2 协议支持更新。 若要执行此操作,请转到以下文章 Microsoft 知识库中相应的文章:
    3135244 Microsoft SQL Server 支持 TLS 1.2

    注意 TLS 2 协议支持只有 SHA1 和 SHA2 证书。 因此,必须更新所有证书是 SHA1 或 SHA2。

  3. 配置所需的支持 TLS 1.2 协议设置。 若要执行此操作,请参阅"设置 Windows Azure 包以支持 TLS 1.2 协议"一节。 注意 应运行 Windows Azure 包的系统上配置这些设置。

强化系统使用 TLS 1.2 协议


使用下列方法之一。

方法 1: 手动修改注册表

重要说明仔细按照本节中的步骤操作。 如果错误地修改了注册表,可能会出现严重问题。 之前您修改它还原的注册表备份以防出现问题。

使用以下步骤来启用/禁用所有频道协议系统范围。 我们建议您启用 TLS 1.2 协议对于传入通信和所有的传出通信的 TLS 1.2、 TLS 1.1 和 TLS 1.0 协议。

注意 这些注册表更改不会影响使用 Kerberos 或 NTLM 协议。

  1. 启动注册表编辑器。 要做到这一点,右键单击开始、 在运行框中,键入regedit ,然后单击确定
  2. 找到下面的注册表子项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. 右键单击此协议项,指向新建,然后单击
  4. 键入SSL 3,然后按 enter 键。
  5. 重复步骤 3 和 4 以创建 TLS 0、 TLS 1.1 和 TLS 1.2 密钥。 这些键类似于目录。
  6. 创建客户端密钥和用每个SSL 3TLS 1.0TLS 1.1TLS 1.2密钥的服务器密钥。
  7. 若要启用协议,创建客户端和服务器的每个键下的 DWORD 值,如下所示:
    DisabledByDefault [值 = 0] 启用 [值 = 1]
    要禁用某个协议,请更改每个客户端和服务器的项下的 DWORD 值,如下所示:
    DisabledByDefault [值 = 1] 启用 [值 = 0]
  8. 文件菜单上,单击退出

方法 2: 自动修改注册表

  • Windows Server 2012 R2,运行在管理员模式下更新 ComputerSchannelSettings.ps1 PowerShell 脚本。
  • 在 Windows 10 和更高版本上,运行在管理员模式下的SslProtocols.regSslCipherSuites4win10orlater.reg注册表文件。

注意 这些文件包含在TechNet 库中可用的 TLS1.2.zip 文件。

设置 Windows Azure 包以支持 TLS 1.2 协议


使用下列方法之一。

方法 1: 手动修改注册表

重要说明仔细按照本节中的步骤操作。 如果错误地修改了注册表,可能会出现严重问题。 之前您修改它还原的注册表备份以防出现问题。

若要启用 Windows Azure 包支持 TLS 1.2 协议的系统上的安装,请执行以下步骤:

  1. 启动注册表编辑器。 要做到这一点,右键单击开始、 在运行框中,键入regedit ,然后单击确定
  2. 找到下面的注册表子项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  3. 创建此项下的以下 DWORD 值:
    SchUseStrongCrypto [值 = 1]
  4. 找到下面的注册表子项:
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
  5. 创建此项下的以下 DWORD 值:
    SchUseStrongCrypto [值 = 1]
  6. 重新启动系统。

方法 2: 自动修改注册表

  • 在管理员模式下运行SchUseStrongCrypto.reg注册表文件。

注意 此文件包含在TechNet 库中可用的 TLS1.2.zip 文件中。