TLS 1.2 Windows Azure 的通訊協定支援部署指南 》 壓縮

適用於: Azure

摘要


本文說明如何部署 TLS 1.2 通訊協定,在 Windows Azure 套件。

先決條件


以下是支援 TLS 1.2 通訊協定,在 Windows Azure 套件的先決條件:

  1. 在 Windows Server 2012 R2,執行下列動作:  
    • 更新 Microsoft.NET Framework 3.5 安裝。 若要這麼做,請移至下面的文件的 「 Microsoft 知識庫 」 中的文:
      3154520 TLS 系統預設版本包含在.NET Framework 3.5,Windows 8.1 和 Windows Server 2012 R2 的支援
    • .NET Framework 第 4.5 版安裝所有重要的更新。透過 Windows Update 的x
  2. 安裝必要的 SQL Server TLS 1.2 通訊協定支援更新。 若要這麼做,請移至下面的文件的 「 Microsoft 知識庫 」 中的文:
    3135244 Microsoft SQL Server 的 TLS 1.2 支援

    注意: TLS 2 通訊協定支援只有 SHA1 和 SHA2 的憑證。 因此必須更新所有憑證,以 SHA1 或 SHA2。

  3. 設定所需的支援 TLS 1.2 通訊協定的設定。 若要執行這項操作,請參閱 「 設定 Windows Azure 壓縮至支援 TLS 1.2 通訊協定 」 一節。 注意: 這些設定應該設定在執行 Windows Azure 套件的系統上。

強化系統,才能使用 TLS 1.2 通訊協定


使用下列方法之一。

方法 1: 手動修改登錄

重要仔細遵循本章節中的步驟。 如果您不當修改登錄,可能會發生嚴重的問題。 之前您修改後,還原登錄備份,萬一發生問題。

使用下列的步驟來啟用或停用所有 SCHANNEL 通訊協定全系統。 我們建議您啟用 TLS 1.2 通訊協定對連入通訊,以及 TLS 1.2、 TLS 1.1 和 TLS 1.0 通訊協定,用於所有的傳出通訊。

注意: 變更這些登錄內容不會影響使用 Kerberos 或 「 NTLM 通訊協定。

  1. 啟動 [登錄編輯程式]。 若要執行這項操作,以滑鼠右鍵按一下 [開始,在 [執行] 方塊中,輸入regedit ,然後按一下[確定]
  2. 找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. 通訊協定索引鍵上按一下滑鼠右鍵,指向 [新增],然後按一下機碼
  4. 鍵入SSL 3,然後再按 Enter 鍵。
  5. 重複步驟 3 和 4 來建立 TLS 0、 TLS 1.1 和 TLS 1.2 的機碼。 這些機碼看起來像的目錄。
  6. 建立用戶端的機碼和伺服器碼下的每個SSL 3TLS 1.0TLS 1.1TLS 1.2機碼。
  7. 若要啟用的通訊協定,請建立 DWORD 值,在每個用戶端和伺服器的機碼下如下所示:
    DisabledByDefault [值 = 0] 啟用 [值 = 1]
    若要停用通訊協定,請依下列步驟變更 DWORD 值,在每個用戶端和伺服器的機碼下:
    DisabledByDefault [值 = 1] 啟用 [值 = 0]
  8. 按一下 [檔案] 功能表的 [結束]

方法 2: 自動修改登錄

  • 在 Windows Server 2012 R2,請以系統管理員模式中執行更新 ComputerSchannelSettings.ps1 PowerShell 指令碼。
  • 在 Windows 10 及更新版本,請以系統管理員模式中執行的SslProtocols.regSslCipherSuites4win10orlater.reg的登錄檔案。

注意: 這些檔案都包含在位於TechNet 圖庫的 TLS1.2.zip 檔案中。

設定 Windows Azure 封包,以支援 TLS 1.2 通訊協定


使用下列方法之一。

方法 1: 手動修改登錄

重要仔細遵循本章節中的步驟。 如果您不當修改登錄,可能會發生嚴重的問題。 之前您修改後,還原登錄備份,萬一發生問題。

若要啟用在支援 TLS 1.2 通訊協定的系統上安裝 Windows Azure 套件,請依照下列步驟執行:

  1. 啟動 [登錄編輯程式]。 若要執行這項操作,以滑鼠右鍵按一下 [開始,在 [執行] 方塊中,輸入regedit ,然後按一下[確定]
  2. 找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  3. 建立下列的 DWORD 值,此機碼下:
    SchUseStrongCrypto [值 = 1]
  4. 找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
  5. 建立下列的 DWORD 值,此機碼下:
    SchUseStrongCrypto [值 = 1]
  6. 重新啟動系統。

方法 2: 自動修改登錄

  • 以系統管理員模式中,執行SchUseStrongCrypto.reg的登錄檔案。

注意: 這個檔案包含在位於TechNet 圖庫的 TLS1.2.zip 檔案中。