Azure 备份中的传输层安全性
传输层安全性 (TLS) 是在通过网络传输数据时保护数据安全的加密协议。 Azure 备份使用传输层安全性来保护正在传输的备份数据的隐私。 本文介绍了启用 TLS 1.2 协议的步骤,该协议提供了比以前版本更高的安全性。
早期版本的 Windows
如果计算机运行的是早期版本的 Windows,则必须安装下述相应更新,并且必须应用知识库文章中介绍的注册表更改。
| 操作系统 | 知识库文章 |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2、Windows 7、Windows Server 2012 | https://support.microsoft.com/help/3140245 |
注意
该更新将安装所需协议组件。 安装完成后,必须进行上述知识库文章中提到的注册表项更改,以正确启用所需协议。
验证 Windows 注册表
配置 SChannel 协议
以下注册表项确保在 SChannel 组件级别启用 TLS 1.2 协议:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
注意
显示的值在 Windows Server 2012 R2 及更高版本中是默认设置的。 对于这些版本的 Windows,如果注册表项不存在,则无需创建它们。
配置 .NET Framework
以下注册表项将 .NET Framework 配置为支持强加密。 可以在此处详细了解如何配置 .NET Framework。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Azure TLS 证书更改
Azure TLS/SSL 终结点包含链接到新根 CA 的已更新证书。 确保以下更改包括更新的根 CA。 详细了解可能对应用程序产生的影响。
之前,Azure 服务使用的大多数 TLS 证书都链接到以下根 CA:
| CA 的公用名 | 指纹 (SHA1) |
|---|---|
| Baltimore CyberTrust 根 | d4de20d05e66fc53fe1a50882c78db2852cae474 |
如今,Azure 服务使用的 TLS 证书有助于链接到以下根 CA 之一:
| CA 的公用名 | 指纹 (SHA1) |
|---|---|
| DigiCert 全局根 G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert 全局根 CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust 根 | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST 根类 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA 根证书颁发机构 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC 根证书颁发机构 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
常见问题
为什么启用 TLS 1.2?
TLS 1.2 比以前的加密协议(如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1)更安全。 Azure 备份服务已完全支持 TLS 1.2。
什么因素决定所使用的加密协议?
客户端和服务器都支持的最高协议版本会通过协商确定,以便建立加密会话。 有关 TLS 握手协议的详细信息,请参阅通过使用 TLS 建立安全会话。
未启用 TLS 1.2 会有什么影响?
为了更好地防御协议降级攻击,Azure 备份将以分阶段的方式开始禁用早于 1.2 的 TLS 版本。 这是为了禁止旧协议和密码套件连接而在服务间进行的长期转换过程的一部分。 Azure 备份服务和组件完全支持 TLS 1.2。 但是,缺少所需更新或某些自定义配置的 Windows 版本仍会阻止提供 TLS 1.2 协议。 这可能会导致失败,其中包括但不限于以下一种或多种情况:
- 备份和还原操作可能会失败。
- 备份组件连接失败,出现错误 10054(远程主机强行关闭了现有的连接)。
- 与 Azure 备份相关的服务无法正常停止或启动。