Condividi tramite

Supporto per TLS (Transport Layer Security) 1.3

  • Articolo

SI APPLICA A:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

TLS 1.3 è la versione più recente del protocollo di crittografia TLS. SharePoint Server Subscription Edition per impostazione predefinita supporta TLS 1.3 quando viene distribuito con Windows Server aggiornamento cumulativo 2022 e 2021-06 per .NET Framework 3.5 e 4.8 per il sistema operativo server Microsoft x64 (KB5003529).

Nota

TLS 1.3 non richiede alcuna configurazione aggiuntiva e potrebbe non supportare tutti i software e i sistemi. Microsoft consiglia di contattare l'amministratore software e hardware per verificare la compatibilità di TLS 1.3.

TLS 1.3 non è disponibile e non è supportato quando SharePoint Server Subscription Edition viene distribuito con le versioni precedenti di Windows Server. Microsoft consiglia di distribuire SharePoint Server Subscription Edition con Windows Server 2022 o versione successiva.

A partire dalla versione 25H1, SharePoint Server Subscription Edition usa Microsoft.Data.SqlClient per il livello di connettività del database.
Il livello di connettività del database Microsoft.Data.SqlClient supporta funzionalità di sicurezza avanzate, ad esempio Tabular Data Stream (TDS) versione 8.0 e TLS versione 1.3.

Supporto per TDS 8.0

SharePoint Server Subscription Edition supporta TDS 8.0, pur rimanendo compatibile con le versioni precedenti di SQL Server che non supportano TDS 8.0. TDS 8.0 è attualmente supportato da SQL Server 2022, Azure SQL Database e Istanza gestita di SQL di Azure.

TDS 8.0 supporta protocolli di crittografia più recenti, ad esempio TLS 1.3, che le versioni precedenti di TDS non possono supportare, mantenendo al tempo stesso la compatibilità con le versioni precedenti di TLS.

Supporto per TLS 1.3

SharePoint Server Subscription Edition aggiunge il supporto per la connessione ai database SQL usando la crittografia della connessione TLS 1.3, pur rimanendo compatibile con le versioni precedenti di SQL Server che non supportano la crittografia della connessione TLS 1.3. TLS 1.3 è attualmente supportato da SQL Server 2022. SQL Server 2022 e le applicazioni basate su Windows che si connettono ad esso devono essere in esecuzione in Windows 11 o Windows Server 2022 (o versione successiva) per poter usare TLS 1.3.

Impostazioni di database

Il livello di connettività del database dispone delle proprietà seguenti per ogni database di SharePoint (Microsoft.SharePoint.Administration.SPDatabase).

  1. Encrypt (Microsoft.Data.SqlClient.SqlConnectionEncryptOption)

    1. Facoltativo: la crittografia della connessione può essere usata se richiesto dal SQL Server. Tuttavia, se la crittografia non è richiesta dal SQL Server, non viene usata alcuna crittografia di connessione. La connessione è limitata all'uso di TDS 7.4.

    2. Obbligatorio: la crittografia della connessione deve essere stabilita con il SQL Server. Se non è possibile stabilire la crittografia della connessione, la connessione viene bloccata. La connessione è limitata all'uso di TDS 7.4.

    3. Strict: la crittografia della connessione deve essere stabilita con il SQL Server e la connessione deve usare TDS 8.0 o versione successiva. Se non è possibile stabilire la crittografia della connessione con TDS 8.0 o versione successiva, la connessione viene bloccata.

  2. HostnameInCert (String): specifica il nome host nel certificato del server SSL/TLS del SQL Server. Gli amministratori della farm di SharePoint devono specificare questa proprietà se il nome host nel certificato non corrisponde al nome host a cui si connette SharePoint.

Comportamenti durante l'aggiornamento di una farm con database esistenti

I database che fanno parte di una farm di SharePoint verranno configurati per l'uso della crittografia facoltativa per impostazione predefinita. Ciò garantisce che la farm di SharePoint rimanga compatibile con i server SQL esistenti nella farm nel caso in cui non supportino i protocolli TDS 8.0 e TLS 1.3 più recenti. Ciò significa che SharePoint continuerà a usare TDS 7.4 durante la connessione a tali database. Se la crittografia della connessione viene usata per connettersi a tali database, sarà basata su TLS 1.2 o versione inferiore.

Comportamenti durante l'aggiunta di un database a una farm

Le impostazioni per tutti i database si basano sulle impostazioni del database di configurazione. I database appena creati aggiunti a una farm sono configurati per usare le stesse impostazioni di crittografia con il database di configurazione della farm. Ad esempio, se il database di configurazione usa la crittografia obbligatoria, anche tutti i database usano la crittografia obbligatoria.

Specificare le impostazioni di crittografia durante PSConfig

Creazione di una nuova farm

  • Per creare una nuova farm, in PowerShell aggiungere i parametri facoltativi seguenti al New-SPConfigurationDatabase cmdlet:

    -DatabaseConnectionEncryption {Mandatory | Optional | Strict} 
-DatabaseServerCertificateHostName <String>

    Nota

    DatabaseConnectionEncryption è Obbligatorio per impostazione predefinita nel caso in cui non lo si specifichi.

    Ad esempio:

    New-SPConfigurationDatabase -DatabaseName "SharePointConfigDB1" -DatabaseServer "SQL-01" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "MyPassword" -AsPlainText -force) -FarmCredentials (Get-Credential) -LocalServerRole "Application"

  • In PSConfig.exe aggiungere i parametri facoltativi seguenti all'operazione configdb:

    -dbencryption {Mandatory | Optional | Strict} 
-dbcerthostname <String>

    Nota

    dbencryption è Obbligatorio per impostazione predefinita nel caso in cui non lo si specifichi.

    Ad esempio:

    psconfig.exe -cmd configdb -create -database "SharePointConfigDB1" -server "SQL-01" -dbencryption "Mandatory" -dbcerthostname "SQL01.internal.contoso.com" -passphrase "the_passphrase" -user "DOMAIN\username" -password "the_password" -localserverrole "Application"

  • Nella Configurazione guidata prodotti SharePoint (PSConfigUI.exe) specificare le impostazioni nei campi Crittografia connessione database e Nome host del certificato del server di database nel modulo del database di configurazione.

    Screenshot della Configurazione guidata.

Aggiunta alla farm esistente

Per aggiungere la farm esistente, è necessario specificare le impostazioni di crittografia che la farm esistente usa come indicato di seguito.

  1. Selezionare Crittografia connessione database come Obbligatorio se il database di configurazione è Crittografia obbligatoria.

  2. Immettere il nome host del certificato del server di database e fare clic su Recupera nomi di database.

  3. È quindi possibile selezionare la farm a cui si vuole aggiungere il secondo server.

    Screenshot delle impostazioni per l'aggiunta di farm esistenti.

Eseguire anche il comando di PowerShell seguente per aggiungere alla farm:

Connect-SPConfigurationDatabase -DatabaseServer "SQL-01" -DatabaseName "SharePointConfigDB1" -DatabaseConnectionEncryption Mandatory -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "****" -AsPlainText -Force) -LocalServerRole "Application"