Поделиться через

Поддержка протокола TLS 1.3

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

TLS 1.3 — это последняя версия протокола шифрования TLS. SharePoint Server по подписке по умолчанию поддерживает TLS 1.3 при развертывании с накопительным пакетом обновления Windows Server 2022 и 2021-06 для платформа .NET Framework 3.5 и 4.8 для серверной операционной системы Майкрософт x64 (KB5003529).

Примечание.

TLS 1.3 не требует дополнительной настройки и может не поддерживать все программное обеспечение и системы. Корпорация Майкрософт рекомендует обратиться к администратору программного обеспечения и оборудования для проверка совместимости TLS 1.3.

TLS 1.3 недоступен и не поддерживается при развертывании SharePoint Server по подписке с более ранними версиями Windows Server. Корпорация Майкрософт рекомендует выполнять развертывание SharePoint Server по подписке с Windows Server 2022 или более поздней версии.

Начиная с версии 25H1, SharePoint Server по подписке использует Microsoft.Data.SqlClient для уровня подключения к базе данных.
Уровень подключения к базе данных Microsoft.Data.SqlClient поддерживает расширенные возможности безопасности, такие как табличные данные Stream (TDS) версии 8.0 и TLS версии 1.3.

Поддержка TDS 8.0

SharePoint Server по подписке поддерживает TDS 8.0, сохраняя обратную совместимость с предыдущими версиями SQL Server, которые не поддерживают TDS 8.0. TDS 8.0 в настоящее время поддерживается SQL Server 2022 г., Azure SQL Database и Управляемый экземпляр SQL Azure.

TDS 8.0 поддерживает более новые протоколы шифрования, такие как TLS 1.3, которые не поддерживаются более ранними версиями TDS, сохраняя при этом совместимость с более старыми версиями TLS.

Поддержка протокола TLS 1.3

SharePoint Server по подписке добавлена поддержка подключения к базам данных SQL с помощью шифрования подключений TLS 1.3, а также обратная совместимость с предыдущими версиями SQL Server, которые не поддерживают шифрование подключений TLS 1.3. Tls 1.3 в настоящее время поддерживается SQL Server 2022. SQL Server 2022 и подключающиеся к ней приложения под управлением Windows должны работать на Windows 11 или Windows Server 2022 (или более поздней версии), чтобы иметь возможность использовать TLS 1.3.

Параметры базы данных

Уровень подключения к базе данных имеет следующие свойства для каждой базы данных SharePoint (Microsoft.SharePoint.Administration.SPDatabase).

  1. Encrypt (Microsoft.Data.SqlClient.SqlConnectionEncryptOption)

    1. Необязательно. При необходимости SQL Server можно использовать шифрование подключения. Однако если шифрование не требуется SQL Server, шифрование подключения не используется. Подключение ограничено использованием TDS 7.4.

    2. Обязательный. Шифрование подключения должно быть установлено с помощью SQL Server. Если не удается установить шифрование подключения, подключение блокируется. Подключение ограничено использованием TDS 7.4.

    3. Строгое. Шифрование соединения должно быть установлено с помощью SQL Server, а подключение должно использовать TDS 8.0 или более поздней версии. Если не удается установить шифрование подключения с помощью TDS 8.0 или более поздней версии, подключение блокируется.

  2. HostnameInCert (String). Указывает имя узла в сертификате сервера SSL/TLS SQL Server. Администраторы фермы SharePoint должны указать это свойство, если имя узла в сертификате не соответствует имени узла, к которому подключается SharePoint.

Поведение при обновлении фермы с помощью существующих баз данных

Базы данных, входящие в ферму SharePoint, будут настроены на использование необязательного шифрования по умолчанию. Это необходимо для обеспечения совместимости фермы SharePoint с существующими серверами SQL в ферме, если они не поддерживают более новые протоколы TDS 8.0 и TLS 1.3. Это означает, что SharePoint продолжит использовать TDS 7.4 при подключении к этим базам данных. Если для подключения к этим базам данных используется шифрование подключения, оно будет основано на TLS 1.2 или более поздней версии.

Поведение при добавлении базы данных в ферму

Параметры для всех баз данных основаны на параметрах базы данных конфигурации. Вновь созданные базы данных, добавленные в ферму, настраиваются для использования одинаковых параметров шифрования с базой данных конфигурации фермы. Например, если база данных конфигурации использует обязательное шифрование, то все базы данных также используют обязательное шифрование.

Указание параметров шифрования во время PSConfig

Создание фермы

  • Чтобы создать ферму, добавьте в командлет следующие необязательные параметры New-SPConfigurationDatabase в PowerShell:

    -DatabaseConnectionEncryption {Mandatory | Optional | Strict} 
-DatabaseServerCertificateHostName <String>

    Примечание.

    DatabaseConnectionEncryption является обязательным по умолчанию, если вы не указали его.

    Например:

    New-SPConfigurationDatabase -DatabaseName "SharePointConfigDB1" -DatabaseServer "SQL-01" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "MyPassword" -AsPlainText -force) -FarmCredentials (Get-Credential) -LocalServerRole "Application"

  • В PSConfig.exe добавьте следующие необязательные параметры в операцию configdb:

    -dbencryption {Mandatory | Optional | Strict} 
-dbcerthostname <String>

    Примечание.

    dbencryption является обязательным по умолчанию, если вы не указали его.

    Например:

    psconfig.exe -cmd configdb -create -database "SharePointConfigDB1" -server "SQL-01" -dbencryption "Mandatory" -dbcerthostname "SQL01.internal.contoso.com" -passphrase "the_passphrase" -user "DOMAIN\username" -password "the_password" -localserverrole "Application"

  • В мастере настройки продуктов SharePoint (PSConfigUI.exe) укажите параметры в полях Шифрование подключения к базе данных и Имя узла сертификата сервера базы данных в форме базы данных конфигурации.

    Снимок экрана: мастер настройки.

Присоединение к существующей ферме

Чтобы присоединиться к существующей ферме, необходимо указать параметры шифрования, которые использует существующая ферма, как показано ниже.

  1. Выберите Шифрование подключения к базе данных в качестве обязательного , если база данных конфигурации имеет значение Обязательное шифрование.

  2. Введите имя узла сертификата сервера базы данных и щелкните Получить имена баз данных.

  3. Затем можно выбрать ферму, к которой будет присоединен второй сервер.

    Снимок экрана: параметры присоединения к существующей ферме.

Кроме того, выполните следующую команду PowerShell, чтобы присоединиться к ферме:

Connect-SPConfigurationDatabase -DatabaseServer "SQL-01" -DatabaseName "SharePointConfigDB1" -DatabaseConnectionEncryption Mandatory -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "****" -AsPlainText -Force) -LocalServerRole "Application"