通过

传输层安全性 (TLS) 1.3 支持

适用于:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

TLS 1.3 是最新版本的 TLS 加密协议。 SharePoint Server 订阅版默认支持 TLS 1.3,当使用 Windows Server 2022 和 2021-06 累积更新(适用于 .NET Framework 3.5 和 4.8)部署时,Microsoft服务器作系统 x64 (KB5003529) 。

注意

TLS 1.3 不需要任何其他配置,可能不支持所有软件和系统。 Microsoft建议联系软件和硬件管理员,检查 TLS 1.3 的兼容性。

使用早期版本的 Windows Server 部署SharePoint Server 订阅版时,TLS 1.3 不可用且不受支持。 Microsoft 建议使用 Windows Server 2022 或更高版本部署 SharePoint Server 订阅版。

从版本 25H1 开始,SharePoint Server 订阅版将 Microsoft.Data.SqlClient 用于其数据库连接层。
Microsoft.Data.SqlClient 数据库连接层支持高级安全功能,例如表格数据Stream (TDS) 版本 8.0 和 TLS 版本 1.3。

对 TDS 8.0 的支持

SharePoint Server 订阅版支持 TDS 8.0,同时与不支持 TDS 8.0 的早期版本的 SQL Server 保持向后兼容。 SQL Server 2022、Azure SQL Database 和 Azure SQL 托管实例 目前支持 TDS 8.0。

TDS 8.0 支持较旧的 TDS 版本不支持的较新加密协议(例如 TLS 1.3),同时保持与旧版 TLS 的兼容性。

支持 TLS 1.3

SharePoint Server 订阅版添加了对使用 TLS 1.3 连接加密连接到 SQL 数据库的支持,同时与不支持 TLS 1.3 连接加密的以前版本的 SQL Server 保持向后兼容。 SQL SERVER 2022 目前支持 TLS 1.3。 SQL Server 2022 和连接到它的基于 Windows 的应用程序必须在 Windows 11 或 Windows Server 2022 (或更高版本上运行,) 才能使用 TLS 1.3。

数据库设置

对于每个 SharePoint 数据库,数据库连接层具有以下属性, (Microsoft.SharePoint.Administration.SPDatabase) 。

  1. 加密 (Microsoft.Data.SqlClient.SqlConnectionEncryptOption)

    1. 可选:如果SQL Server需要,可以使用连接加密。 但是,如果SQL Server不需要加密,则不使用连接加密。 连接仅限于使用 TDS 7.4。

    2. 必需:必须使用 SQL Server 建立连接加密。 如果无法建立连接加密,则会阻止连接。 连接仅限于使用 TDS 7.4。

    3. 严格:必须使用 SQL Server 建立连接加密,并且连接必须使用 TDS 8.0 或更高版本。 如果无法使用 TDS 8.0 或更高版本建立连接加密,则会阻止连接。

  2. HostnameInCert (String) :指定SQL Server的 SSL/TLS 服务器证书中的主机名。 如果证书中的主机名与 SharePoint 连接到的主机名不匹配,SharePoint 场管理员应指定此属性。

使用现有数据库升级场时的行为

默认情况下,属于 SharePoint 场的数据库将配置为使用 可选 加密。 这是为了确保 SharePoint 场与其场中的现有 SQL Server 保持兼容,以防它们不支持较新的 TDS 8.0 和 TLS 1.3 协议。 这意味着 SharePoint 在连接到这些数据库时将继续使用 TDS 7.4。 如果使用连接加密连接到这些数据库,它将基于 TLS 1.2 或更低版本。

将数据库添加到场时的行为

所有数据库的设置都基于配置数据库的设置。 添加到场的新创建的数据库配置为对场配置数据库使用相同的加密设置。 例如,如果配置数据库使用强制加密,则所有数据库也都使用强制加密。

在 PSConfig 期间指定加密设置

创建新场

  • 若要创建新场,请在 PowerShell 中将以下可选参数添加到 New-SPConfigurationDatabase cmdlet:

    -DatabaseConnectionEncryption {Mandatory | Optional | Strict} 
-DatabaseServerCertificateHostName <String>

    注意

    如果未指定 DatabaseConnectionEncryption,则默认情况下是必需的。

    例如:

    New-SPConfigurationDatabase -DatabaseName "SharePointConfigDB1" -DatabaseServer "SQL-01" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "MyPassword" -AsPlainText -force) -FarmCredentials (Get-Credential) -LocalServerRole "Application"

  • 在 PSConfig.exe 中,将以下可选参数添加到 configdb作:

    -dbencryption {Mandatory | Optional | Strict} 
-dbcerthostname <String>

    注意

    如果未指定 dbencryption,则默认为 必需

    例如:

    psconfig.exe -cmd configdb -create -database "SharePointConfigDB1" -server "SQL-01" -dbencryption "Mandatory" -dbcerthostname "SQL01.internal.contoso.com" -passphrase "the_passphrase" -user "DOMAIN\username" -password "the_password" -localserverrole "Application"

  • 在 SharePoint 产品配置向导 (PSConfigUI.exe) ,在配置数据库窗体的“数据库连接加密”和“数据库服务器证书主机名”字段中指定设置。

    配置向导的屏幕截图。

加入现有场

若要加入现有场,需要指定现有场正在使用的加密设置,如下所示。

  1. 如果配置数据库为“强制加密”,请选择“数据库连接加密”作为“强制”。

  2. 输入 数据库服务器证书主机名 ,然后单击“ 检索数据库名称”。

  3. 然后,可以选择希望第二台服务器加入的场。

    用于加入现有场的设置的屏幕截图。

此外,运行以下 PowerShell 命令以加入场:

Connect-SPConfigurationDatabase -DatabaseServer "SQL-01" -DatabaseName "SharePointConfigDB1" -DatabaseConnectionEncryption Mandatory -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "****" -AsPlainText -Force) -LocalServerRole "Application"