本文介绍 Microsoft 为在 Windows、SQL Server 2016、SQL Server 2008、SQL Server 2008 R2、SQL Server 2012 和 SQL Server 2014 上为 SQL Server 2017 启用 TLS 1.2 支持而发布的更新。 本文还列出了支持的客户端提供程序。 SQL Server 2016、SQL Server 2017 和 SQL Server 2019 支持 TLS 1.2，无需更新。

已针对 SSL 和早期版本的传输层安全性报告多个已知漏洞， (TLS) 。 建议升级到 TLS 1.2 以安全通信。

重要：未针对 Microsoft TDS 实现报告任何已知漏洞。 这是在客户端和数据库SQL Server之间SQL Server协议。 有关截至本文发布日期向 Microsoft 报告的已知漏洞的 TLS 1.0 (的 Microsoft Schannel 实现) 在 Windows 安全状态更新中的 TLS 1.0 的 Schannel 实现中进行了汇总：2015 年 11 月 24日。

使用下表确定当前版本的 SQL Server 是否已支持 TLS 1.2，或者是否必须下载更新才能启用 TLS 1.2 支持。 使用表中的下载链接获取适用于环境的服务器更新。

注意晚于此表中列出的版本也支持 TLS 1.2。

SQL Server版本

支持 TLS 1.2 的初始生成/发布

支持 TLS 1.2 的当前更新

其他信息

SQL Server 2014 SP1 CU

12.0.4439.1

SP1 CU5

KB3130926 - SQL Server 2014 SP1

备注： KB3130926 现在将安装为 2014 SP1 (CU13 生成的最后一个 CU - KB4019099 ) ，其中包括 TLS 1.2 支持以及到目前为止发布的所有修补程序。 如果需要，CU5 可在 Windows 更新 目录中使用。

备注： TLS 1.2 支持也在 2014 SP2 和 2014 SP3 中提供。

KB3052404 - 修复：不能使用传输层安全协议版本 1.2 连接到运行 SQL Server 2014 或 SQL Server 2012 的服务器

SQL Server 2014 SP1 GDR

12.0.4219.0

SP1 GDR TLS 1.2 更新

最新累积 GDR 更新 -KB4019091中提供了对 2014 SP1 GDR 的 TLS 1.2 支持。

备注： TLS 1.2 支持也在 2014 SP2 和 2014 SP3 中提供。

SQL Server 2014 RTM CU

12.0.2564.0

RTM CU12

KB3130923 - 2014 年 12

备注： KB3130923 现在将安装针对 2014 RTM (CU14 - KB3158271 ) 发布的最后一个CU，其中包括 TLS 1.2 支持以及到目前为止发布的所有修补程序。 如果需要，CU12 在 Windows 更新 目录中可用。

备注： TLS 1.2 支持也在 2014 SP2 和 2014 SP3 中提供。

KB3052404 - 修复：不能使用传输层安全协议版本 1.2 连接到运行 SQL Server 2014 或 SQL Server 2012 的服务器

SQL Server 2014 RTM GDR

12.0.2271.0

RTM GDR TLS 1.2 更新

目前，仅通过安装 2014 SP2 和 2014 SP3 SQL 2014 RTM 提供 TLS 支持 。

SQL Server 2012 SP3 GDR

11.0.6216.27

SP3 GDR TLS 1.2 更新

最新累积 GDR 更新 -KB4057115中提供了对 2012 SP3 GDR 的 TLS 1.2 支持。

备注： TLS 1.2 支持也在 2012 SP4 中提供。

SQL Server 2012 SP3 CU

11.0.6518.0

SP1 CU3

KB3123299 - SQL Server 2012 SP3

备注： KB3123299 现在将安装针对 2012 SP3 (CU10 - KB4025925发布的最后一个CU，其中包括 TLS 1.2 支持以及截至) 日发布的所有修补程序。 如果需要，CU1 可在 Windows 更新 目录中使用。

备注： TLS 1.2 支持也在 2012 SP4 中提供。

KB3052404 - 修复：不能使用传输层安全协议版本 1.2 连接到运行 SQL Server 2014 或 SQL Server 2012 的服务器

SQL Server 2012 SP2 GDR

11.0.5352.0

SP2 GDR TLS 1.2 更新

最新累积 GDR 更新 - KB3194719中提供了对 2012 SP2 GDR 的 TLS 1.2 支持。

TLS 1.2 支持也在 2012 SP3 和 2012 SP4 中提供。

SQL Server 2012 SP2 CU

11.0.5644.2

SP2 CU10

KB3120313 - 2012 SP2 SQL Server累积更新 10。

备注： KB3120313 现在将安装针对 2012 SP2 (CU16 发布的最后一个 CU - KB3205054，其中包括 TLS 1.2 支持以及截至) 年发布的所有修补程序。 如果需要，CU1 可在 Windows 更新 目录中使用。

备注： TLS 1.2 支持也在 2012 SP3 和 2012 SP4 中提供。

KB3052404 - 修复：不能使用传输层安全协议版本 1.2 连接到运行 SQL Server 2014 或 SQL Server 2012 的服务器

SQL Server 2008 R2 SP3 (x86/x64)

10.50.6542.0

SP3 TLS 1.2 更新

TLS 1.2 支持在 SQL Server 2008 R2 SP3 – KB4057113的最新累积更新中提供。

SQL Server IA-64 (2008 R2 SP2 GDR)

10.50.4047.0

SP2 TLS 1.2 更新

SQL Server 2008 R2 SP2 GDR (IA-64) TLS 1.2 更新https://www.microsoft.com/download/details.aspx?id=57605

SQL Server IA-64 (2008 R2 SP2 CU)

10.50.4344.0

SP2 TLS 1.2 更新

SQL Server 2008 R2 SP2 GDR (IA-64) TLS 1.2 更新https://www.microsoft.com/download/details.aspx?id=57605

SQL Server 2008 SP4

(x86/x64)

10.0.6547.0

SP4 TLS 1.2 更新

TLS 1.2 支持在 SQL Server 2008 SP4 – KB4057114 的最新累积更新中提供。 (x86/x64)

SQL Server 2008 SP3 GDR (IA-64)

10.0.5545.0

SP3 TLS 1.2 更新

SQL Server 2008 SP3 GDR (IA-64) TLS 1.2 更新https://www.microsoft.com/download/details.aspx?id=57605

SQL Server 2008 SP3 CU (IA-64)

10.0.5896.0

SP3 TLS 1.2 更新

SQL Server 2008 SP3 CU (IA-64) TLS 1.2 更新https://www.microsoft.com/download/details.aspx?id=57605

使用下表下载适用于环境的客户端组件和驱动程序更新。

客户端组件 /驱动程序

支持 TLS 1.2 的更新

SQL Server 2008/2008 R2 SQL Server x86/x64/IA64 (的本机客户端 10.0)

Microsoft SQL Server 2008 和 SQL Server 2008 R2 本机客户端

SQL Server 2012/2014 SQL Server x86/x64 (本机客户端 11.0)

Microsoft SQL Server 2012 本机客户端 - QFE

必须安装以下 .NET 修补程序汇总，才能启用 SQL Server 功能（如数据库邮件）和某些使用 .NET 终结点（需要 TLS 1.2 支持，例如 Web 服务任务）才能使用 TLS 1.2 的 SSIS 组件。

操作系统

.NET Framework 版本

支持 TLS 1.2 的更新

Windows 7 Service Pack 1、Windows 2008 R2 Service Pack 1

3.5 .1

对 .NET Framework 版本 3.5.1 中包含的 TLS v1.2 的支持

Windows 8 RTM、Windows 2012 RTM

3.5

.NET Framework 版本 3.5 中包含的对 TLS v1.2 的支持

Windows 8.1、Windows 2012 R2 SP1

3.5 SP1

Windows 8.1 和 R2 上 .NET Framework 版本 3.5 SP1 中包含的对 TLS v1.2 Windows Server 2012支持

2016 和更高版本是否SQL Server TLS 1.1？

是的。 SQL Server TLS 1.0 到 TLS 1.2 支持在 Windows 版本上提供 SQL Server 2016、SQL Server 2017 和 SQL Server 2019。 如果只想将 TLS 1.2 用于客户端-服务器通信，必须禁用 TLS 1.0 和 1.1。

2019 SQL Server 2019 是否允许使用 TLS 1.0 或 1.1 或仅 1.2 的连接？

SQL Server 2019 的支持级别与 SQL Server 2016 和 SQL Server 2017 相同，SQL Server 2019 支持较早版本的 TLS。 SQL Server 2019 RTM 附带 TLS 1.2 支持，无需其他更新/修复来启用 TLS 1.2 支持。

TDS 是否受已知漏洞影响？

未针对 Microsoft TDS 实现报告任何已知漏洞。 由于多个标准执行组织正在强制使用 TLS 1.2 来加密信道，因此 Microsoft 发布了对 TLS 1.2 的支持，以用于广泛的 SQL Server 安装基。

如何将 TLS 1.2 更新分发给客户？

本文提供支持 TLS 1.2 的适当服务器和客户端更新的下载链接。

TLS 1.2 SQL Server支持 2005？

TLS 1.2 支持仅适用于 SQL Server 2008 和更高版本。

如果在服务器上禁用 SSL 3.0 和 TLS 1.0，则未使用 SSL/TLS 的客户是否受到影响？

是的。 SQL Server在登录期间加密用户名和密码，即使未使用安全信道。 对于未使用安全SQL Server且在服务器上禁用了 TLS 1.2 之外的其他所有协议的所有实例，都需要此更新。

哪些版本的 Windows Server 支持 TLS 1.2？

Windows Server 2008 R2 和更高版本支持 TLS 1.2。

启用 TLS 1.2 以实现通信的正确注册表SQL Server是什么？ 正确的注册表设置如下所示：

服务器和客户端计算机都需要这些设置。 在 Windows 7 客户端和 Windows Server 2008 R2 服务器上需要创建 DisabledByDefault 和 Enabled 设置。 在 Windows 8 和更高版本的客户端操作系统或 Windows Server 2012 服务器和更高版本的服务器操作系统上，应该已经启用了 TLS 1.2。 如果要为 Windows 注册表实施需要独立于 OS 发布的部署策略，我们建议将上述注册表项添加到策略。

问题 1

应用 SQL Server 2008、2008 R2、2012 或 2014 的修补程序后，ISQL Server Management Studio (SSMS) 、Report Server 和 Report Manager 不会连接到数据库引擎。 报告服务器和报表管理器失败，并返回以下错误消息：

报表服务器无法打开与 报表服务器 数据库的连接。 所有请求和处理都需要与数据库建立连接。 (rsReportServerDatabaseUnavailable)

出现此问题的原因是 SSMS、报表管理器和 Reporting Services Configuration Manager 使用 ADO.NET，而 ADO.NET 对 TLS 1.2 的支持仅在 .NET Framework 4.6 中可用。 对于早期版本的 .NET Framework，必须应用 Windows 更新，ADO.NET客户端支持 TLS 1.2 通信。 在早期版本的 .NET Framework 中启用 TLS 1.2 支持的 Windows 更新列在"如何知道是否需要此更新"部分中的表中。

问题 2

即使客户端提供程序已更新为支持 TLS 1.2 的版本，Reporting Services Configuration Manager 也报告以下错误消息：

无法连接到服务器：已成功建立到服务器的连接，但在预登录握手期间发生错误。

若要解决此问题，请手动在托管 Reporting Services Configuration Manager 的系统上创建以下注册表项 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client： "Enabled"=dword：00000001

问题 3

将加密通信用于可用性组、数据库镜像或服务代理时，使用 TLS 1.2 的加密终结点通信SQL Server。 类似于下面的错误消息记录在错误日志中SQL错误：

连接握手失败。 OS 调用失败： (80090331) 0x80090331 (客户端和服务器无法通信，因为它们没有常见的算法.) 。 状态 56。

有关此问题详细信息，请参阅 FIX：使用 TLS 1.2的加密终结点通信失败SQL Server。

问题 4

尝试在启用了 TLS 1.2 的服务器上安装 SQL Server 2012 或 SQL Server 2014 时，会发生各种错误。

有关详细信息，请参阅 "修复：在启用了 TLS 1.2 的服务器上安装 SQL Server 2012 或 SQL Server 2014 时出错。

问题 5

禁用 TLS 1.2 外的其他所有协议后，使用证书后，无法通过数据库镜像或可用性组进行加密连接。 类似于下面的错误消息将记录在"错误SQL Server日志中：

禁用 TLS 1.2 外的其他所有协议后，使用证书后，无法与数据库镜像或可用性组建立加密连接。 你可能会注意到以下症状之一：

症状 1：

类似于下面的错误消息将记录在"错误SQL Server日志中：

连接握手失败。 OS 调用失败： (80090331) 0x80090331 (客户端和服务器无法通信，因为它们没有常见的算法.) 。 State 58.'

症状 2：

类似于下面的错误消息记录在 Windows 事件日志中：

日志名称：系统 源：Schannel 日期： 事件 ID：36888 任务类别：无 级别：错误 关键字： 用户：SYSTEM 计算机：------------ 说明： 生成严重警报并发送到远程终结点。 这可能会导致连接终止。 TLS 协议定义的致命错误代码为 40。 Windows SChannel 错误状态为 1205。

日志名称：系统 源：Schannel 日期： 事件 ID：36874 任务类别：无 级别：错误 关键字： 用户：SYSTEM 计算机：----------- 说明： 从远程客户端应用程序收到 TLS 1.2 连接请求，但服务器不支持客户端应用程序支持的加密套件。 SSL 连接请求失败。

发生此问题的原因是可用性组和数据库镜像需要不使用固定长度哈希算法（如 MD5）的证书。 TLS 1.2 不支持固定长度哈希算法。

有关详细信息，请参阅 FIX：如果使用 TLS 1.2，则使用 MD5 哈希SQL Server通信失败。

问题 6

以下SQL Server数据库引擎版本受知识库文章 3146034中报告的间歇性服务终止问题的影响。 若要让客户自己免受服务终止问题，建议他们安装本文中提到的适用于 Microsoft SQL Server 的 TLS 1.2 更新（如果下表中列出了 SQL Server 版本）。

SQL Server版本

受影响的版本

SQL Server 2008 R2 SP3 (x86 和 x64)

10.50.6537.0

SQL Server IA-64 (2008 R2 SP2 GDR)

10.50.4046.0

SQL Server 2008 R2 SP2 (IA-64)

10.50.4343.0

SQL Server 2008 SP4 (x86 和 x64)

10.0.6543.0

SQL Server 2008 SP3 GDR (IA-64)

10.0.5544.0

SQL Server 2008 SP3 (IA-64)

10.0.5894.0

问题 7

数据库邮件不支持 TLS 1.2。 数据库邮件失败并出现以下错误：

Microsoft.SqlServer.Management.SqlIMail.Server.Common.BaseException： 无法从数据库读取邮件配置信息。 无法启动邮件会话。

有关其他信息，请参阅本文中标题为SQL Server使用 TLS 1.2 所需的其他修补程序部分。

问题 1

在 SQL Server 上启用 TLS 1.2 (后，System Center Configuration Manager) SCCM SQL Server无法连接到 SQL Server。 在这种情况下，会收到以下错误消息：

TCP 提供程序：远程主机强行关闭现有连接

当 SCCM 使用没有修补程序SQL Server本机客户端驱动程序时，可能会发生此问题。 若要解决此问题，请下载并安装本文的"客户端组件下载"部分中列出的本机客户端修补程序。 例如：Microsoft® SQL Server® 2012 本机客户端 - QFE。

可以通过查看 SCCM 日志来找出用于连接到 SQL Server的驱动程序 SCCM，如以下示例所示：