Správa Transport Layer Security (TLS)

Konfigurace pořadí šifrovacích sad TLS

Šifrovací sada je sada kryptografických algoritmů. Různé verze Windows podporují různé šifrovací sady TLS a pořadí priority. Podívejte se na Sady šifer v protokolu TLS/SSL (Schannel SSP) pro výchozí pořadí podporované poskytovatelem Microsoft Schannel v různých verzích Windows.

Note

Seznam šifrovacích sad můžete také upravit pomocí funkcí CNG. Podrobnosti najdete v tématu Stanovení priority šifrovacích sad Schannel.

Změny pořadí šifrovací sady TLS se projeví při příštím spuštění. Dokud se nerestartuje nebo nevypínání, platí stávající objednávka.

Warning

Aktualizace nastavení registru pro výchozí řazení priority není podporovaná a může se resetovat pomocí aktualizací údržby.

Konfigurace pořadí šifrovacích sad TLS pomocí zásad skupiny

Nastavení zásad skupiny pořadí šifrovací sady SSL můžete použít ke konfiguraci výchozího pořadí šifrovací sady PROTOKOLU TLS.

1. V konzole pro správuzásad skupiny přejděte donastavení konfigurace sítě SSL pro konfiguracipočítače>>>.

2. Poklikejte na příkaz SSL Cipher Suite Order a pak vyberte možnost Povoleno .

3. Klikněte pravým tlačítkem na sady šifer SSL a v místní nabídce vyberte Vybrat všechny.

   nastavení zásad skupiny

4. Klikněte pravým tlačítkem myši na vybraný text a v místní nabídce vyberte kopírovat .

5. Vložte text do textového editoru, jako je notepad.exe, a aktualizujte ho pomocí nového seznamu pořadí šifrovací sady.

   Note

   Seznam pořadí šifrovacích sad TLS musí být v přísném formátu odděleném čárkami. Každý řetězec sady šifer končí čárkou na pravé straně. Seznam šifrovacích sad je navíc omezený na 1 023 znaků.

6. Nahraďte seznam šifrovacích sad SSL v aktualizovaným seřazeným seznamem.

7. Vyberte OK nebo Použít.

Konfigurace pořadí šifrovacích sad TLS pomocí MDM

Zásady CSP pro Windows 10 podporují konfiguraci šifrovacích sad TLS. Další informace naleznete v tématu Kryptografie/TLSCipherSuites.

Konfigurace pořadí šifrovacích sad TLS pomocí rutin powershellu TLS

Modul TLS PowerShell podporuje získání seřazeného seznamu šifrovacích sad TLS, zakázání šifrovací sady a povolení šifrovací sady. Další informace najdete v tématu Modul TLS.

Konfigurace pořadí křivky ECC protokolu TLS

Počínaje Windows 10 a Windows Serverem 2016 je možné nakonfigurovat pořadí křivky ECC nezávisle na pořadí šifrovací sady. Pokud seznam pořadí šifrovacích sad TLS obsahuje přípony eliptických křivek, bude při povolení nahrazen nové pořadí priorit eliptických křivek. To organizacím umožňuje použít objekt zásad skupiny ke konfiguraci různých verzí Windows Serveru se stejným pořadím šifrovacích sad.

Správa křivek ECC pomocí nástroje CertUtil

Počínaje Windows 10 a Windows Serverem 2016 poskytuje Systém Windows správu parametrů se třemi tečkami zakřivení prostřednictvím nástroje příkazového řádku certutil.exe. Parametry eliptické křivky jsou uloženy v bcryptprimitives.dll. Správci mohou přidávat a odebírat parametry křivky do a ze systému Windows Server pomocí certutil.exe. Certutil.exe bezpečně ukládá parametry křivky v registru. Windows Server může začít používat parametry křivky podle názvu přidruženého k křivkě.

Zobrazení registrovaných křivek

Pomocí následujícího příkazu certutil.exe zobrazte seznam křivek registrovaných pro aktuální počítač.

certutil.exe –displayEccCurve

Přidání nové křivky

Organizace můžou vytvářet a používat parametry křivky prozkoumáné jinými důvěryhodnými entitami. Správci, kteří chtějí používat tyto nové křivky ve Windows, musí tuto křivku přidat. K přidání křivky do aktuálního počítače použijte následující příkaz certutil.exe:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]

• Argument curveName představuje název křivky, pod kterou byly přidány parametry křivky.
• Argument curveParameters představuje název souboru certifikátu, který obsahuje parametry křivek, které chcete přidat.
• Argument curveOid představuje název souboru certifikátu, který obsahuje identifikátor OID parametrů křivky, které chcete přidat (volitelné).
• Argument curveType představuje desetinnou hodnotu pojmenované křivky z registru EC Named Curve Registry (volitelné).

Odebrání dříve přidané křivky

Správci můžou pomocí následujícího příkazu certutil.exe odebrat dříve přidanou křivku:

certutil.exe –deleteEccCurve curveName

Systém Windows nemůže použít pojmenovanou křivku poté, co správce odebere křivku z počítače.

Správa křivek ECC pomocí zásad skupiny

Organizace můžou distribuovat parametry křivek na počítače v podniku připojené k doméně pomocí zásad skupiny a rozšíření předvoleb registru zásad skupiny. Proces distribuce křivky je následující:

1. Pomocí certutil.exe přidejte novou registrovanou pojmenovanou křivku.

2. Na stejném počítači otevřete konzolu pro správu zásad skupiny (GPMC), vytvořte nový objekt zásad skupiny a upravte ho.

3. Přejděte do Konfigurace počítače|Předvolby|Nastavení systému Windows|Registr. Klikněte pravým tlačítkem na Registr. Najeďte myší na Položku nové a vyberte Položku kolekce. Přejmenujte položku kolekce tak, aby odpovídala názvu křivky. V částiHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParametersvytvoříte jednu položku kolekce registru pro každý klíč registru.

4. Nakonfigurujte nově vytvořenou kolekci registru předvoleb zásad skupiny přidáním nové položky registru pro každou hodnotu registru uvedenou v částiHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

5. Nasaďte objekt zásad skupiny obsahující počítače položek kolekce zásad skupiny, které by měly přijímat nové pojmenované křivky.

   

Správa objednávky ECC protokolu TLS

Počínaje Windows 10 a Windows Serverem 2016 je možné použít nastavení zásad skupiny pro pořadí křivek ECC ke konfiguraci výchozího pořadí křivek TLS ECC. Organizace můžou do operačního systému přidat vlastní důvěryhodné pojmenované křivky a potom tyto pojmenované křivky přidat do nastavení zásad skupiny priority křivky, aby se zajistilo, že se budou používat v budoucích metodách handshake protokolu TLS. Nové prioritní seznamy křivek se aktivují při příštím restartování po přijetí nastavení zásad.