Verwalten von TLS (Transport Layer Security)

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Konfigurieren der Reihenfolge von TLS-Verschlüsselungssammlungen

Verschiedene Windows-Versionen unterstützen unterschiedliche TLS-Verschlüsselungssammlungen und Prioritätsreihenfolgen. Die Standardreihenfolge, die vom Microsoft Schannel-Anbieter in verschiedenen Windows-Versionen unterstützt wird, finden Sie unter Verschlüsselungssammlungen in TLS/SSL (Schannel SSP).

Hinweis

Sie können die Liste der Verschlüsselungssammlungen auch mithilfe von CNG-Funktionen ändern. Weitere Informationen finden Sie unter Priorisieren von Schannel-Verschlüsselungssammlungen.

Änderungen an der Reihenfolge von TLS-Verschlüsselungssammlungen werden beim nächsten Start wirksam. Bis zum Neustart oder Herunterfahren gilt die vorhandene Reihenfolge.

Warnung

Das Aktualisieren der Registrierungseinstellungen für die Standardprioritätsreihenfolge wird nicht unterstützt und kann mit Wartungsupdates zurückgesetzt werden.

Konfigurieren der Reihenfolge von TLS-Verschlüsselungssammlungen mithilfe von Gruppenrichtlinien

Sie können die Einstellungen der Gruppenrichtlinie für die Reihenfolge von SSL-Verschlüsselungssammlungen verwenden, um die Standardreihenfolge von TLS-Verschlüsselungssammlungen zu konfigurieren.

  1. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole zu Computerkonfiguration>Administrative Vorlagen>Netzwerk>SSL-Konfigurationseinstellungen.

  2. Doppelklicken Sie auf Reihenfolge von SSL-Verschlüsselungssammlungen, und klicken Sie dann auf die Option Aktiviert.

  3. Klicken Sie mit der rechten Maustaste auf das Feld SSL-Verschlüsselungssammlungen, und wählen Sie im Popupmenü Alle auswählen aus.

    Group Policy setting

  4. Klicken Sie mit der rechten Maustaste auf den markierten Text, und wählen Sie im Popupmenü Kopieren aus.

  5. Fügen Sie den Text in einen Text-Editor ein, z. B. notepad.exe, und aktualisieren Sie die Reihenfolge mithilfe der neuen Verschlüsselungssammlungsliste.

    Hinweis

    Die Reihenfolge von TLS-Verschlüsselungssammlungen muss im strengen Komma-getrennten Format vorliegen. Jede Verschlüsselungssammlungs-Zeichenfolge endet mit einem Komma (,) rechts davon.

    Darüber hinaus ist die Liste der Verschlüsselungssammlungen auf 1.023 Zeichen beschränkt.

  6. Ersetzen Sie die Liste in den SSL-Verschlüsselungssammlungen durch die aktualisierte geordnete Liste.

  7. Klicken Sie auf OK oder Übernehmen.

Konfigurieren der Reihenfolge von TLS-Verschlüsselungssammlungen mithilfe von MDM

Der Windows 10-Richtlinien-CSP unterstützt die Konfiguration der TLS-Verschlüsselungssammlungen. Weitere Informationen finden Sie unter Cryptography/TLSCipherSuites.

Konfigurieren der Reihenfolge von TLS-Verschlüsselungssammlungen mithilfe von TLS-Cmdlets in PowerShell

Das TLS PowerShell-Modul unterstützt das Abrufen der sortierten Liste der TLS-Verschlüsselungssammlungen, das Deaktivieren einer Verschlüsselungssammlung und das Aktivieren einer Verschlüsselungssammlung. Weitere Informationen finden Sie unter TLS-Modul.

Konfigurieren der TLS-ECC-Kurvenreihenfolge

Ab Windows 10 & Windows Server 2016 kann die ECC-Kurvenreihenfolge unabhängig von der Reihenfolge der Verschlüsselungssammlungen konfiguriert werden. Wenn die Reihenfolge von TLS-Verschlüsselungssammlungen elliptische Kurvensuffixe aufweist, werden sie bei Aktivierung durch die neue Prioritätsreihenfolge der elliptischen Kurve überschrieben. Dadurch können Organisationen ein Gruppenrichtlinienobjekt verwenden, um verschiedene Versionen von Windows mit der gleichen Reihenfolge der Verschlüsselungssammlungen zu konfigurieren.

Hinweis

Vor Windows 10 wurden Verschlüsselungssammlungs-Zeichenfolgen mit der elliptischen Kurve angefügt, um die Kurvenpriorität zu bestimmen.

Verwalten von Windows-ECC-Kurven mit CertUtil

Ab Windows 10 und Windows Server 2016 ermöglicht Windows die Verwaltung der Parameter elliptischer Kurven über das Befehlszeilenprogramm „certutil.exe“. Die Parameter elliptischer Kurven werden in „bcryptprimitives.dll“ gespeichert. Mithilfe von certutil.exe können Administratoren Kurvenparameter zu Windows hinzufügen bzw. daraus entfernen. Certutil.exe speichert die Kurvenparameter sicher in der Registrierung. Windows kann mit der Verwendung der Kurvenparameter anhand des Namens beginnen, der der Kurve zugeordnet ist.

Anzeigen registrierter Kurven

Verwenden Sie den folgenden certutil.exe-Befehl, um eine Liste der für den aktuellen Computer registrierten Kurven anzuzeigen.

certutil.exe –displayEccCurve

Certutil display curves

Abbildung 1: Ausgabe von certutil.exe zum Anzeigen der Liste der registrierten Kurven.

Hinzufügen einer neuen Kurve

Organisationen können von anderen vertrauenswürdigen Entitäten erforschte Kurvenparameter erstellen und verwenden. Administratoren, die diese neuen Kurven in Windows verwenden möchten, müssen die Kurve hinzufügen. Verwenden Sie den folgenden certutil.exe-Befehl, um dem aktuellen Computer eine Kurve hinzuzufügen:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Das Argument curveName stellt den Namen der Kurve dar, unter der die Kurvenparameter hinzugefügt wurden.
  • Das Argument curveParameters stellt den Dateinamen eines Zertifikats dar, das die Parameter der Kurven enthält, die Sie hinzufügen möchten.
  • Das Argument curveOid stellt den Dateinamen eines Zertifikats dar, das die OID der Kurvenparameter enthält, die Sie hinzufügen möchten (optional).
  • Das Argument curveType stellt einen Dezimalwert der benannten Kurve aus der Registrierung der benannten EC-Kurven dar (optional).

Certutil add curves

Abbildung 2: Hinzufügen einer Kurve mithilfe von certutil.exe.

Entfernen einer zuvor hinzugefügten Kurve

Administratoren können eine zuvor hinzugefügte Kurve mithilfe des folgenden certutil.exe-Befehls entfernen:

certutil.exe –deleteEccCurve curveName

Windows kann eine benannte Kurve nicht mehr verwenden, nachdem sie durch einen Administrator vom Computer entfernt wurde.

Verwalten von Windows-ECC-Kurven mit einer Gruppenrichtlinie

Organisationen können Kurvenparameter mithilfe einer Gruppenrichtlinie und der Erweiterung der Registrierung der Gruppenrichtlinieneinstellungen an den in die Domäne eingebundenen Unternehmenscomputer verteilen. Das Verfahren zum Verteilen einer Kurve sieht folgendermaßen aus:

  1. Verwenden Sie unter Windows 10 und Windows Server 2016 certutil.exe, um eine neue registrierte benannte Kurve zu Windows hinzuzufügen.

  2. Öffnen Sie auf demselben Computer die Gruppenrichtlinien-Verwaltungskonsole (GPMC), erstellen Sie ein neues Gruppenrichtlinienobjekt, und bearbeiten Sie es.

  3. Navigieren Sie zu Computerkonfiguration|Einstellungen|Windows-Einstellungen|Registrierung. Klicken Sie mit der rechten Maustaste auf Registrierung. Zeigen Sie auf Neu, und wählen Sie Sammlungselement aus. Benennen Sie das Sammlungselement so um, dass es dem Namen der Kurve entspricht. Sie erstellen ein Registrierungssammlungselement für jeden Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Konfigurieren Sie die neu erstellte Registrierungssammlung der Gruppenrichtlinieneinstellungen, indem Sie ein neues Registrierungselement für jeden unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] aufgeführten Registrierungswert hinzufügen.

  5. Stellen Sie das Gruppenrichtlinienobjekt, das das Gruppenrichtlinien-Registrierungssammlungselement enthält, auf Windows 10- und Windows Server 2016-Computern bereit, die die neuen benannten Kurven erhalten sollen.

    Screenshot of the Preferences tab of the Group Policy Management Editor.

    Abbildung 3: Verwenden von Gruppenrichtlinieneinstellungen zum Verteilen von Kurven

Verwalten der TLS-ECC-Reihenfolge

Ab Windows 10 und Windows Server 2016 können Gruppenrichtlinieneinstellungen für die ECC-Kurvenreihenfolge verwendet werden, um die TLS-ECC-Standardkurvenreihenfolge zu konfigurieren. Mithilfe von Generic ECC und dieser Einstellung können Organisationen ihre eigenen vertrauenswürdigen benannten Kurven (die für die Verwendung mit TLS genehmigt wurden) zum Betriebssystem hinzufügen und diese benannten Kurven dann zur Gruppenrichtlinieneinstellung für die Kurvenpriorität hinzufügen, um sicherzustellen, dass sie bei zukünftigen TLS-Handshakes verwendet werden. Neue Kurvenprioritätslisten werden beim nächsten Neustart nach Erhalt der Richtlinieneinstellungen aktiv.

Screenshot of the EEC Curve Order dialog box.

Abbildung 4: Verwalten der TLS-Kurvenpriorität mithilfe von Gruppenrichtlinien