Bereitstellen einer benutzerdefinierten Verschlüsselungssammlung in Windows Server 2016
Dieser Artikel enthält Informationen zum Bereitstellen benutzerdefinierter Verschlüsselungssammlungen für Schannel in Windows Server 2016.
Gilt für: Windows Server 2016
Ursprüngliche KB-Nummer: 4032720
Zusammenfassung
Um Ihre eigene Verschlüsselungssammlungsreihenfolge für Schannel unter Windows bereitzustellen, müssen Sie Verschlüsselungssammlungen priorisieren, die mit HTTP/2 kompatibel sind, indem Sie diese zuerst auflisten. Verschlüsselungssammlungen, die sich in der HTTP/2-Sperrliste (RFC 7540) befinden, müssen am Ende der Liste angezeigt werden. Zum Beispiel:
Verschlüsselungssammlungen im CBC-Modus (Cipher Block Chaining):
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Nicht-PFS-Verschlüsselungssammlungen (Perfect Forward Secrecy):
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
Wenn die Verschlüsselungssammlungen, die sich in der Sperrliste befinden, ganz oben in der Liste aufgeführt sind, können HTTP/2-Clients und Browser möglicherweise keine HTTP/2-kompatible Verschlüsselungssammlung aushandeln. Dies führt zu einem Fehler bei der Verwendung des Protokolls.
Wenn Sie z. B. Chrome verwenden, erhalten Sie möglicherweise die Fehlermeldung ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.
Die Standardreihenfolge in Windows Server 2016 ist mit der Http/2-Verschlüsselungssammlungseinstellung kompatibel. Darüber hinaus ist diese Reihenfolge über HTTP/2 hinaus gut, da sie Verschlüsselungssammlungen bevorzugt, die die stärksten Sicherheitsmerkmale aufweisen. Daher stellt die Standardreihenfolge sicher, dass HTTP/2 auf Windows Server 2016 keine Aushandlungsprobleme mit Verschlüsselungssammlungen mit Browsern und Clients aufweist.
Problemumgehung
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Wenn der Fehler bei der Verwendung des Protokolls auftritt, müssen Sie HTTP/2 vorübergehend deaktivieren, während Sie die Verschlüsselungssammlungen neu anordnen.
Führen Sie die folgenden Schritte aus, um HTTP/2 zu aktivieren und zu deaktivieren:
- Starten Sie regedit (Registrierungs-Editor).
- Wechseln Sie zu diesem Unterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters. - Legen Sie den DWORD-Typwert EnableHttp2Tls auf eine der folgenden Werte fest:
- Legen Sie es auf 0 fest, um HTTP/2 zu deaktivieren.
- Legen Sie den Wert auf 1 fest, um HTTP/2 zu aktivieren.
- Starten Sie den Computer neu.
References
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für