Verwalten von TLS (Transport Layer Security)

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Konfigurieren der TLS-Verschlüsselungssammlungsreihenfolge

Verschiedene Windows-Versionen unterstützen unterschiedliche TLS-Verschlüsselungssammlungen und Prioritätsreihenfolgen. Die Standardreihenfolge, die vom Microsoft Schannel-Anbieter in verschiedenen Windows-Versionen unterstützt wird, finden Sie unter Cipher Suites in TLS/SSL (Schannel SSP ).

Hinweis

Sie können die Liste der Verschlüsselungssammlungen auch mithilfe von CNG-Funktionen ändern. Weitere Informationen finden Sie unter Priorisieren von Schannel Cipher Suites .

Änderungen an der TLS-Verschlüsselungssammlungsreihenfolge werden beim nächsten Start wirksam. Bis zum Neustart oder Herunterfahren ist die vorhandene Reihenfolge in Kraft.

Warnung

Das Aktualisieren der Registrierungseinstellungen für die Standardprioritätsreihenfolge wird nicht unterstützt und kann mit Wartungsupdates zurückgesetzt werden.

Konfigurieren der TLS-Verschlüsselungssammlungsreihenfolge mithilfe von Gruppenrichtlinie

Sie können die Einstellungen für die SSL-Verschlüsselungssammlungsreihenfolge Gruppenrichtlinie verwenden, um die Standardreihenfolge der TLS-Verschlüsselungssammlung zu konfigurieren.

  1. Wechseln Sie in der Gruppenrichtlinie Verwaltungskonsole zu Computerkonfiguration>Administrative Vorlagen>Netzwerk-SSL-Konfigurationseinstellungen>.

  2. Doppelklicken Sie auf SSL Cipher Suite Order, und klicken Sie dann auf die Option Aktiviert .

  3. Klicken Sie mit der rechten Maustaste auf das Feld SSL-Verschlüsselungssammlungen , und wählen Sie im Popupmenü Alle auswählen aus.

    Gruppenrichtlinie Einstellung

  4. Klicken Sie mit der rechten Maustaste auf den markierten Text, und wählen Sie im Popupmenü kopieren aus.

  5. Fügen Sie den Text in einen Text-Editor ein, z. B. notepad.exe, und aktualisieren Sie ihn mit der neuen Liste der Verschlüsselungssammlungen.

    Hinweis

    Die Reihenfolge der TLS-Verschlüsselungssammlung muss im strikten durch Kommas getrennten Format vorliegen. Jede Verschlüsselungssammlungszeichenfolge endet mit einem Komma (,) rechts davon.

    Darüber hinaus ist die Liste der Verschlüsselungssammlungen auf 1.023 Zeichen beschränkt.

  6. Ersetzen Sie die Liste in den SSL-Verschlüsselungssammlungen durch die aktualisierte geordnete Liste.

  7. Klicken Sie auf OK oder Übernehmen.

Konfigurieren der TLS-Verschlüsselungssammlungsreihenfolge mithilfe von MDM

Der Windows 10-Richtlinien-CSP unterstützt die Konfiguration der TLS-Verschlüsselungssammlungen. Weitere Informationen finden Sie unter Cryptography/TLSCipherSuites .

Konfigurieren der TLS-Verschlüsselungssammlungsreihenfolge mithilfe von TLS PowerShell-Cmdlets

Das TLS PowerShell-Modul unterstützt das Abrufen der sortierten Liste der TLS-Verschlüsselungssammlungen, das Deaktivieren einer Verschlüsselungssammlung und das Aktivieren einer Verschlüsselungssammlung. Weitere Informationen finden Sie unter TLS-Modul .

Konfigurieren der TLS ECC-Kurvenreihenfolge

Ab Windows 10 & Windows Server 2016 kann die ECC-Kurvenreihenfolge unabhängig von der Verschlüsselungssammlungsreihenfolge konfiguriert werden. Wenn die Reihenfolge der TLS-Verschlüsselungssammlung elliptische Kurvensuffixe aufweist, werden sie bei Aktivierung durch die neue Prioritätsreihenfolge der elliptischen Kurve überschrieben. Dadurch können Organisationen ein Gruppenrichtlinie-Objekt verwenden, um verschiedene Versionen von Windows mit der gleichen Reihenfolge der Verschlüsselungssammlungen zu konfigurieren.

Hinweis

Vor Windows 10 wurden Verschlüsselungssammlungszeichenfolgen mit der elliptischen Kurve angefügt, um die Kurvenpriorität zu bestimmen.

Verwalten von Windows ECC-Kurven mit CertUtil

Ab Windows 10 und Windows Server 2016 bietet Windows die Verwaltung elliptischer Kurvenparameter über das Befehlszeilenprogramm certutil.exe. Elliptische Kurvenparameter werden im bcryptprimitives.dll gespeichert. Mithilfe von certutil.exe können Administratoren Kurvenparameter zu und aus Windows hinzufügen bzw. daraus entfernen. Certutil.exe speichert die Kurvenparameter sicher in der Registrierung. Windows kann beginnen, die Kurvenparameter anhand des Namens zu verwenden, der der Kurve zugeordnet ist.

Anzeigen registrierter Kurven

Verwenden Sie den folgenden certutil.exe-Befehl, um eine Liste der für den aktuellen Computer registrierten Kurven anzuzeigen.

certutil.exe –displayEccCurve

Certutil-Anzeigekurven

Abbildung 1 Certutil.exe Ausgabe, um die Liste der registrierten Kurven anzuzeigen.

Hinzufügen einer neuen Kurve

Organisationen können Kurvenparameter erstellen und verwenden, die von anderen vertrauenswürdigen Entitäten recherchiert werden. Administratoren, die diese neuen Kurven in Windows verwenden möchten, müssen die Kurve hinzufügen. Verwenden Sie den folgenden certutil.exe Befehl, um dem aktuellen Computer eine Kurve hinzuzufügen:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Das argument curveName stellt den Namen der Kurve dar, unter der die Kurvenparameter hinzugefügt wurden.
  • Das argument curveParameters stellt den Dateinamen eines Zertifikats dar, das die Parameter der hinzuzufügenden Kurven enthält.
  • Das argument curveOid stellt den Dateinamen eines Zertifikats dar, das die OID der hinzuzufügenden Kurvenparameter enthält (optional).
  • Das argument curveType stellt einen Dezimalwert der benannten Kurve aus der EC Named Curve Registry (optional) dar.

Hinzufügen von Kurven durch Certutil

Abbildung 2 Hinzufügen einer Kurve mithilfe von certutil.exe.

Entfernen einer zuvor hinzugefügten Kurve

Administratoren können eine zuvor hinzugefügte Kurve mithilfe des folgenden certutil.exe-Befehls entfernen:

Certutil.exe –deleteEccCurve curveName

Windows kann keine benannte Kurve verwenden, nachdem ein Administrator die Kurve vom Computer entfernt hat.

Verwalten von Windows ECC-Kurven mithilfe von Gruppenrichtlinie

Organisationen können Kurvenparameter mithilfe von Gruppenrichtlinie und der Registrierungserweiterung "Gruppenrichtlinie Preferences" an den In die Domäne eingebundenen Computer verteilen. Der Prozess zum Verteilen einer Kurve ist:

  1. Verwenden Sie Windows 10 und Windows Server 2016 certutil.exe, um Windows eine neue registrierte benannte Kurve hinzuzufügen.

  2. Öffnen Sie auf demselben Computer die Gruppenrichtlinie Management Console (GPMC), erstellen Sie ein neues Gruppenrichtlinie-Objekt, und bearbeiten Sie es.

  3. Navigieren Sie zu Computerkonfiguration| Einstellungen| Windows-Einstellungen| Registrierung. Klicken Sie mit der rechten Maustaste auf Registrierung. Zeigen Sie auf Neu , und wählen Sie Sammlungselement aus. Benennen Sie das Sammlungselement so um, dass es dem Namen der Kurve entspricht. Sie erstellen ein Registrierungssammlungselement für jeden Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Konfigurieren Sie die neu erstellte Gruppenrichtlinie Einstellungsregistrierungssammlung, indem Sie ein neues Registrierungselement für jeden Registrierungswert hinzufügen , der unterHKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] aufgeführt ist.

  5. Stellen Sie das Gruppenrichtlinie-Objekt mit Gruppenrichtlinie Registrierungsauflistungselement bereit, um Computer zu Windows 10 und Windows Server 2016, die die neuen benannten Kurven erhalten sollen.

    Screenshot der Registerkarte

    Abbildung 3 Verwenden von Gruppenrichtlinie Einstellungen zum Verteilen von Kurven

Verwalten der TLS ECC-Reihenfolge

Ab Windows 10 und Windows Server 2016 können gruppenrichtlinieneinstellungen für ecc curve order verwendet werden, um die TLS ECC-Standardkurvenreihenfolge zu konfigurieren. Mithilfe von Generic ECC und dieser Einstellung können Organisationen ihre eigenen vertrauenswürdigen benannten Kurven (die für die Verwendung mit TLS genehmigt sind) dem Betriebssystem hinzufügen und diese benannten Kurven dann der Einstellung "Kurvenpriorität" Gruppenrichtlinie hinzufügen, um sicherzustellen, dass sie in zukünftigen TLS-Handshakes verwendet werden. Neue Kurvenprioritätslisten werden beim nächsten Neustart nach Erhalt der Richtlinieneinstellungen aktiv.

Screenshot des Dialogfelds

Abbildung 4 Verwalten der TLS-Kurvenpriorität mithilfe von Gruppenrichtlinie