Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kernelmodus SSL wurde in Windows Server 2003 mit Service Pack 1 (SP1) mit eingeschränkter Unterstützung eingeführt. Für Computer, die unter Windows Server 2003 mit SP1 ausgeführt werden, muss ein Registrierungsschlüssel festgelegt werden, um Kernel-SSL zu aktivieren. Für Computer, die unter Windows Server 2008 und Windows Vista ausgeführt werden, wird die vollständige Kernelmodusunterstützung für SSL bereitgestellt.
In den folgenden Abschnitten wird die SSL-Unterstützung für den Kernelmodus beschrieben:
- Kernelmodi SSL in Windows Server 2003 mit SP1
- Kernelmodus SSL in Windows Server 2008 und Windows Vista
Kernelmodi SSL in Windows Server 2003 mit SP1
In Windows Server 2003 mit SP1 bietet die HTTP-Server-API die Möglichkeit, SSL-Sicherheit im Kernelmodus auszuführen (SSL im Benutzermodus ist die Standardeinstellung). Das Kernelmodusfeature verbessert die SSL-Leistung, indem Verschlüsselungs- und Entschlüsselungsvorgänge in den Kernel verschoben werden, wodurch die Anzahl der Übergänge zwischen Kernelmodus und Benutzermodus reduziert wird.
Die folgenden Features werden nicht unterstützt, wenn SSL im Kernelmodus ausgeführt wird:
- Clientzertifikate
- RC2-Chiffre
- Das PCT 1.0-Protokoll
- Änderungen der Serverzertifikatkonfiguration erfordern einen Neustart des HTTP-Diensts.
- Unterstützung für Massenverschlüsselung und Offload
Konfigurieren des Kernelmodus SSL
Kernelmodus SSL wird durch den EnableKernelSSL- Registrierungswert gesteuert und durch Festlegen des Werts auf 1 aktiviert. Durch aktivieren des Kernelmodus SSL wird ssl im Benutzermodus deaktiviert und erfordert, dass der HTTP-Dienst neu gestartet wird, um wirksam zu werden. Der EnableKernelSSL Registrierungsschlüssel befindet sich unter:
HKEY_LOCAL_MACHINE\\CurrentControlSet\Services\HTTP\Parameter\EnableKernelSSL
Kernelmodus SSL in Windows Server 2008 und Windows Vista
Für Computer, die unter Windows Server 2008 und Windows Vista ausgeführt werden, bietet die HTTP Server-API erweiterte SSL-Funktionen.
Die folgenden neuen Features werden unterstützt:
- Vollständige Clientzertifikatunterstützung im Kernelmodus SSL
- Kernelmodus SSL für alle HTTP-SSL-Transaktionen
- Unterstützung für Massenverschlüsselung und Offload
- Das PCT 1.0-Protokoll
- RC2-Chiffre
- Erhöhte Leistung im Benutzermodus SSL
Konfiguration
Ssl im Kernelmodus kann über zwei Registrierungswerte unter dem HTTP-Parameterschlüssel konfiguriert werden:
HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
HTTP
Parameters
EnableSslCloseNotify
DisableSslCertChainCacheOnlyUrlRetrieval
Ein Benutzer muss über Administrator-/Lokale Systemberechtigungen verfügen, um die Registrierungswerte und die Registrierungswerte zu ändern oder die Protokolldateien und den Ordner zu ändern, der sie enthält.
Konfigurationsinformationen in den Registrierungswerten werden gelesen, wenn der HTTP Server-API-Treiber gestartet wird. Wenn die Einstellungen geändert werden, muss der Treiber beendet und neu gestartet werden, um die neuen Werte zu lesen. Dies kann mithilfe der folgenden Konsolenbefehle erreicht werden:
net stop http-
net start http
In der folgenden Tabelle sind die Registrierungskonfigurationswerte aufgeführt.
| Registrierungswert | Beschreibung |
|---|---|
| EnableKernelSSL |
Windows Server 2008 und Windows Vista: Dieser Registrierungswert ist veraltet. |
| EnableSslCloseNotify | Ein DWORD- Wert, der auf TRUE- festgelegt ist, um "Schließen benachrichtigen" zu aktivieren, oder FALSE-, um die Benachrichtigungsanforderung zu deaktivieren. "Close-notify" ist standardmäßig deaktiviert. Wenn "close-notify" aktiviert ist, muss die Clientanwendung eine Close-Notify-Nachricht senden, bevor TCP-Verbindungen geschlossen werden. Die HTTP-Server-API sendet außerdem eine Close-Notify- vor dem Schließen der Verbindung. Wenn "close-notify" aktiviert ist und der Client eine Close-Notify-Nachricht sendet, verwendet die HTTP-Server-API die SSL-Sitzung für zukünftige Verbindungen mit dem Client. Wenn der Client keine Close-Notify sendet, verwendet die HTTP-Server-API nicht dieselbe SSL-Sitzung für zukünftige Verbindungen. So wird ein vollständiger SSL-Handshake für die neue Verbindung ausgelöst und dadurch die Leistung reduziert. Hinweis: Durch das Aktivieren von Close-Notify können Abkürzungsangriffe auf HTTPS-Anforderungen und -Antworten verringert werden. Wenn close-notify deaktiviert ist, verwendet die HTTP-Server-API die SSL-Sitzung für zukünftige Verbindungen. |
| DisableSslCertChainCacheOnlyUrlRetrieval | Ein DWORD- Wert, der auf TRUE- festgelegt ist, damit die HTTP-Server-API Zwischenzertifikate entweder aus dem Internet oder aus dem lokalen Speicher abrufen kann, oder FALSE-, um nur Zwischenzertifikate aus dem lokalen Speicher abzurufen. Der Standardwert der Registrierung ist FALSE. Standardmäßig erstellt die HTTP-Server-API eine Clientzertifikatkette, indem die Zwischenzertifikate aus dem Zwischenzertifizierungsstellenspeicher unter dem lokalen Computerkonto abgerufen werden. Durch Festlegen dieses Werts auf TRUE kann die HTTP-Server-API die Zwischenzertifikate nicht nur aus dem lokalen Speicher, sondern auch von der Zwischenzertifizierungsstelle im Internet abrufen. |