Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Configuración del orden del conjunto de cifrado TLS
Un conjunto de aplicaciones de cifrado es un conjunto de algoritmos criptográficos. Distintas versiones de Windows admiten diferentes conjuntos de cifrado TLS y orden de prioridad. Consulte Conjuntos de algoritmos criptográficos en TLS/SSL (SChannel SSP) para ver el orden predeterminado ofrecido por el proveedor de Microsoft SChannel en diferentes versiones de Windows.
Nota:
También puede modificar la lista de conjuntos de algoritmos criptográficos mediante funciones de CNG; consulte Priorización de los conjuntos de algoritmos criptográficos de SChannel para ver más detalles.
Los cambios en el orden del conjunto de cifrado TLS surten efecto en el siguiente arranque. Hasta que se reinicie o apague, el orden existente está en vigor.
Advertencia
No se admite modificar la configuración del Registro para el orden de prioridad predeterminado y podría restablecerse con las actualizaciones de mantenimiento.
Configuración del orden del conjunto de cifrado TLS mediante la directiva de grupo
Puede usar la configuración de directiva de grupo de pedidos del conjunto de cifrado SSL para configurar el orden predeterminado del conjunto de cifrado TLS.
En la Consola de administración de directivas de grupo, vaya a Configuración del equipo>Plantillas administrativas>Red>Valores de configuración de SSL.
Haga doble clic en Ssl Cipher Suite Order (Pedido de conjunto de cifrado SSL) y, a continuación, seleccione la opción Enabled (Habilitado).
Haga clic con el botón derecho en el cuadro Conjuntos de algoritmos criptográficos de SSL y seleccione Seleccionar todo en el menú emergente.
Haga clic con el botón derecho en el texto seleccionado y seleccione copiar en el menú emergente.
Pegue el texto en un editor de texto, como notepad.exe, y actualice con la nueva lista del orden de conjuntos de algoritmos criptográficos.
Nota:
La lista del orden de conjuntos de algoritmos criptográficos de TLS debe estar en un formato estrictamente delimitado por comas. Cada cadena del conjunto de cifrado termina con una coma en el lado derecho de ella. Además, la lista de conjuntos de algoritmos criptográficos está limitada a 1023 caracteres.
Reemplace la lista de Conjuntos de algoritmos criptográficos de SSL por la lista ordenada y actualizada.
Seleccione Aceptar o Aplicar.
Configuración del orden del conjunto de cifrado TLS mediante MDM
El CSP de directivas de Windows 10 admite la configuración de los conjuntos de algoritmos criptográficos de la TLS. Para obtener más información, consulte Cryptography/TLSCipherSuites.
Configuración del orden de conjuntos de algoritmos criptográficos de la TLS mediante cmdlets de PowerShell de la TLS
El módulo de PowerShell de la TLS admite la obtención de la lista ordenada de conjuntos de algoritmos criptográficos de la TLS, la deshabilitación de un conjunto de algoritmo criptográfico y la habilitación de un conjunto de algoritmo criptográfico. Para más información, consulte Módulo TLS.
Configuración del orden de curva TLS ECC
A partir de Windows 10 y Windows Server 2016, el orden de curva ECC se puede configurar independientemente del orden del conjunto de cifrado. Si la lista de órdenes de conjuntos de algoritmos criptográficos de la TLS tiene sufijos de curva elíptica, se reemplazarán por el nuevo orden de prioridad de curva elíptica cuando se habilite. Esto permite a las organizaciones usar un objeto de directiva de grupo para configurar diferentes versiones de Windows Server con el mismo orden de conjuntos de cifrado.
Administración de curvas ECC mediante CertUtil
A partir de Windows 10 y Windows Server 2016, Windows proporciona administración de parámetros de curva elíptica a través de la utilidad de línea de comandos certutil.exe. Los parámetros de curva elíptica se almacenan en bcryptprimitives.dll. Los administradores pueden agregar y quitar parámetros de curva hacia y desde Windows Server mediante certutil.exe. Certutil.exe almacena los parámetros de curva de forma segura en el registro. Windows Server puede empezar a usar los parámetros de curva por el nombre asociado a la curva.
Mostrar curvas registradas
Use el siguiente comando certutil.exe para mostrar una lista de las curvas registradas para el equipo actual.
certutil.exe –displayEccCurve
Agregar una nueva curva
Las organizaciones pueden crear y usar parámetros de curva investigados por otras entidades de confianza. Los administradores que quieran usar estas nuevas curvas en Windows deben agregar la curva. Use el siguiente comando de certutil.exe para agregar una curva al equipo actual:
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- El argumento curveName representa el nombre de la curva en la que se agregaron los parámetros de curva.
- El argumento curveParameters representa el nombre de archivo de un certificado que contiene los parámetros de las curvas que desea agregar.
- El argumento curveOid representa un nombre de archivo de un certificado que contiene el OID de los parámetros de curva que desea agregar (opcional).
- El argumento curveType representa un valor decimal de la curva con nombre del Registro de curva con nombre de EC (opcional).
Quitar una curva agregada anteriormente
Los administradores pueden quitar una curva agregada previamente mediante el siguiente comando de certutil.exe:
certutil.exe –deleteEccCurve curveName
Windows no puede usar una curva nombrada después de que un administrador la elimina del equipo.
Administrar curvas ECC mediante la directiva de grupo
Las organizaciones pueden distribuir parámetros de curva a equipos empresariales y unidos a un dominio mediante la directiva de grupo y la extensión del Registro de preferencias de la directiva de grupo. El proceso para distribuir una curva es:
Use certutil.exe para agregar una nueva curva con nombre registrada.
Desde ese mismo equipo, abra la Consola de administración de directivas de grupo (GPMC), cree un nuevo objeto de directiva de grupo y edítelo.
Vaya a Configuración de equipo\Preferencias\Configuración de Windows\Registro. Haga clic con el botón derecho en Registro. Mantenga el puntero sobre Nuevo y seleccione Elemento de colección. Cambie el nombre del elemento de colección para que coincida con el nombre de la curva. Creará un elemento de colección del Registro para cada clave del Registro en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.
Configure la colección del Registro de preferencias de directiva de grupo recién creada agregando un nuevo elemento del Registro para cada valor del Registro enumerado en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName.
Implemente el objeto de directiva de grupo que contiene los equipos de elementos de colección del Registro de directivas de grupo que deben recibir las nuevas curvas con nombre.
Administración del orden TLS ECC
A partir de Windows 10 y Windows Server 2016, se pueden usar los valores de directiva de grupo de orden de curva de ECC para configurar el orden de curva de ECC en la TLS. Las organizaciones pueden agregar sus propias curvas con nombre de confianza al sistema operativo y, a continuación, agregar esas curvas con nombre a la configuración de directiva de grupo de prioridad de curva para asegurarse de que se usan en protocolos de enlace TLS futuros. Las nuevas listas de prioridad de curva se activan en el siguiente reinicio después de recibir la configuración de directiva.
