Gérer TLS (Transport Layer Security)
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10
Configuration de l’ordre de la suite de chiffrement TLS
Les suites de chiffrement TLS prises en charge et l’ordre de priorité varient selon les versions de Windows. Consultez Suites de chiffrement dans TLS/SSL (SSP Schannel) pour connaître l’ordre par défaut pris en charge par le fournisseur Microsoft Schannel dans différentes versions de Windows.
Notes
Vous pouvez également modifier la liste des suites de chiffrement à l’aide des fonctions CNG. Pour plus d’informations, consultez Priorisation des suites de chiffrement Schannel .
Les modifications apportées à l’ordre de la suite de chiffrement TLS prendront effet au prochain démarrage. Jusqu’au redémarrage ou à l’arrêt, l’ordre existant est en vigueur.
Avertissement
La mise à jour des paramètres du Registre pour l’ordre de priorité par défaut n’est pas prise en charge et peut être réinitialisée avec des mises à jour de maintenance.
Configuration de l’ordre de la suite de chiffrement TLS à l’aide de stratégie de groupe
Vous pouvez utiliser les paramètres de l’ordre de stratégie de groupe de la suite de chiffrement SSL pour configurer l’ordre de suite de chiffrement TLS par défaut.
À partir de la console de gestion stratégie de groupe, accédez à Configuration> ordinateurModèles d’administration Paramètres>de configuration SSLréseau>.
Double-cliquez sur Ordre de la suite de chiffrement SSL, puis cliquez sur l’option Activé .
Cliquez avec le bouton droit sur la zone Suites de chiffrement SSL , puis sélectionnez Tout sélectionner dans le menu contextuel.
Cliquez avec le bouton droit sur le texte sélectionné, puis sélectionnez Copier dans le menu contextuel.
Collez le texte dans un éditeur de texte tel que notepad.exe et mettez-le à jour avec la nouvelle liste de commandes de suite de chiffrement.
Notes
La liste d’ordre de suite de chiffrement TLS doit être au format strictement délimité par des virgules. Chaque chaîne de suite de chiffrement se termine par une virgule (,) à droite de celle-ci.
En outre, la liste des suites de chiffrement est limitée à 1 023 caractères.
Remplacez la liste dans les suites de chiffrement SSL par la liste triée mise à jour.
Cliquez sur OK ou Appliquer.
Configuration de l’ordre de la suite de chiffrement TLS à l’aide de GPM
Le fournisseur de solutions cloud de stratégie de Windows 10 prend en charge la configuration des suites de chiffrement TLS. Pour plus d’informations, consultez Cryptography/TLSCipherSuites .
Configuration de l’ordre de la suite de chiffrement TLS à l’aide d’applets de commande TLS PowerShell
Le module TLS PowerShell prend en charge l’obtention de la liste triée des suites de chiffrement TLS, la désactivation d’une suite de chiffrement et l’activation d’une suite de chiffrement. Pour plus d’informations, consultez Module TLS .
Configuration de l’ordre de courbe TLS ECC
À compter de Windows 10 & Windows Server 2016, l’ordre de courbe ECC peut être configuré indépendamment de l’ordre de la suite de chiffrement. Si la liste d’ordre de suite de chiffrement TLS a des suffixes de courbe elliptique, ils sont remplacés par le nouvel ordre de priorité de courbe elliptique, lorsqu’il est activé. Cela permet aux organisations d’utiliser un objet stratégie de groupe pour configurer différentes versions de Windows avec le même ordre de suites de chiffrement.
Notes
Avant Windows 10, les chaînes de suite de chiffrement étaient ajoutées à la courbe elliptique pour déterminer la priorité de la courbe.
Gestion des courbes Windows ECC à l’aide de CertUtil
À compter de Windows 10 et Windows Server 2016, Windows fournit la gestion des paramètres de courbe elliptique via l’utilitaire de ligne de commande certutil.exe. Les paramètres de courbe elliptique sont stockés dans le bcryptprimitives.dll. À l’aide de certutil.exe, les administrateurs peuvent ajouter et supprimer des paramètres de courbe dans et à partir de Windows, respectivement. Certutil.exe stocke les paramètres de courbe en toute sécurité dans le Registre. Windows peut commencer à utiliser les paramètres de courbe par le nom associé à la courbe.
Affichage des courbes inscrites
Utilisez la commande certutil.exe suivante pour afficher une liste de courbes inscrites pour l’ordinateur actuel.
certutil.exe –displayEccCurve
Figure 1 Certutil.exe sortie pour afficher la liste des courbes inscrites.
Ajout d’une nouvelle courbe
Les organisations peuvent créer et utiliser des paramètres de courbe recherchés par d’autres entités approuvées. Les administrateurs qui souhaitent utiliser ces nouvelles courbes dans Windows doivent ajouter la courbe. Utilisez la commande certutil.exe suivante pour ajouter une courbe à l’ordinateur actuel :
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- L’argument curveName représente le nom de la courbe sous laquelle les paramètres de courbe ont été ajoutés.
- L’argument curveParameters représente le nom de fichier d’un certificat qui contient les paramètres des courbes que vous souhaitez ajouter.
- L’argument curveOid représente un nom de fichier d’un certificat qui contient l’OID des paramètres de courbe que vous souhaitez ajouter (facultatif).
- L’argument curveType représente une valeur décimale de la courbe nommée du registre de courbes nommées EC (facultatif).
Figure 2 Ajout d’une courbe à l’aide de certutil.exe.
Suppression d’une courbe précédemment ajoutée
Les administrateurs peuvent supprimer une courbe précédemment ajoutée à l’aide de la commande certutil.exe suivante :
Certutil.exe –deleteEccCurve curveName
Windows ne peut pas utiliser une courbe nommée après qu’un administrateur a supprimé la courbe de l’ordinateur.
Gestion des courbes Windows ECC à l’aide de stratégie de groupe
Les organisations peuvent distribuer des paramètres de courbe à un ordinateur d’entreprise, joint à un domaine, à l’aide de stratégie de groupe et de l’extension de Registre des préférences stratégie de groupe. Le processus de distribution d’une courbe est le suivant :
Sur Windows 10 et Windows Server 2016, utilisez certutil.exe pour ajouter une nouvelle courbe nommée inscrite à Windows.
À partir de ce même ordinateur, ouvrez la console de gestion stratégie de groupe (GPMC), créez un objet stratégie de groupe et modifiez-le.
Accédez à Configuration ordinateur | Préférences| Paramètres Windows| Registre. Cliquez avec le bouton droit sur Registre. Pointez sur Nouveau et sélectionnez Élément de collection. Renommez l’élément de collection pour qu’il corresponde au nom de la courbe. Vous allez créer un élément de collection de registre pour chaque clé de Registre sous HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.
Configurez la collection de registre de préférences stratégie de groupe nouvellement créée en ajoutant un nouvel élément de Registre pour chaque valeur de Registre répertoriée sous HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].
Déployez l’objet stratégie de groupe contenant stratégie de groupe’élément Collection de registre sur Windows 10 et Windows Server 2016 ordinateurs qui doivent recevoir les nouvelles courbes nommées.
Figure 3 Utilisation des préférences stratégie de groupe pour distribuer les courbes
Gestion de la commande TLS ECC
À compter de Windows 10 et Windows Server 2016, les paramètres de stratégie de groupe Ordre de courbe ECC peuvent être utilisés pour configurer l’ordre de courbe ECC TLS par défaut. À l’aide de l’ECC générique et de ce paramètre, les organisations peuvent ajouter leurs propres courbes nommées approuvées (approuvées pour une utilisation avec TLS) au système d’exploitation, puis ajouter ces courbes nommées au paramètre de priorité de courbe stratégie de groupe pour s’assurer qu’elles sont utilisées dans les futures liaisons TLS. Les nouvelles listes de priorité de courbe deviennent actives au prochain redémarrage après avoir reçu les paramètres de stratégie.
Figure 4 Gestion de la priorité de la courbe TLS à l’aide de stratégie de groupe