Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Mengonfigurasi urutan rangkaian sandi TLS
Rangkaian sandi adalah sekumpulan algoritma kriptografi. Versi Windows yang berbeda mendukung suite sandi TLS dan urutan prioritas yang berbeda. Lihat Cipher Suites di TLS/SSL (Schannel SSP) untuk urutan default yang didukung oleh Penyedia Microsoft Schannel di versi Windows yang berbeda.
Note
Anda juga dapat memodifikasi daftar suite sandi dengan menggunakan fungsi CNG, lihat Memprioritaskan Schannel Cipher Suites untuk detailnya.
Perubahan pada urutan rangkaian sandi TLS berlaku pada boot berikutnya. Sampai perangkat dimulai ulang atau dimatikan, urutan yang ada tetap berlaku.
Warning
Memperbarui pengaturan registri untuk urutan prioritas default tidak didukung dan mungkin diatur ulang dengan pembaruan layanan.
Mengonfigurasi urutan rangkaian sandi TLS dengan menggunakan Kebijakan Grup
Anda dapat menggunakan pengaturan Kebijakan Grup urutan rangkaian sandi SSL untuk mengonfigurasi urutan rangkaian sandi TLS default.
Dari Konsol Manajemen Kebijakan Grup, buka Konfigurasi Komputer>Template Administratif>Jaringan>Pengaturan Konfigurasi SSL.
Klik dua kali Pesanan SSL Cipher Suite, lalu pilih opsi Diaktifkan .
Klik kanan kotak SSL Cipher Suites dan pilih Pilih semua dari menu pop-up.
Klik kanan teks yang dipilih, dan pilih salin dari menu pop-up.
Tempelkan teks ke editor teks seperti notepad.exe dan perbarui dengan daftar urutan cipher suite baru.
Note
Daftar urutan rangkaian sandi TLS harus dalam format yang dibatasi koma yang ketat. Setiap string cipher suite diakhir dengan koma di sisi kanannya. Selain itu, daftar suite sandi dibatasi hingga 1.023 karakter.
Ganti daftar di SSL Cipher Suites dengan daftar urutan yang diperbarui.
Pilih OK atau Terapkan.
Mengonfigurasi urutan rangkaian sandi TLS dengan menggunakan MDM
CSP Kebijakan Windows 10 mendukung konfigurasi Suite Sandi TLS. Untuk informasi selengkapnya, lihat Kriptografi/TLSCipherSuites.
Mengonfigurasi urutan rangkaian sandi TLS dengan menggunakan Cmdlet TLS PowerShell
Modul TLS PowerShell mendukung mendapatkan daftar suite sandi TLS yang dipesan, menonaktifkan cipher suite, dan mengaktifkan cipher suite. Untuk informasi selengkapnya, lihat Modul TLS.
Pengaturan urutan kurva ECC TLS
Dimulai dengan Windows 10 dan Windows Server 2016, urutan kurva ECC dapat dikonfigurasi secara independen dari urutan cipher suite. Jika daftar urutan rangkaian sandi TLS memiliki akhiran kurva elips, mereka akan digantikan oleh urutan prioritas kurva elips baru, saat diaktifkan. Ini memungkinkan organisasi untuk menggunakan objek Kebijakan Grup untuk mengonfigurasi versi Windows Server yang berbeda dengan urutan rangkaian sandi yang sama.
Mengelola kurva ECC menggunakan CertUtil
Dimulai dengan Windows 10 dan Windows Server 2016, Windows menyediakan manajemen parameter kurva elips melalui utilitas baris perintah certutil.exe. Parameter kurva elips disimpan di bcryptprimitives.dll. Administrator dapat menambahkan, dan menghapus parameter kurva ke dan dari Windows Server menggunakan certutil.exe. Certutil.exe menyimpan parameter kurva dengan aman di registri. Windows Server dapat mulai menggunakan parameter kurva dengan nama yang terkait dengan kurva.
Tampilkan kurva terdaftar
Gunakan perintah certutil.exe berikut untuk menampilkan daftar kurva yang terdaftar untuk komputer saat ini.
certutil.exe –displayEccCurve
Menambahkan kurva baru
Organisasi dapat membuat dan menggunakan parameter kurva yang diteliti oleh entitas tepercaya lainnya. Administrator yang ingin menggunakan kurva baru ini di Windows harus menambahkan kurva. Gunakan perintah certutil.exe berikut untuk menambahkan kurva ke komputer saat ini:
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- Argumen curveName mewakili nama kurva tempat parameter kurva ditambahkan.
- Argumen curveParameters mewakili nama file sertifikat yang berisi parameter kurva yang ingin Anda tambahkan.
- Argumen curveOid mewakili nama file sertifikat yang berisi OID parameter kurva yang ingin Anda tambahkan (opsional).
- Argumen curveType mewakili nilai desimal kurva bernama dari EC Named Curve Registry (opsional).
Menghapus kurva yang ditambahkan sebelumnya
Administrator dapat menghapus kurva yang ditambahkan sebelumnya menggunakan perintah certutil.exe berikut:
certutil.exe –deleteEccCurve curveName
Windows tidak dapat menggunakan kurva bernama setelah administrator menghapus kurva dari komputer.
Mengelola kurva ECC menggunakan Kebijakan Grup
Organisasi dapat mendistribusikan parameter kurva ke komputer yang terhubung ke domain di perusahaan menggunakan Kebijakan Grup dan ekstensi Registri Preferensi Kebijakan Grup. Proses untuk mendistribusikan kurva adalah:
Gunakan certutil.exe untuk menambahkan kurva bernama baru yang terdaftar.
Dari komputer yang sama, Buka Konsol Manajemen Kebijakan Grup (GPMC), buat objek Kebijakan Grup baru, dan edit.
Menavigasi ke Konfigurasi Komputer|Preferensi|Pengaturan Windows|Registri. Klik kanan Registri. Arahkan mouse ke Baru dan pilih Item Koleksi. Ganti nama item koleksi agar sesuai dengan nama kurva. Anda membuat satu item Koleksi Registri untuk setiap kunci registri di bawah HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.
Konfigurasikan Kumpulan Registri Preferensi Kebijakan Grup yang baru dibuat dengan menambahkan Item Registri baru untuk setiap nilai registri yang tercantum di bawah HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].
Sebarkan objek Kebijakan Grup yang berisi komputer item Kumpulan Registri Kebijakan Grup yang harus menerima kurva bernama baru.
Mengelola pesanan TLS ECC
Dimulai dengan Windows 10 dan Windows Server 2016, pengaturan kebijakan grup Urutan Kurva ECC dapat digunakan untuk mengonfigurasi Urutan Kurva TLS ECC default. Organisasi dapat menambahkan kurva bernama tepercaya mereka sendiri ke sistem operasi, lalu menambahkan kurva bernama tersebut ke pengaturan Kebijakan Grup prioritas kurva untuk memastikan mereka digunakan dalam jabat tangan TLS di masa mendatang. Daftar prioritas kurva baru menjadi aktif pada restart berikutnya setelah menerima setelan kebijakan.
