トランスポート層セキュリティ (TLS) を管理する
適用先: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 11、Windows 10
TLS 暗号スイートの順序を構成する
Windows バージョンごとに、異なる TLS 暗号スイートと優先順位がサポートされます。 異なるバージョンの Microsoft Schannel プロバイダーでサポートされている既定の順序については。「TLS/SSL (Schannel SSP) の暗号スイート」を参照してください。
Note
CNG 関数を使用して暗号スイートの一覧を変更することもできます。詳細については、「Schannel 暗号スイートの優先順位付け」を参照してください。
TLS 暗号スイートの順序の変更は、次回の起動時に有効になります。 再起動またはシャットダウンするまで、既存の順序が有効になります。
警告
既定の優先度順序のレジストリ設定の更新はサポートされていません。サービス更新プログラムでリセットされる可能性があります。
グループ ポリシーを使用して TLS 暗号スイートの順序を構成する
[SSL 暗号スイートの順序のグループ ポリシー] の設定を使用して、既定の TLS 暗号スイートの順序を構成できます。
グループ ポリシー管理コンソールから、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL 構成設定] の順に移動します。
[SSL 暗号スイートの順位] をダブルクリックし、[有効] をクリックします。
[SSL 暗号スイート] ボックスを右クリックし、ポップアップ メニューから [すべて選択] を選択します。
選択したテキストを右クリックし、ポップアップ メニューから [コピー] を選択します。
テキストをテキスト エディター (notepad.exe など) に貼り付け、新しい暗号の順序の一覧で更新します。
Note
TLS 暗号スイートの順序の一覧は、厳密なコンマ区切り形式である必要があります。 各暗号スイート文字列は、その右側にコンマ (,) を付けて終わります。
さらに、暗号スイートの一覧は 1,023 文字に制限されています。
SSL 暗号スイートの一覧を、更新された順序付きリストに置き換えます。
[OK] または [適用] をクリックします。
MDM を使用して TLS 暗号スイートの順序を構成する
Windows 10 ポリシー CSP では、TLS 暗号スイートの構成がサポートされています。 詳細については、暗号/TLS 暗号スイートに関するページを参照してください。
TLS PowerShell コマンドレットを使用して TLS 暗号スイートの順序を構成する
TLS PowerShell モジュールでは、TLS 暗号スイートの順序指定済みリストの取得、暗号スイートの無効化、暗号スイートの有効化がサポートされています。 詳細については、TLS モジュールに関するページを参照してください。
TLS ECC 曲線の順位を構成する
Windows 10 と Windows Server 2016 以降、ECC 曲線の順位は暗号スイートの順序とは別に構成できます。 TLS 暗号スイートの順序の一覧に楕円曲線サフィックスがある場合、有効にすると、新しい楕円曲線の優先順位によってオーバーライドされます。 これにより、組織は グループ ポリシー オブジェクトを使用して、同じ暗号スイートの順序でさまざまなバージョンの Windows を構成できます。
Note
Windows 10 より前は、曲線の優先順位を決定するために、暗号スイートの文字列に楕円曲線が追加されていました。
CertUtil を使用して Windows ECC 曲線を管理する
Windows 10 と Windows Server 2016 以降の Windows では、コマンド ライン ユーティリティの certutil.exe で楕円曲線パラメーターが提供されます。 楕円曲線パラメーターは、bcryptprimitives.dll に格納されています。 管理者は、certutil.exe を使用して、Windows との間で曲線パラメーターの追加と削除を行うことができます。 certutil.exe では、曲線パラメーターをレジストリに安全に格納します。 Windows では、曲線に関連付けられた名前で曲線パラメーターの使用を開始できます。
登録済みの曲線を表示する
次の certutil.exe コマンドを使用して、現在のコンピューターに登録されている曲線の一覧を表示します。
certutil.exe –displayEccCurve
図 1. 登録済みの曲線の一覧を表示するための certutil.exe の出力。
新しい曲線を追加する
組織では、信頼された他のエンティティによって調査された曲線パラメーターを作成して使用できます。 管理者がこれらの新しい曲線を Windows で使用したい場合は、曲線を追加する必要があります。 次の certutil.exe コマンドを使用して、現在のコンピューターに曲線を追加します。
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- curveName 引数は、曲線パラメーターが追加された曲線の名前を表します。
- curveParameters 引数は、追加する曲線パラメーターを含む証明書のファイル名を表します。
- curveOid 引数は、追加する曲線パラメーターの OID を含む証明書のファイル名を表します (省略可能)。
- curveType 引数は、EC 名前付き曲線レジストリの名前付き曲線の 10 進値を表します (省略可能)。
図 2. certutil.exe を使用して曲線を追加する。
以前に追加された曲線を削除する
管理者は、次の certutil.exe コマンドを使用して、以前に追加した曲線を削除できます。
certutil.exe –deleteEccCurve curveName
Windows では、管理者がコンピューターから曲線を削除した後に、名前付き曲線を使用することはできません。
グループ ポリシーを使用して Windows ECC 曲線を管理する
組織は、グループ ポリシーとグループ ポリシーの基本設定のレジストリ拡張を使用して、ドメインに参加しているエンタープライズ コンピューターに曲線パラメーターを配布できます。 曲線を配布するプロセスは次のとおりです。
Windows 10 と Windows Server 2016 では、certutil.exe を使用して、登録済みの新しい名前付き曲線を追加します。
その同じコンピューターから、グループ ポリシー管理コンソール (GPMC) を開き、新しいグループ ポリシー オブジェクトを作成して編集します。
[コンピューターの構成]、[基本設定]、[Windows 設定]、[レジストリ] の順に移動します。 [レジストリ] を右クリックします。 [新規作成] をポイントし、[コレクション項目] を選択します。 曲線の名前と一致するコレクション項目の名前を変更します。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters の下のレジストリ キーごとに、レジストリ コレクション項目を 1 つ作成します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] の下にリストされているレジストリ値ごとに、新しいレジストリ項目を追加して、新しく作成されたグループ ポリシー基本設定のレジストリ コレクションを構成します。
新しい名前付き曲線を受け取るグループ ポリシー レジストリ コレクション項目を含むグループ ポリシー オブジェクトを Windows 10 および Windows Server 2016 コンピューターに展開します。
図 3. グループ ポリシーの基本設定を使用して曲線を配布する
TLS ECC の順位を管理する
Windows 10 と Windows Server 2016 以降、ECC 曲線の順位グループ ポリシーの設定を使用して、既定の TLS ECC 曲線の順位を構成できます。 組織は、汎用 ECC とこの設定を使用して、信頼された独自の名前付き曲線 (TLS での使用が承認されている) を今後 TLS ハンドシェイクで使用できるように、それらの名前付き曲線をオペレーティング システムに追加して、曲線の優先順位グループ ポリシー設定に追加できます。 新しい曲線の優先順位の一覧は、ポリシー設定の受け取り後、次回の再起動時にアクティブになります。
図 4. グループ ポリシーを使用して TLS 曲線の優先順位を管理する