Konfigurowanie protokołu TLS 1.2 na klientach z systemem Windows, którzy uzyskują dostęp do urządzenia Azure Stack Edge Pro

DOTYCZY: Tak dla jednostki SKU procesora GPU ProAzure Stack Edge Pro — GPUTak dla jednostki SKU Pro 2Azure Stack Edge Pro 2Tak dla jednostki SKU Pro RAzure Stack Edge Pro R Azure Stack Edge Mini RTak dla jednostki SKU Mini R

Jeśli używasz klienta systemu Windows do uzyskiwania dostępu do urządzenia Azure Stack Edge Pro, musisz skonfigurować protokół TLS 1.2 na kliencie. Ten artykuł zawiera zasoby i wskazówki dotyczące konfigurowania protokołu TLS 1.2 na kliencie systemu Windows.

Przedstawione tutaj wytyczne są oparte na testach wykonywanych na kliencie z systemem Windows Server 2016.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do klienta systemu Windows Server, który może nawiązać połączenie z urządzeniem Azure Stack Edge. Klient powinien mieć system Windows Server 2016 lub nowszy.

Konfigurowanie protokołu TLS 1.2 dla bieżącej sesji programu PowerShell

Wykonaj poniższe kroki, aby skonfigurować protokół TLS 1.2 na kliencie.

  1. Uruchom program PowerShell jako administrator.

  2. Aby ustawić protokół TLS 1.2 dla bieżącej sesji programu PowerShell, wpisz:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    

Konfigurowanie protokołu TLS 1.2 na kliencie

Aby ustawić protokół TLS 1.2 dla całego systemu dla środowiska, wykonaj następujące kroki:

  1. Aby włączyć protokół TLS 1.2 na klientach, skorzystaj z wytycznych w następujących dokumentach:

  2. Konfigurowanie zestawów szyfrowania.

    • W szczególności konfigurowanie kolejności szyfrowania TLS

    • Upewnij się, że masz listę bieżących zestawów szyfrowania i poprzedzasz wszystkie brakujące z poniższej listy:

      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Te zestawy szyfrowania można również dodać, edytując ustawienia rejestru bezpośrednio. $HklmSoftwarePath zmiennej należy zdefiniować $HklmSoftwarePath = "HKLM:\SOFTWARE"

    New-ItemProperty -Path "$HklmSoftwarePath\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -Name "Functions"  -PropertyType String -Value ("TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384")
    
  3. Ustaw krzywe wielokropka. Upewnij się, że wyświetlasz listę bieżących krzywych wielokropka i poprzedzasz wszystkie brakujące z poniższej listy:

    • P-256
    • P-384

    Te krzywe wielokropka można również dodać, edytując ustawienia rejestru bezpośrednio.

    New-ItemProperty -Path "$HklmSoftwarePath\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -Name "EccCurves" -PropertyType MultiString -Value @("NistP256", "NistP384")
    
  4. Ustaw minimalny rozmiar wymiany kluczy RSA na 2048.

Następny krok