Udostępnij za pośrednictwem

Zarządzanie protokołem TLS (Transport Layer Security)

Konfigurowanie kolejności pakietu szyfrowania TLS

Zestaw szyfrowania to zestaw algorytmów kryptograficznych. Różne wersje systemu Windows obsługują różne zestawy szyfrowania TLS i kolejność priorytetów. Zobacz Zestawy szyfrowania w protokole TLS/SSL (Schannel SSP) dla domyślnej kolejności obsługiwanej przez dostawcę Schannel firmy Microsoft w różnych wersjach systemu Windows.

Note

Listę zestawów szyfrowania można również zmodyfikować przy użyciu funkcji CNG. Aby uzyskać szczegółowe informacje, zobacz Określanie priorytetów zestawów szyfrowania Schannel .

Zmiany w kolejności zestawu szyfrowania TLS zaczęły obowiązywać podczas następnego rozruchu. Dopóki nie nastąpi ponowne uruchomienie lub zamknięcie, istniejąca kolejność będzie obowiązywać.

Warning

Aktualizowanie ustawień rejestru dla domyślnej kolejności priorytetu nie jest obsługiwane i może zostać zresetowane przy użyciu aktualizacji obsługi.

Konfigurowanie kolejności zestawu szyfrowania TLS przy użyciu zasad grupy

Aby skonfigurować domyślną kolejność zestawu szyfrów TLS, można użyć ustawień zasad grupy dotyczących kolejności zestawu szyfrów SSL.

  1. W konsoli zarządzania zasadami grupy przejdź do Konfiguracja komputera>Szablony administracyjne>Sieć>Ustawienia konfiguracji protokołu SSL.

  2. Kliknij dwukrotnie pozycję Zestaw szyfrów SSL, a następnie wybierz opcję Włączone.

  3. Kliknij prawym przyciskiem myszy pole Zestawy szyfrowania SSL i wybierz opcję Wybierz wszystko z menu podręcznego.

    Ustawienie zasad grupy

  4. Kliknij prawym przyciskiem myszy zaznaczony tekst i wybierz Kopiuj z menu podręcznego.

  5. Wklej tekst do edytora tekstów, takiego jak notepad.exe i zaktualizuj go przy użyciu nowej listy kolejności zestawu szyfrowania.

    Note

    Lista kolejności zestawów szyfrowania TLS musi być w ścisłym formacie rozdzielonym przecinkami. Każdy ciąg zestawu szyfrowania kończy się przecinkiem po prawej stronie. Ponadto lista zestawów szyfrowania jest ograniczona do 1023 znaków.

  6. Zastąp listę w pakietach szyfrowania SSL zaktualizowaną uporządkowaną listą.

  7. Wybierz przycisk OK lub Zastosuj.

Konfigurowanie kolejności szyfrowania TLS przy użyciu rozwiązania MDM

Dostawca usługi konfiguracji zasad systemu Windows 10 obsługuje konfigurację zestawów szyfrowania TLS. Aby uzyskać więcej informacji, zobacz Cryptography/TLSCipherSuites.

Konfigurowanie kolejności zestawu szyfrowania TLS przy użyciu poleceń cmdlet protokołu TLS programu PowerShell

Moduł TLS PowerShell obsługuje pobieranie uporządkowanej listy zestawów szyfrowania TLS, wyłączanie pakietu szyfrowania i włączanie zestawu szyfrowania. Aby uzyskać więcej informacji, zobacz Moduł TLS.

Konfigurowanie kolejności krzywej ECC protokołu TLS

Począwszy od systemów Windows 10 i Windows Server 2016, kolejność krzywej ECC można skonfigurować niezależnie od kolejności zestawu szyfrowania. Jeśli lista kolejności zestawu szyfrowania TLS ma sufiksy krzywej wielokropkowej, zostaną one zastąpione przez nową kolejność priorytetu krzywej wielokroptycznej po włączeniu. Dzięki temu organizacje mogą używać obiektu zasad grupy do konfigurowania różnych wersji systemu Windows Server z tą samą kolejnością zestawów szyfrowania.

Zarządzanie krzywymi ECC przy użyciu narzędzia CertUtil

Począwszy od systemów Windows 10 i Windows Server 2016, system Windows zapewnia zarządzanie parametrami krzywej eliptycznej za pośrednictwem narzędzia wiersza polecenia certutil.exe. Parametry krzywej eliptycznej są przechowywane w bcryptprimitives.dll. Administratorzy mogą dodawać i usuwać parametry krzywej do i z systemu Windows Server przy użyciu certutil.exe. Certutil.exe bezpiecznie przechowuje parametry krzywej w rejestrze. System Windows Server może rozpocząć korzystanie z parametrów krzywej, korzystając z nazwy powiązanej z tą krzywą.

Wyświetlanie zarejestrowanych krzywych

Użyj następującego polecenia certutil.exe, aby wyświetlić listę krzywych zarejestrowanych dla bieżącego komputera.

certutil.exe –displayEccCurve

Krzywe wyświetlania narzędzia Certutil

Dodawanie nowej krzywej

Organizacje mogą tworzyć i używać parametrów krzywych zbadanych przez inne zaufane jednostki. Administratorzy, którzy chcą używać tych nowych krzywych w systemie Windows, muszą dodać krzywą. Użyj następującego polecenia certutil.exe, aby dodać krzywą do bieżącego komputera:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Argument curveName reprezentuje nazwę krzywej, pod którą dodano parametry krzywej.
  • Argument curveParameters reprezentuje nazwę pliku certyfikatu, który zawiera parametry krzywych, które chcesz dodać.
  • Argument curveOid reprezentuje nazwę pliku certyfikatu, który zawiera identyfikator OID parametrów krzywej, które chcesz dodać (opcjonalnie).
  • Argument curveType reprezentuje wartość dziesiętną nazwanej krzywej z rejestru krzywej nazwanej WE (opcjonalnie).

Certutil dodaje krzywe

Usuń wcześniej dodaną krzywą

Administratorzy mogą usunąć wcześniej dodaną krzywą przy użyciu następującego polecenia certutil.exe:

certutil.exe –deleteEccCurve curveName

System Windows nie może użyć nazwanej krzywej po usunięciu krzywej przez administratora z komputera.

Zarządzać krzywymi ECC za pomocą polityki grupy

Organizacje mogą dystrybuować parametry krzywej do komputerów w przedsiębiorstwie przyłączonych do domeny przy użyciu zasad grupowych i rozszerzenia rejestru preferencji zasad grupowych. Proces dystrybucji krzywej to:

  1. Użyj certutil.exe , aby dodać nową zarejestrowaną krzywą o nazwie.

  2. Na tym samym komputerze otwórz konsolę zarządzania zasadami grupy (GPMC), utwórz nowy obiekt zasad grupy i edytuj go.

  3. Przejdź do konfiguracji komputera|Preferencje|Ustawienia systemu Windows|Rejestr. Kliknij prawym przyciskiem myszy pozycję Rejestr. Umieść kursor na pozycji Nowy i wybierz pozycję Element kolekcji. Zmień nazwę elementu kolekcji, aby był zgodny z nazwą krzywej. Należy utworzyć jeden element kolekcji rejestru dla każdego klucza rejestru pod HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Skonfiguruj nowo utworzoną kolekcję rejestru preferencji zasad grupy, dodając nowy element rejestru dla każdej wartości rejestru wymienionej w HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Wdróż obiekt zasad grupy zawierający komputery z kolekcji ustawień rejestru zasad grupy, które powinny otrzymać nowe nazwane krzywe.

    Zrzut ekranu przedstawiający kartę Preferencje w Edytorze zarządzania zasadami grupy.

Zarządzanie kolejnością usługi TLS ECC

Począwszy od systemu Windows 10 i Windows Server 2016, ustawienia zasad grupy kolejności krzywej ECC można użyć do skonfigurowania domyślnej kolejności krzywej ECC PROTOKOŁU TLS. Organizacje mogą dodawać własne zaufane nazwane krzywe do systemu operacyjnego, a następnie dodawać te nazwane krzywe do ustawienia zasad grupy priorytetu krzywej, aby upewnić się, że są używane w przyszłych uzgadnianiach protokołu TLS. Nowe listy priorytetów krzywej stają się aktywne podczas następnego ponownego rozruchu po otrzymaniu ustawień zasad.

Zrzut ekranu okna dialogowego EEC Curve Order (Kolejność krzywej EEC).

  • Last updated on