Como ativar o TLS 1.2 nos clientes

Aplica-se a: Gestor de Configuração (Filial Atual)

Ao ativar o TLS 1.2 para o ambiente do Seu Gestor de Configuração, comece por garantir que os clientes são capazes e devidamente configurados para utilizar o TLS 1.2 antes de permitir o TLS 1.2 e desativar os protocolos mais antigos nos servidores do site e nos sistemas de site remoto. Existem três tarefas para permitir o TLS 1.2 nos clientes:

• Atualizar Windows e WinHTTP
• Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel a nível do sistema operativo
• Atualizar e configurar o .NET Framework de suporte TLS 1.2

Para obter mais informações sobre dependências para funcionalidades e cenários específicos do Gestor de Configurações, consulte Sobre a possibilidade de permitir o TLS 1.2.

Atualizar Windows e WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 e versões posteriores de Windows suportam de forma nativa TLS 1.2 para comunicações de servidores clientes sobre o WinHTTP.

Versões anteriores de Windows, como Windows 7 ou Windows Server 2012, não permitem, por padrão, o TLS 1.1 ou TLS 1.2 para comunicações seguras utilizando o WinHTTP. Para estas versões anteriores de Windows, instale update 3140245 para ativar o valor de registo abaixo, que pode ser definido para adicionar TLS 1.1 e TLS 1.2 à lista de protocolos seguros predefinidos para WinHTTP. Com o patch instalado, crie os seguintes valores de registo:

Importante

Ativar estas definições em todos os clientes que executam versões anteriores de Windows antes de ativar o TLS 1.2 e desativar os protocolos mais antigos nos servidores do Gestor de Configuração. Caso contrário, podes, inadvertidamente, órfá-los.

Verifique o valor da DefaultSecureProtocols definição de registo, por exemplo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Se alterar este valor, reinicie o computador.

O exemplo acima mostra o valor da 0xAA0 DefaultSecureProtocols definição WinHTTP. Atualização para ativar TLS 1.1 e TLS 1.2 como protocolos seguros predefinidos no WinHTTP em Windows lista o valor hexadecimal para cada protocolo. Por padrão em Windows, este valor é 0x0A0 para ativar SSL 3.0 e TLS 1.0 para WinHTTP. O exemplo acima mantém estes padrão, e também permite TLS 1.1 e TLS 1.2 para WinHTTP. Esta configuração garante que a alteração não quebre qualquer outra aplicação que ainda possa contar com SSL 3.0 ou TLS 1.0. Pode utilizar o valor de 0xA00 apenas ativar TLS 1.1 e TLS 1.2. O Gestor de Configuração suporta o protocolo mais seguro que Windows negoceia entre ambos os dispositivos.

Se pretender desativar completamente o SSL 3.0 e o TLS 1.0, utilize os protocolos SChannel desativado Windows. Para obter mais informações, consulte Restringir a utilização de certos algoritmos e protocolos criptográficos em Schannel.dll.

Certifique-se de que o TLS 1.2 está ativado como protocolo para o SChannel a nível do sistema operativo

TLS 1.2 é ativado por predefinição. Portanto, não é necessária qualquer alteração a estas teclas para o permitir. Pode fazer alterações Protocols para desativar os TLS 1.0 e TLS 1.1 depois de ter seguido o resto da orientação nestes artigos e verificou que o ambiente funciona quando apenas o TLS 1.2 está ativado.

Verifique a \SecurityProviders\SCHANNEL\Protocols definição da sub-chave do registo, como indicado nas melhores práticas de segurança da camada de transporte (TLS) com o .NET Framework.

Atualizar e configurar o .NET Framework de suporte TLS 1.2

Determine a versão .NET

Primeiro, determine as versões .NET instaladas. Para obter mais informações, consulte determinar quais as versões e os níveis de pacote de serviço de .NET Framework estão instalados.

Instalar atualizações .NET

Instale as atualizações .NET para que possa ativar uma criptografia forte. Algumas versões de .NET Framework podem necessitar de atualizações para ativar uma criptografia forte. Utilize estas diretrizes:

• Net Framework 4.6.2 e posteriormente suporta TLS 1.1 e TLS 1.2. Confirme as definições do registo, mas não são necessárias alterações adicionais.

  Nota

  A partir da versão 2107, o Gestor de Configurações requer a .NET Framework versão 4.6.2 da Microsoft para servidores de sites, sistemas de sites específicos, clientes e a consola. Se possível no seu ambiente, instale a versão mais recente da versão .NET 4.8.

• Atualizar o Net Framework 4.6 e as versões anteriores para suportar as versões TLS 1.1 e TLS 1.2. Para mais informações, consulte .NET Framework versões e dependências.

• Se estiver a utilizar .NET Framework 4.5.1 ou 4.5.2 em Windows 8.1 ou Windows Server 2012, as atualizações e detalhes relevantes também estão disponíveis no Centro de Descarregamentos.

Configuração para criptografia forte

Configurar .NET Framework para apoiar uma criptografia forte. Defina SchUseStrongCrypto a definição de registo para DWORD:00000001 . Este valor desativa a cifra de fluxo RC4 e requer um reinício. Para obter mais informações sobre esta definição, consulte o Microsoft Security Advisory 296038.

Certifique-se de que define as seguintes teclas de registo em qualquer computador que comunique através da rede com um sistema com ativação TLS 1.2. Por exemplo, clientes do Gestor de Configuração, funções de sistema de site remoto não instaladas no servidor do site e o próprio servidor do site.

Para aplicações de 32 bits que estão em execução em OSs de 32 bits e para aplicações de 64 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores sub-chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Para aplicações de 32 bits que estão em execução em OSs de 64 bits, atualize os seguintes valores sub-chave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Nota

A SchUseStrongCrypto definição permite que .NET utilize TLS 1.1 e TLS 1.2. A SystemDefaultTlsVersions definição permite que .NET utilize a configuração de SO. Para mais informações, consulte as melhores práticas do TLS com o .NET Framework.

Passos seguintes

• Ativar o TLS 1.2 nos servidores de sites e nos sistemas de sites remotos
• Common issues when enabling TLS 1.2 (Problemas comuns ao ativar o TLS 1.2)