Изменить

Поделиться через

Настройка TLS 1.2 на клиентах Windows, обращаюющихся к устройству Azure Stack Edge Pro

  • Практическое руководство

ОБЛАСТЬ ПРИМЕНЕНИЯ: Да для SKU GPU ProAzure Stack Edge Pro — GPUДа для SKU Pro 2Azure Stack Edge Pro 2Да для SKU R ProAzure Stack Edge Pro RДа для номера SKU Mini RAzure Stack Edge Mini R

Если вы используете клиент Windows для доступа к устройству Azure Stack Edge Pro, вам потребуется настроить TLS версии 1.2 на клиенте. В этой статье содержатся ресурсы и рекомендации по настройке TLS 1.2 в клиенте Windows.

Приведенные здесь рекомендации основаны на тестировании, выполняемом на клиенте под управлением Windows Server 2016.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть доступ к клиенту Windows Server, который может подключаться к устройству Azure Stack Edge. Клиент должен работать под управлением Windows Server 2016 или более поздней версии.

Настройка TLS 1.2 для текущего сеанса PowerShell

Чтобы настроить TLS 1.2 на клиенте, выполните следующие действия.

  1. Запустите оболочку PowerShell от имени администратора.

  2. Чтобы установить TLS 1.2 для текущего сеанса PowerShell, введите:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Настройка TLS 1.2 на клиенте

Чтобы задать для среды протокол TLS 1.2 на уровне системы, выполните следующие действия.

  1. Чтобы включить TLS 1.2 на клиентах, используйте рекомендации в следующих документах:

  2. Настройка наборов шифров.

    • В частности, настройка порядка набора шифров TLS

    • Убедитесь, что список текущих наборов шифров и предопределен любой отсутствующий из следующего списка:

      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Эти наборы шифров также можно добавить, напрямую изменив параметры реестра. Переменная $HklmSoftwarePath должна быть определена $HklmSoftwarePath = HKLM:\SOFTWARE.

    New-ItemProperty -Path "$HklmSoftwarePath\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -Name "Functions"  -PropertyType String -Value ("TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384")

  3. Задайте эллиптические кривые. Убедитесь, что вы перечислили текущие эллиптические кривые и добавили все отсутствующие из следующего списка:

    • P-256
    • P-384

    Эти эллиптические кривые также можно добавить, напрямую изменив параметры реестра.

    New-ItemProperty -Path "$HklmSoftwarePath\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -Name "EccCurves" -PropertyType MultiString -Value @("NistP256", "NistP384")

  4. Установите минимальный размер обмена ключами RSA равным 2048.

Следующий шаг

Подключение к Azure Resource Manager.