Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Konfigurera TLS-chiffersvitordning
En chiffersvit är en uppsättning kryptografiska algoritmer. Olika Windows-versioner stöder olika TLS-chiffersviter och prioritetsordning. Se Chiffersviter i TLS/SSL (Schannel SSP) för standardordningen som stöds av Microsoft Schannel-providern i olika Windows-versioner.
Anmärkning
Du kan också ändra listan över chiffersviter med hjälp av CNG-funktioner. Mer information finns i Prioritera Schannel Cipher Suites .
Ändringar i ordningen för TLS-chiffersviten träder i kraft vid nästa omstart. Fram till omstart eller avstängning gäller den befintliga ordningen.
Varning
Uppdatering av registerinställningarna för standardprioritetsordning stöds inte och kan återställas med underhållsuppdateringar.
Konfigurera TLS-chiffersvitordning med hjälp av grupprincip
Du kan använda Group Policy-inställningarna för ordningen av SSL-chiffersviten för att konfigurera den förvalda TLS-chiffersvitsordningen.
Från konsolen Grupprinciphantering går du till Datorkonfiguration>Administrativa mallar>>.
Dubbelklicka på SSL Cipher Suite Order och välj sedan alternativet Aktiverad .
Högerklicka på rutan SSL Chiffersviter och välj Välj alla på popup-menyn.
Högerklicka på den markerade texten och välj kopiera från popup-menyn.
Klistra in texten i en textredigerare, till exempel notepad.exe och uppdatera med den nya orderlistan för chiffersviten.
Anmärkning
Orderlistan för TLS-chiffersviten måste vara i strikt kommaavgränsat format. Varje chiffersvitsträng slutar med ett kommatecken till höger. Dessutom är listan över chiffersviter begränsad till 1 023 tecken.
Ersätt listan i SSL Cipher Suites med den uppdaterade ordnade listan.
Välj OK eller Använd.
Konfigurera ordningen för TLS-chiffersviten med hjälp av MDM
Windows 10 CSP-policy stöder konfiguration av TLS-krypteringssviterna. Mer information finns i Kryptografi/TLSCipherSuites.
Konfigurera TLS-chiffersvitordning med hjälp av TLS PowerShell-cmdletar
TLS PowerShell-modulen har stöd för att hämta den ordnade listan över TLS-chiffersviter, inaktivera en chiffersvit och aktivera en chiffersvit. Mer information finns i TLS-modulen.
Konfigurera TLS ECC-kurvordning
Från och med Windows 10 och Windows Server 2016 kan ECC-kurvordningen konfigureras oberoende av chiffersvitordningen. Om ordningslistan för TLS-chiffersviten har elliptiska kurvsuffix kommer de att åsidosättas av den nya elliptiska kurvprioritetsordningen när den är aktiverad. Detta gör att organisationer kan använda ett grupprincipobjekt för att konfigurera olika versioner av Windows Server med samma chiffersvitordning.
Hantera ECC-kurvor med CertUtil
Från och med Windows 10 och Windows Server 2016 tillhandahåller Windows elliptisk kurvparameterhantering via kommandoradsverktyget certutil.exe. Elliptiska kurvparametrar lagras i bcryptprimitives.dll. Administratörer kan lägga till och ta bort kurvparametrar till och från Windows Server med hjälp av certutil.exe. Certutil.exe lagrar kurvparametrarna säkert i registret. Windows Server kan börja använda kurvparametrarna med det namn som är associerat med kurvan.
Visa registrerade kurvor
Använd följande certutil.exe kommando för att visa en lista över kurvor som registrerats för den aktuella datorn.
certutil.exe –displayEccCurve
Lägga till en ny kurva
Organisationer kan skapa och använda kurvparametrar som undersökts av andra betrodda entiteter. Administratörer som vill använda dessa nya kurvor i Windows måste lägga till kurvan. Använd följande certutil.exe kommando för att lägga till en kurva i den aktuella datorn:
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- Argumentet curveName representerar namnet på kurvan under vilken kurvparametrarna lades till.
- Argumentet curveParameters representerar filnamnet för ett certifikat som innehåller parametrarna för de kurvor som du vill lägga till.
- Argumentet curveOid representerar ett filnamn för ett certifikat som innehåller OID för de kurvparametrar som du vill lägga till (valfritt).
- Argumentet curveType representerar ett decimalvärde för den namngivna kurvan från EC Named Curve Registry (valfritt).
Ta bort en tidigare tillagd kurva
Administratörer kan ta bort en tidigare tillagd kurva med hjälp av följande certutil.exe kommando:
certutil.exe –deleteEccCurve curveName
Windows kan inte använda en namngiven kurva när en administratör tar bort kurvan från datorn.
Hantera ECC-kurvor med grupprincip
Organisationer kan distribuera kurvparametrar till företagets domänanslutna datorer med hjälp av Gruppolicy och registertillägget Gruppolicyinställningar. Processen för att distribuera en kurva är:
Använd certutil.exe för att lägga till en ny registrerad namngiven kurva.
Från samma dator öppnar du konsolen grupprinciphantering (GPMC), skapar ett nytt grupprincipobjekt och redigerar det.
Gå till Datorkonfiguration|Inställningar|Windows-inställningar|Register. Högerklicka på Register. Hovra över Nytt och välj Samlingsobjekt. Byt namn på samlingsobjektet så att det matchar namnet på kurvan. Du skapar ett registersamlingsobjekt för varje registernyckel under HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.
Konfigurera det nyligen skapade grupppolicypreferensregistret genom att lägga till ett nytt registerobjekt för varje registervärde som anges under HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].
Distribuera grupprincipobjektet som innehåller grupprincipregistersamlingens objektdatorer som ska ta emot de nya namngivna kurvorna.
Hantera TLS ECC-ordning
Från och med Windows 10 och Windows Server 2016 kan grupprincipinställningar för ECC-kurvordning användas för att konfigurera standardordningen för TLS ECC-kurva. Organisationer kan lägga till sina egna betrodda namngivna kurvor i operativsystemet och sedan lägga till de namngivna kurvorna i grupprincipinställningen för kurvprioritet för att säkerställa att de används i framtida TLS-handskakningar. Nya kurvprioritetslistor blir aktiva vid nästa omstart efter att principinställningarna har tagits emot.
