Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
TLS şifreleme paketi sırasını yapılandırma
Şifreleme paketi, bir dizi şifreleme algoritmasıdır. Farklı Windows sürümleri farklı TLS şifreleme paketlerini ve öncelik sırasını destekler. Farklı Windows sürümlerinde Microsoft Schannel Sağlayıcısı tarafından desteklenen varsayılan sipariş için bkz. TLS/SSL'de (Schannel SSP) Şifreleme Paketleri .
Note
CNG işlevlerini kullanarak şifre paketleri listesini de değiştirebilirsiniz. Ayrıntılar için bkz. Schannel Şifreleme Paketlerini Önceliklendirme .
TLS şifreleme paketi düzenindeki değişiklikler bir sonraki önyüklemede etkili olur. Yeniden başlatana veya kapatana kadar mevcut sipariş geçerli olur.
Warning
Varsayılan öncelik sıralaması için kayıt defteri ayarlarının güncelleştirilmesi desteklenmez ve hizmet güncelleştirmeleriyle sıfırlanabilir.
Grup İlkesi'ni kullanarak TLS şifreleme paketi sırasını yapılandırma
Varsayılan TLS şifreleme paketi sırasını yapılandırmak için SSL şifreleme paketi sırası Grup İlkesi ayarlarını kullanabilirsiniz.
Grup İlkesi Yönetim Konsolu'ndan Bilgisayar Yapılandırması>Yönetim Şablonları>Ağ>SSL Yapılandırma Ayarları'na gidin.
SSL Şifreleme Paketi Sırası'na çift tıklayın ve etkin seçeneğini belirleyin.
SSL Şifreleme Paketleri kutusuna sağ tıklayın ve açılır menüden Tümünü seç'i seçin.
Seçili metne sağ tıklayın ve açılır menüden kopyala'yı seçin.
Metni notepad.exe gibi bir metin düzenleyicisine yapıştırın ve yeni şifre paketi sipariş listesiyle güncelleştirin.
Note
TLS şifreleme paketi sipariş listesi kesin virgülle ayrılmış biçimde olmalıdır. Her şifreleme paketi dizesinin sonunda sağ tarafında bir virgül bulunur. Ayrıca, şifre paketleri listesi 1.023 karakterle sınırlıdır.
SSL Şifreleme Paketleri'ndeki listeyi güncelleştirilmiş sıralı listeyle değiştirin.
Tamam'ı veya Uygula'yı seçin.
MDM kullanarak TLS şifreleme paketi sırasını yapılandırma
Windows 10 İlkesi CSP, TLS Şifreleme Paketlerinin yapılandırmasını destekler. Daha fazla bilgi için bkz . Şifreleme/TLSCipherSuites.
TLS PowerShell Cmdlet'lerini kullanarak TLS şifreleme paketi sırasını yapılandırma
TLS PowerShell modülü TLS şifreleme paketlerinin sıralı listesini almayı, bir şifre paketini devre dışı bırakmayı ve bir şifre paketini etkinleştirmeyi destekler. Daha fazla bilgi için bkz. TLS Modülü.
TLS ECC eğri sırasını yapılandırma
Windows 10 ve Windows Server 2016'da başlayarak, ECC eğri sırası şifre paketi düzeninden bağımsız olarak yapılandırılabilir. TLS şifreleme paketi dizilim listesinde eliptik eğri sonekleri varsa, etkinleştirildiğinde yeni eliptik eğri öncelik sıralaması tarafından geçersiz kılınır. Bu, kuruluşların Windows Server'ın farklı sürümlerini aynı şifreleme paketleri sırasına göre yapılandırmak için Grup İlkesi nesnesi kullanmasına olanak tanır.
CertUtil kullanarak ECC eğrilerini yönetme
Windows 10 ve Windows Server 2016'ya başlayarak, Windowscertutil.exekomut satırı yardımcı programı aracılığıyla eliptik eğri parametre yönetimi sağlar. Elips eğrisi parametreleri bcryptprimitives.dll'de depolanır. Yöneticiler, certutil.exekullanarak Windows Server'a ve Windows Server'dan eğri parametreleri ekleyebilir ve kaldırabilir. Certutil.exe, eğri parametrelerini kayıt defterinde güvenli bir şekilde depolar. Windows Server, eğrinin adıyla ilişkili olarak eğri parametrelerini kullanmaya başlayabilir.
Kayıtlı eğrileri görüntüleme
Geçerli bilgisayar için kaydedilen eğrilerin listesini görüntülemek için aşağıdaki certutil.exe komutunu kullanın.
certutil.exe –displayEccCurve
Yeni eğri ekleme
Kuruluşlar, diğer güvenilir varlıklar tarafından araştırılan eğri parametreleri oluşturabilir ve kullanabilir. Windows'ta bu yeni eğrileri kullanmak isteyen yöneticilerin eğriyi eklemesi gerekir. Geçerli bilgisayara eğri eklemek için aşağıdaki certutil.exe komutunu kullanın:
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- curveName bağımsız değişkeni, eğri parametrelerinin eklendiği eğrinin adını temsil eder.
- curveParameters bağımsız değişkeni, eklemek istediğiniz eğrilerin parametrelerini içeren bir sertifikanın dosya adını temsil eder.
- curveOid bağımsız değişkeni, eklemek istediğiniz eğri parametrelerinin OID'sini içeren bir sertifikanın dosya adını temsil eder (isteğe bağlı).
- curveType bağımsız değişkeni, EC Adlandırılmış Eğri Kayıt Defteri'nden adlandırılmış eğrinin ondalık değerini temsil eder (isteğe bağlı).
Daha önce eklenmiş bir eğriyi kaldırma
Yöneticiler aşağıdaki certutil.exe komutunu kullanarak daha önce eklenen bir eğriyi kaldırabilir:
certutil.exe –deleteEccCurve curveName
Yönetici eğriyi bilgisayardan kaldırdıktan sonra Windows adlandırılmış eğriyi kullanamaz.
Grup İlkesi'ni kullanarak ECC eğrilerini yönetme
Kuruluşlar, Grup İlkesi ve Grup İlkesi Tercihleri Kayıt Defteri uzantısını kullanarak eğri parametrelerini etki alanına bağlı kuruluş bilgisayarlarına dağıtabilir. Bir eğriyi dağıtma işlemi şu şekildedir:
yeni bir kayıtlı adlandırılmış eğri eklemek için certutil.exe kullanın.
Aynı bilgisayardan Grup İlkesi Yönetim Konsolu'nu (GPMC) açın, yeni bir Grup İlkesi nesnesi oluşturun ve düzenleyin.
Bilgisayar Yapılandırması|'na gidinTercihler|Windows Ayarları|Kayıt defteri. Kayıt Defteri'ne sağ tıklayın. Yeni'nin üzerine gelin ve Koleksiyon Öğesi'ni seçin. Koleksiyon öğesini eğrinin adıyla eşleşecek şekilde yeniden adlandırın. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParametersaltında her kayıt defteri anahtarı için bir Kayıt Defteri Koleksiyonu öğesi oluşturursunuz.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] altında listelenen her kayıt defteri değeri için yeni bir Kayıt Defteri Öğesi ekleyerek yeni oluşturulan Grup İlkesi Tercih Kayıt Defteri Koleksiyonunu yapılandırın.
Yeni adlandırılmış eğrileri alması gereken Grup İlkesi Kayıt Defteri Koleksiyonu öğesi bilgisayarlarını içeren Grup İlkesi nesnesini dağıtın.
TLS ECC siparişini yönetme
Windows 10 ve Windows Server 2016'dan itibaren, varsayılan TLS ECC Eğri Sırasını yapılandırmak için ECC Eğri Sırası grup politikası ayarları kullanılabilir. Kuruluşlar, işletim sistemine kendi güvenilir adlandırılmış eğrilerini ekleyebilir ve ardından bu adlandırılmış eğrileri, gelecek TLS el sıkışmalarında kullanılmalarını sağlamak için Grup İlkesi ayarlarında eğri önceliğine ekleyebilir. İlke ayarları alındıktan sonra bir sonraki yeniden başlatmada yeni eğri öncelik listeleri etkin hale gelir.
