管理傳輸層安全性（TLS）

設定 TLS 加密套件順序

密碼套件 是一組加密演算法。 不同的 Windows 版本支援不同的 TLS 密碼套件和優先順序。 請參閱 TLS/SSL 中的 Cipher Suites (Schannel SSP)，以取得不同 Windows 版本中 Microsoft Schannel Provider 支援的預設順序。

Note

您也可以使用 CNG 函式來修改密碼套件清單，如需詳細資訊，請參閱 Prioritizing Schannel Cipher Suites。

TLS 加密套件順序的變更會在下一次開機時生效。 在重新啟動或關機之前，現有的順序才會生效。

Warning

不支援更新預設優先順序順序的登錄設定，而且可能會隨著服務更新重設。

使用組策略設定 TLS 加密套件順序

您可以使用 SSL 加密套件順序組策略設定來設定預設的 TLS 加密套件順序。

1. 從 [群組原則管理主控台] 移至 [電腦設定>系統管理範本>網路>SSL 設定]。

2. 按兩下 [SSL 加密套件順序]，然後選取 [已啟用 ] 選項。

3. 在 SSL Cipher Suites 方塊上按一下滑鼠右鍵，然後從彈出式選單中選取 Select all。

   

4. 在選取的文字上按一下滑鼠右鍵，然後從彈出式功能表中選取「 複製 」。

5. 將文字貼到文字編輯器 (例如 notepad.exe) 中，並使用新的密碼套件順序清單進行更新。

   Note

   TLS 密碼套件順序清單必須採用嚴格的逗號分隔格式。 每個加密套件字串的右側都有一個逗號。 此外，密碼套件的清單限製為 1,023 個字元。

6. 以更新的排序清單取代 SSL Cipher Suites 的清單。

7. 選取 [ 確定 ] 或 [套用]。

使用 MDM 設定 TLS 加密套件順序

Windows 10 Policy CSP 支援 TLS Cipher Suites 的設定。 如需詳細資訊，請參閱 Cryptography/TLSCipherSuites。

使用 TLS PowerShell Cmdlet 設定 TLS 加密套件順序

TLS PowerShell 模組支援取得 TLS 密碼套件順序清單、停用密碼套件以及啟用密碼套件。 如需詳細資訊，請參閱 TLS 模組。

設定 TLS ECC 曲線順序

從 Windows 10 和 Windows Server 2016 開始，ECC 曲線順序可以設定與加密套件順序無關。 如果 TLS 加密套件順序列表具有橢圓曲線後綴，則啟用時新的橢圓曲線優先順序將會覆寫這些後綴。 這可讓組織使用組策略物件，以相同的加密套件順序來設定不同版本的 Windows Server。

使用 CertUtil 管理 ECC 曲線

從 Windows 10 和 Windows Server 2016 開始，Windows 會透過命令列公用程式 certutil.exe提供橢圓曲線參數管理。 橢圓曲線參數儲存在 bcryptprimitives.dll 中。 系統管理員可以使用 certutil.exe，在 Windows Server 中新增和移除曲線參數。 Certutil.exe 會將曲線參數安全地儲存在登錄檔中。 Windows Server 可以透過與曲線相關聯的名稱，開始使用曲線參數。

顯示已註冊的曲線

使用下列 certutil.exe 命令來顯示已為目前電腦登錄的曲線清單。

certutil.exe –displayEccCurve

Certutil 顯示曲線

新增曲線

組織可以建立和使用由其他受信任實體研究的曲線參數。 要在 Windows 中使用這些新曲線的管理員必須新增曲線。 使用下列 certutil.exe 指令將曲線新增至目前的電腦：

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]

• curveName 引數代表在其下加入曲線參數的曲線名稱。
• curveParameters 引數代表憑證的檔名，其中包含您要新增的曲線參數。
• curveOid 引數代表憑證的檔名，其中包含您要新增的曲線參數的 OID （選用）。
• curveType 引數代表 EC 具名曲線登錄 （選用） 中具名曲線的十進位值。

拿掉先前新增的曲線

管理員可以使用下列 certutil.exe 指令移除先前新增的曲線：

certutil.exe –deleteEccCurve curveName

在系統管理員從計算機移除曲線之後，Windows 無法使用具名曲線。

使用組策略管理 ECC 曲線

組織可以使用 Group Policy 與 Group Policy Preferences Registry 延伸功能，將曲線參數散佈至企業及已加入網域的電腦中。 分佈曲線的過程是：

1. 使用 certutil.exe 加入新的已註冊命名曲線。

2. 在這台電腦上，開啟 Group Policy Management Console (GPMC)，建立新的 Group Policy 物件，然後加以編輯。

3. 導覽到 電腦設定|偏好設定|Windows 設定|登錄檔。 以滑鼠右鍵按一下 登錄。 將滑鼠游標懸停在「新增」上，然後選取「集合項目」。 重新命名集合項目以符合曲線的名稱。 您可以在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters下為每個登錄機碼建立一個登錄集合項目。

4. 為 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName ] 下列的每個登錄值新增登錄項目，以設定新建立的群組原則喜好設定登錄集合。

5. 部署包含組策略登錄集合專案計算機的組策略對象，這些計算機應該會收到新的具名曲線。

   

管理 TLS ECC 順序

從 Windows 10 和 Windows Server 2016 開始，ECC 曲線順序組策略設定可用來設定預設的 TLS ECC 曲線順序。 組織可以將自己受信任的具名曲線新增至作業系統，然後將這些具名曲線新增到群組原則設定的曲線優先順序中，以確保它們在未來的 TLS 握手中使用。 收到政策設定後，新的曲線優先順序清單會在下次重新開機時啟動。