Gérer TLS (Transport Layer Security)

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

Configuration de l’ordre des suites de chiffrement TLS

Différentes versions de Windows prennent en charge différentes suites de chiffrement TLS et ordre de priorité. Consultez Suites de chiffrement dans TLS/SSL (SSP Schannel) pour connaître l’ordre par défaut pris en charge par le fournisseur Microsoft Schannel dans différentes versions Windows.

Notes

Vous pouvez également modifier la liste des suites de chiffrement à l’aide des fonctions CNG. Pour plus d’informations, consultez Hiérarchisation des suites de chiffrement Schannel .

Les modifications apportées à la suite de chiffrement TLS prennent effet au démarrage suivant. Jusqu’à ce que le redémarrage ou l’arrêt soient arrêtés, l’ordre existant sera en vigueur.

Avertissement

La mise à jour des paramètres de Registre pour l’ordre de priorité par défaut n’est pas prise en charge et peut être réinitialisée avec les mises à jour de maintenance.

Configuration de la commande de suite de chiffrement TLS à l’aide de stratégie de groupe

Vous pouvez utiliser les paramètres de l’ordre de suite de chiffrement SSL stratégie de groupe pour configurer l’ordre de suite de chiffrement TLS par défaut.

  1. À partir de la console de gestion stratégie de groupe, accédez à ComputerConfigurationAdministrative>TemplatesNetworkSSL>>Configuration Paramètres.

  2. Double-cliquez sur Ordre de suite de chiffrement SSL, puis cliquez sur l’option Activé .

  3. Cliquez avec le bouton droit sur Suites de chiffrement SSL et sélectionnez Tout sélectionner dans le menu contextuel.

    Group Policy setting

  4. Cliquez avec le bouton droit sur le texte sélectionné, puis sélectionnez Copier dans le menu contextuel.

  5. Collez le texte dans un éditeur de texte tel que notepad.exe et mettez à jour avec la nouvelle liste de commandes de suite de chiffrement.

    Notes

    La liste d’ordre des suites de chiffrement TLS doit être au format délimité par des virgules stricte. Chaque chaîne de suite de chiffrement se termine par une virgule (,) à droite de celle-ci.

    En outre, la liste des suites de chiffrement est limitée à 1 023 caractères.

  6. Remplacez la liste dans les suites de chiffrement SSL par la liste ordonnée mise à jour.

  7. Cliquez sur OK ou Appliquer.

Configuration de la commande de suite de chiffrement TLS à l’aide de MDM

Le fournisseur csp de stratégie de Windows 10 prend en charge la configuration des suites de chiffrement TLS. Pour plus d’informations, consultez Cryptography/TLSCipherSuites .

Configuration de l’ordre des suites de chiffrement TLS à l’aide des applets de commande TLS PowerShell

Le module TLS PowerShell prend en charge l’obtention de la liste ordonnée des suites de chiffrement TLS, la désactivation d’une suite de chiffrement et l’activation d’une suite de chiffrement. Pour plus d’informations, consultez le module TLS .

Configuration de l’ordre des courbes ECC TLS

À compter de Windows 10 Windows Server 2016 & , l’ordre des courbes ECC peut être configuré indépendamment de l’ordre de suite de chiffrement. Si la liste de commandes de la suite de chiffrement TLS a des suffixes de courbe elliptique, elles sont remplacées par le nouvel ordre de priorité de courbe elliptique, lorsqu’elle est activée. Cela permet aux organisations d’utiliser un objet stratégie de groupe pour configurer différentes versions de Windows avec le même ordre de suites de chiffrement.

Notes

Avant Windows 10, les chaînes de suite de chiffrement ont été ajoutées avec la courbe elliptique pour déterminer la priorité de la courbe.

Gestion des courbes ECC Windows à l’aide de CertUtil

À compter de Windows 10 et de Windows Server 2016, Windows fournit une gestion des paramètres de courbe elliptique via l’utilitaire de ligne de commande certutil.exe. Les paramètres de courbe elliptique sont stockés dans le bcryptprimitives.dll. À l’aide de certutil.exe, les administrateurs peuvent ajouter et supprimer des paramètres de courbe dans et depuis Windows, respectivement. Certutil.exe stocke les paramètres de courbe en toute sécurité dans le Registre. Windows pouvez commencer à utiliser les paramètres de courbe par le nom associé à la courbe.

Affichage des courbes inscrites

Utilisez la commande certutil.exe suivante pour afficher une liste de courbes inscrites pour l’ordinateur actuel.

certutil.exe –displayEccCurve

Certutil display curves

Figure 1 Certutil.exe sortie pour afficher la liste des courbes inscrites.

Ajout d’une nouvelle courbe

Les organisations peuvent créer et utiliser des paramètres de courbe étudiés par d’autres entités approuvées. Les administrateurs souhaitant utiliser ces nouvelles courbes dans Windows doivent ajouter la courbe. Utilisez la commande certutil.exe suivante pour ajouter une courbe à l’ordinateur actuel :

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • L’argument curveName représente le nom de la courbe sous laquelle les paramètres de courbe ont été ajoutés.
  • L’argument curveParameters représente le nom de fichier d’un certificat qui contient les paramètres des courbes que vous souhaitez ajouter.
  • L’argument curveOid représente un nom de fichier d’un certificat qui contient l’OID des paramètres de courbe que vous souhaitez ajouter (facultatif).
  • L’argument curveType représente une valeur décimale de la courbe nommée du Registre des courbes nommées EC (facultatif).

Certutil add curves

Figure 2 Ajout d’une courbe à l’aide de certutil.exe.

Suppression d’une courbe précédemment ajoutée

Les administrateurs peuvent supprimer une courbe précédemment ajoutée à l’aide de la commande certutil.exe suivante :

Certutil.exe –deleteEccCurve curveName

Windows ne peut pas utiliser une courbe nommée après qu’un administrateur supprime la courbe de l’ordinateur.

Gestion des courbes ECC Windows à l’aide de stratégie de groupe

Les organisations peuvent distribuer des paramètres de courbe à l’entreprise, joint à un domaine, à l’ordinateur à l’aide de stratégie de groupe et de l’extension de Registre des préférences stratégie de groupe. Le processus de distribution d’une courbe est le suivant :

  1. Sur Windows 10 et Windows Server 2016, utilisez certutil.exe pour ajouter une nouvelle courbe nommée inscrite à Windows.

  2. À partir de ce même ordinateur, ouvrez la console de gestion stratégie de groupe (GPMC), créez un objet stratégie de groupe et modifiez-le.

  3. Accédez à Configuration ordinateur| Préférences| Windows Paramètres| Registre. Cliquez avec le bouton droit sur Registre. Pointez sur Nouveau et sélectionnez Élément de collection. Renommez l’élément de collection pour qu’il corresponde au nom de la courbe. Vous allez créer un élément de collection de Registre pour chaque clé de Registre sous HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configurez la collection de registre de préférence stratégie de groupe nouvellement créée en ajoutant un nouvel élément de Registre pour chaque valeur de Registre répertoriée sous HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Déployez l’objet stratégie de groupe contenant stratégie de groupe élément de collection de Registre sur Windows 10 et les ordinateurs Windows Server 2016 qui doivent recevoir les nouvelles courbes nommées.

    Screenshot of the Preferences tab of the Group Policy Management Editor.

    Figure 3 Utilisation des préférences de stratégie de groupe pour distribuer des courbes

Gestion de l’ordre ECC TLS

À compter de Windows 10 et Windows Server 2016, les paramètres de stratégie de groupe d’ordre des courbes ECC peuvent être utilisés pour configurer l’ordre de courbe ECC TLS par défaut. À l’aide d’ECC générique et de ce paramètre, les organisations peuvent ajouter leurs propres courbes nommées approuvées (approuvées pour une utilisation avec TLS) au système d’exploitation, puis ajouter ces courbes nommées au paramètre de priorité de courbe stratégie de groupe pour s’assurer qu’elles sont utilisées dans les futures liaisons TLS. Les nouvelles listes de priorité de courbe deviennent actives lors du prochain redémarrage après avoir reçu les paramètres de stratégie.

Screenshot of the EEC Curve Order dialog box.

Figure 4 Gestion de la priorité des courbes TLS à l’aide de stratégie de groupe