SSL en mode noyau
le mode noyau SSL a été introduit dans Windows Server 2003 avec Service Pack 1 (SP1) avec prise en charge limitée. pour les ordinateurs qui exécutent sur Windows Server 2003 avec SP1, une clé de registre doit être configurée pour activer le SSL de noyau. pour les ordinateurs s’exécutant sur Windows Server 2008 et Windows Vista, la prise en charge du mode noyau complet pour SSL est fournie.
Les sections suivantes décrivent la prise en charge SSL en mode noyau :
- Modes noyau SSL dans Windows Server 2003 avec SP1
- SSL en Mode noyau dans Windows Server 2008 et Windows Vista
Modes noyau SSL dans Windows Server 2003 avec SP1
dans Windows server 2003 avec SP1, l’API du serveur HTTP offre la possibilité d’exécuter la sécurité ssl en mode noyau (le mode utilisateur est ssl par défaut). La fonctionnalité en mode noyau améliore les performances SSL en déplaçant les opérations de chiffrement et de déchiffrement vers le noyau, réduisant ainsi le nombre de transitions entre le mode noyau et le mode utilisateur.
Les fonctionnalités suivantes ne sont pas prises en charge lorsque SSL est exécuté en mode noyau :
- Certificats clients
- Chiffrements RC2
- Le protocole PCT 1,0
- Les modifications de configuration de certificat de serveur requièrent un redémarrage du service HTTP
- Chiffrement en bloc et prise en charge du déchargement
Configuration du mode noyau SSL
Le mode noyau SSL est contrôlé par la valeur de Registre EnableKernelSSL et est activé en définissant la valeur sur 1. L’activation du mode noyau SSL désactive le mode utilisateur SSL et nécessite le redémarrage du service HTTP pour prendre effet. La clé de Registre EnableKernelSSL se trouve à l’emplacement suivant :
HKEY _ _ \ \ \ \ \ Paramètres http des services \ de CurrentControlSet de système d’ordinateur local EnableKernelSSL
SSL en Mode noyau dans Windows Server 2008 et Windows Vista
pour les ordinateurs qui exécutent sur Windows server 2008 et Windows Vista, l’API du serveur HTTP est dotée de fonctionnalités SSL améliorées.
Les nouvelles fonctionnalités suivantes sont prises en charge :
- Prise en charge complète des certificats clients en mode noyau SSL
- SSL en mode noyau pour toutes les transactions HTTP SSL
- Chiffrement en bloc et prise en charge du déchargement
- Le protocole PCT 1,0
- Chiffrements RC2
- Performances accrues par rapport au mode utilisateur SSL
Configuration
Le mode noyau SSL peut être configuré à l’aide de deux valeurs de Registre sous la clé des paramètres HTTP, à l’emplacement suivant :
HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
HTTP
Parameters
EnableSslCloseNotify
DisableSslCertChainCacheOnlyUrlRetrieval
Un utilisateur doit disposer des privilèges administrateur/système local pour modifier les valeurs de Registre et afficher ou modifier les fichiers journaux et le dossier qui les contient.
Les informations de configuration dans les valeurs de Registre sont lues lorsque le pilote de l’API du serveur HTTP est démarré. Par conséquent, si les paramètres sont modifiés, le pilote doit être arrêté et redémarré pour lire les nouvelles valeurs. Pour ce faire, vous pouvez utiliser les commandes de console suivantes :
net stop http
NET START http
Le tableau suivant répertorie les valeurs de configuration du Registre.
| Valeur de Registre | Description |
|---|---|
| EnableKernelSSL | Windows Server 2008 et Windows Vista : Cette valeur de Registre est obsolète. |
| EnableSslCloseNotify | Valeur DWORD qui a la valeur true pour activer Close-Notify ou false pour désactiver la spécification de fermeture-notification. Fermer-Notify est désactivé par défaut. Lorsque l’option fermer-notifier est activée, l’application cliente est requise pour envoyer un message de fermeture et de notification avant de fermer les connexions TCP. L’API du serveur HTTP envoie également une notification de fermeture avant de fermer la connexion. Lorsque l’option fermer-notifier est activée et que le client envoie un message de fermeture-notification, l’API du serveur HTTP réutilise la session SSL sur les connexions futures au client. Si le client n’envoie pas de fermeture-notification, l’API du serveur HTTP ne réutilisera pas la même session SSL sur les connexions futures. Par conséquent, une liaison SSL complète est déclenchée sur la nouvelle connexion, ce qui réduit les performances. [!Note] Lorsque la fermeture-notification est désactivée, l’API du serveur HTTP réutilise la session SSL pour les connexions ultérieures. |
| DisableSslCertChainCacheOnlyUrlRetrieval | Valeur DWORD définie sur true pour permettre à l’API du serveur http de récupérer des certificats intermédiaires à partir d’Internet ou du magasin local, ou false pour récupérer des certificats intermédiaires du magasin local uniquement. La valeur de Registre par défaut est false. Par défaut, l’API du serveur HTTP crée une chaîne de certificats client en récupérant les certificats intermédiaires dans le magasin de l’autorité de certification intermédiaire sous le compte de l’ordinateur local. Si cette valeur est définie sur true , l’API du serveur http récupère les certificats intermédiaires non seulement dans le magasin local, mais également à partir de l’autorité de certification intermédiaire sur Internet. |