トランスポート層セキュリティ (TLS) を管理するManage Transport Layer Security (TLS)

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows 10

TLS 暗号スイートの順序の構成Configuring TLS Cipher Suite Order

Windows のバージョンによって、さまざまな TLS 暗号スイートと優先順位がサポートされます。Different Windows versions support different TLS cipher suites and priority order. さまざまな Windows バージョンの Microsoft Schannel プロバイダーでサポートされている既定の順序については、「 TLS/SSL (SCHANNEL SSP) の暗号スイート 」を参照してください。See Cipher Suites in TLS/SSL (Schannel SSP) for the default order supported by the Microsoft Schannel Provider in different Windows versions.

注意

CNG 関数を使用して暗号スイートの一覧を変更することもできます。詳細については、「 Schannel Cipher suite の優先順位付け 」を参照してください。You can also modify the list of cipher suites by using CNG functions, see Prioritizing Schannel Cipher Suites for details.

TLS 暗号スイートの順序の変更は、次回の起動時に有効になります。Changes to the TLS cipher suite order will take effect on the next boot. 再起動またはシャットダウンまでは、既存の順序が有効になります。Until restart or shutdown, the existing order will be in effect.

警告

既定の優先順位順序のレジストリ設定の更新はサポートされていないため、サービス更新プログラムによってリセットされる可能性があります。Updating the registry settings for the default priority ordering is not supported and may be reset with servicing updates.

グループポリシーを使用した TLS 暗号スイートの順序の構成Configuring TLS Cipher Suite Order by using Group Policy

SSL 暗号スイートの順序グループポリシー設定を使用して、既定の TLS 暗号スイートの順序を構成できます。You can use the SSL Cipher Suite Order Group Policy settings to configure the default TLS cipher suite order.

  1. グループポリシー管理コンソールから、[コンピューターの 構成] 管理用テンプレート [ネットワーク] [SSL 構成の設定] の各ページにアクセス > > > します。From the Group Policy Management Console, go to Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.

  2. [ SSL 暗号スイートの順序] をダブルクリックし、[ 有効 ] オプションをクリックします。Double-click SSL Cipher Suite Order, and then click the Enabled option.

  3. [ SSL 暗号スイート ] を右クリックし、ポップアップメニューから [ すべて選択 ] を選択します。Right-click SSL Cipher Suites box and select Select all from the pop-up menu.

    グループ ポリシー設定

  4. 選択したテキストを右クリックし、ポップアップメニューから [ コピー ] を選択します。Right-click the selected text, and select copy from the pop-up menu.

  5. テキストを notepad.exe などのテキストエディターに貼り付け、新しい暗号スイートの順序の一覧を使用して更新します。Paste the text into a text editor such as notepad.exe and update with the new cipher suite order list.

    注意

    TLS 暗号スイートの順序一覧は、厳密なコンマ区切り形式である必要があります。The TLS cipher suite order list must be in strict comma delimited format. 各暗号スイート文字列は、右側のコンマ (,) で終わります。Each cipher suite string will end with a comma (,) to the right side of it.

    また、暗号スイートの一覧は、1023文字までに制限されています。Additionally, the list of cipher suites is limited to 1,023 characters.

  6. SSL 暗号スイート の一覧を更新された順序付きリストに置き換えます。Replace the list in the SSL Cipher Suites with the updated ordered list.

  7. [OK] または [適用] をクリックします。Click OK or Apply.

MDM を使用した TLS 暗号スイートの順序の構成Configuring TLS Cipher Suite Order by using MDM

Windows 10 ポリシー CSP は、TLS 暗号スイートの構成をサポートしています。The Windows 10 Policy CSP supports configuration of the TLS Cipher Suites. 詳細については 、「Cryptography/TLSCipherSuites 」を参照してください。See Cryptography/TLSCipherSuites for more information.

Tls PowerShell コマンドレットを使用した TLS 暗号スイートの順序の構成Configuring TLS Cipher Suite Order by using TLS PowerShell Cmdlets

TLS PowerShell モジュールでは、TLS 暗号スイートの順序付きリストの取得、暗号スイートの無効化、および暗号スイートの有効化をサポートしています。The TLS PowerShell module supports getting the ordered list of TLS cipher suites, disabling a cipher suite, and enabling a cipher suite. 詳細については、「 TLS モジュール 」を参照してください。See TLS Module for more information.

TLS ECC 曲線の順序の構成Configuring TLS ECC Curve Order

Windows 10 & Windows Server 2016 以降では、ECC 曲線の順序は、暗号スイートの順序とは別に構成できます。Beginning with Windows 10 & Windows Server 2016, ECC curve order can be configured independent of the cipher suite order. TLS 暗号スイートの順序リストに楕円曲線サフィックスがある場合は、新しい楕円曲線の優先順位 (有効な場合) によってオーバーライドされます。If the TLS cipher suite order list has elliptic curve suffixes, they will be overridden by the new elliptic curve priority order, when enabled. これにより、組織はグループポリシーオブジェクトを使用して、同じ暗号スイートの順序で異なるバージョンの Windows を構成することができます。This allow organizations to use a Group Policy object to configure different versions of Windows with the same cipher suites order.

注意

Windows 10 より前では、曲線の優先順位を決定するために、暗号スイート文字列が楕円曲線と共に追加されました。Prior to Windows 10, cipher suite strings were appended with the elliptic curve to determine the curve priority.

CertUtil を使用した Windows ECC 曲線の管理Managing Windows ECC curves using CertUtil

Windows 10 および windows Server 2016 以降では、コマンドラインユーティリティ certutil.exe を使用して、楕円曲線パラメーターを管理できます。Beginning with Windows 10 and Windows Server 2016, Windows provides elliptic curve parameter management through the command line utility certutil.exe. 楕円曲線のパラメーターは bcryptprimitives.dll に格納されます。Elliptic curve parameters are stored in the bcryptprimitives.dll. certutil.exe を使用すると、管理者は Windows との間で曲線パラメーターをそれぞれ追加および削除できます。Using certutil.exe, administrators can add and remove curve parameters to and from Windows, respectively. Certutil.exe は、曲線パラメーターをレジストリに安全に格納します。Certutil.exe stores the curve parameters securely in the registry. 曲線に関連付けられている名前によって、曲線パラメーターの使用を開始できます。Windows can begin using the curve parameters by the name associated with the curve.

登録された曲線の表示Displaying Registered Curves

次の certutil.exe コマンドを使用して、現在のコンピューターに登録されている曲線の一覧を表示します。Use the following certutil.exe command to display a list of curves registered for the current computer.

certutil.exe –displayEccCurve

Certutil の表示曲線

図 1 Certutil.exe、登録済みの曲線の一覧を表示するための出力です。Figure 1 Certutil.exe output to display the list of registered curves.

新しい曲線の追加Adding a New Curve

組織は、他の信頼されたエンティティによって調査された曲線パラメーターを作成して使用できます。Organizations can create and use curve parameters researched by other trusted entities. Windows でこれらの新しい曲線を使用する場合、管理者は曲線を追加する必要があります。Administrators wanting to use these new curves in Windows must add the curve. 現在のコンピューターに曲線を追加するには、次の certutil.exe コマンドを使用します。Use the following certutil.exe command to add a curve to current computer:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Curの ame 引数は、曲線パラメーターが追加された曲線の名前を表します。The curveName argument represents the name of the curve under which the curve parameters were added.
  • Curveparameters 引数は、追加する曲線のパラメーターを含む証明書のファイル名を表します。The curveParameters argument represents the filename of a certificate that contains the parameters of the curves you want to add.
  • Curveoid 引数は、追加する曲線パラメーターの OID を含む証明書のファイル名を表します (省略可能)。The curveOid argument represents a filename of a certificate that contains the OID of the curve parameters you want to add (optional).
  • Curvetype 引数は、 EC 名前付き曲線レジストリからの名前付き曲線の10進値を表します (省略可能)。The curveType argument represents a decimal value of the named curve from the EC Named Curve Registry (optional).

Certutil 曲線の追加

図 2 certutil.exe を使用して曲線を追加するFigure 2 Adding a curve using certutil.exe.

以前に追加した曲線の削除Removing a Previously Added Curve

管理者は、次の certutil.exe コマンドを使用して、以前に追加した曲線を削除できます。Administrators can remove a previously added curve using the following certutil.exe command:

Certutil.exe –deleteEccCurve curveName

管理者がコンピューターから曲線を削除した後、Windows で名前付き曲線を使用することはできません。Windows cannot use a named curve after an administrator removes the curve from computer.

グループポリシーを使用した Windows ECC 曲線の管理Managing Windows ECC curves using Group Policy

組織は、グループポリシーとグループポリシー設定のレジストリ拡張を使用して、企業、ドメインに参加しているコンピューター、およびユーザー設定のレジストリ拡張を使用して、曲線パラメーターを配布できます。Organizations can distribute curve parameters to enterprise, domain-joined, computer using Group Policy and the Group Policy Preferences Registry extension. 曲線を分散するプロセスは次のとおりです。The process for distributing a curve is:

  1. Windows 10 および Windows Server 2016 では、 certutil.exe を使用して、登録されている新しい名前付き曲線を windows に追加します。On Windows 10 and Windows Server 2016, use certutil.exe to add a new registered named curve to Windows.

  2. 同じコンピューターから、グループポリシー管理コンソール (GPMC) を開き、新しいグループポリシーオブジェクトを作成して編集します。From that same computer, Open the Group Policy Management Console (GPMC), create a new Group Policy object, and edit it.

  3. [コンピューターの構成] に移動します。 基本設定 |Windows の設定 |レジストリNavigate to Computer Configuration|Preferences|Windows Settings|Registry. [ レジストリ] を右クリックします。Right-click Registry. [ 新規 ] をポイントし、[ コレクションアイテム] を選択します。Hover over New and select Collection Item. 曲線の名前に一致するように、コレクションアイテムの名前を変更します。Rename the collection item to match the name of the curve. HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters の下で、レジストリキーごとに1つのレジストリコレクション項目を作成します。You'll create one Registry Collection item for each registry key under HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. [ HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[ cur] の下に一覧表示されている各レジストリ値に新しい レジストリ項目 を追加して、新しく作成されたグループポリシー基本設定レジストリコレクションを構成します。Configure the newly created Group Policy Preference Registry Collection by adding a new Registry Item for each registry value listed under HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. グループポリシーレジストリコレクション項目を含むグループポリシーオブジェクトを、新しい名前付き曲線を受け取る必要がある Windows 10 および Windows Server 2016 コンピューターに展開します。Deploy the Group Policy object containing Group Policy Registry Collection item to Windows 10 and Windows Server 2016 computers that should receive the new named curves.

    グループポリシー管理エディターの [設定] タブのスクリーンショット。

    図3曲線を配布するためのグループポリシーの設定の使用Figure 3 Using Group Policy Preferences to distribute curves

TLS ECC の順序を管理するManaging TLS ECC order

Windows 10 および Windows Server 2016 以降では、ECC 曲線の順序のグループポリシー設定を使用して、既定の TLS ECC 曲線の順序を構成できます。Beginning with Windows 10 and Windows Server 2016, ECC Curve Order group policy settings can be used configure the default TLS ECC Curve Order. この設定を使用すると、組織は、信頼された独自の名前付き曲線 (TLS で使用することが承認されています) をオペレーティングシステムに追加し、これらの名前付き曲線を曲線の優先順位グループポリシー設定に追加して、将来の TLS ハンドシェイクで使用されるようにすることができます。Using Generic ECC and this setting, organizations can add their own trusted named curves (that are approved for use with TLS) to the operating system and then add those named curves to the curve priority Group Policy setting to ensure they are used in future TLS handshakes. 新しい曲線の優先順位の一覧は、ポリシー設定の受信後、次回の再起動時にアクティブになります。New curve priority lists become active on the next reboot after receiving the policy settings.

[EEC 曲線の順序] ダイアログボックスのスクリーンショット。

図4グループポリシーを使用した TLS 曲線の優先順位の管理Figure 4 Managing TLS curve priority using Group Policy