トランスポート層セキュリティ (TLS) レジストリ設定Transport Layer Security (TLS) registry settings

適用対象:Windows Server 2019、Windows Server 2016、Windows 10 の Windows Server (半期チャネル)Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows 10

IT プロフェッショナル向けのこのリファレンス トピックには、トランスポート層セキュリティ (TLS) プロトコルと、Schannel セキュリティ サポートを通じて、Secure Sockets Layer (SSL) プロトコルの Windows 実装に対するサポートされているレジストリ設定の情報が含まれています。プロバイダー (SSP) です。This reference topic for the IT professional contains supported registry setting information for the Windows implementation of the Transport Layer Security (TLS) protocol and the Secure Sockets Layer (SSL) protocol through the Schannel Security Support Provider (SSP). レジストリ サブキーとエントリを管理し、Schannel SSP をトラブルシューティングするこのトピックに関するヘルプについて具体的には、TLS と SSL プロトコル。The registry subkeys and entries covered in this topic help you administer and troubleshoot the Schannel SSP, specifically the TLS and SSL protocols.

注意事項

この情報は、トラブルシューティングを行うとき、または必要な設定が適用されていることを確認するときに参照してください。This information is provided as a reference to use when you are troubleshooting or verifying that the required settings are applied. 他の手段がない限り、レジストリは直接編集しないことをお勧めします。We recommend that you do not directly edit the registry unless there is no other alternative. レジストリに対する変更は、レジストリ エディターまたは Windows オペレーティング システムによる検証は行われずに適用されます。Modifications to the registry are not validated by the Registry Editor or by the Windows operating system before they are applied. このため、不適切な値が設定される場合があり、これにより回復不能なシステム エラーが発生することがあります。As a result, incorrect values can be stored, and this can result in unrecoverable errors in the system. 可能な場合は、レジストリを直接編集するのではなく、グループ ポリシー、Microsoft 管理コンソール (MMC) などの Windows ツールを使用して作業を行います。When possible, instead of editing the registry directly, use Group Policy or other Windows tools such as the Microsoft Management Console (MMC) to accomplish tasks. レジストリを編集する必要がある場合は、細心の注意が必要です。If you must edit the registry, use extreme caution.

CertificateMappingMethodsCertificateMappingMethods

既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は以下に示す 4 つの証明書マッピング メソッドで、このメソッドすべてがサポートされています。The default value is that all four certificate mapping methods, listed below, are supported.

サーバー アプリケーションにクライアント認証が必要な場合、Schannel は、クライアント コンピューターによって指定された証明書をユーザー アカウントに自動的にマップしようとします。When a server application requires client authentication, Schannel automatically attempts to map the certificate that is supplied by the client computer to a user account. クライアント証明書を使用してサインインするユーザーを認証するには、マッピングを作成します。これにより、証明書の情報が Windows ユーザー アカウントに関連付けられます。You can authenticate users who sign in with a client certificate by creating mappings, which relate the certificate information to a Windows user account. 証明書のマッピングを作成して有効にすると、そのユーザーは、クライアントがクライアント証明書を提示するたびに、サーバー アプリケーションによって適切な Windows ユーザー アカウントに自動的に関連付けられます。After you create and enable a certificate mapping, each time a client presents a client certificate, your server application automatically associates that user with the appropriate Windows user account.

ほとんどの場合、証明書は次の 2 つの方法のいずれかでユーザー アカウントにマップされます。In most cases, a certificate is mapped to a user account in one of two ways:

  • 1 つの証明書が 1 つのユーザー アカウントにマップされる (1 対 1 のマッピング)A single certificate is mapped to a single user account (one-to-one mapping).
  • 複数の証明書が 1 つのユーザー アカウントにマップされる (多対 1 のマッピング)Multiple certificates are mapped to one user account (many-to-one mapping).

既定では、Schannel プロバイダーは、4 つの証明書マッピング メソッドを次の優先順位で使用します。By default, the Schannel provider will use the following four certificate mapping methods, listed in order of preference:

  1. Kerberos service-for-user (S4U) 証明書マッピングKerberos service-for-user (S4U) certificate mapping
  2. ユーザー プリンシパル名マッピングUser principal name mapping
  3. 1 対 1 のマッピング (サブジェクト/発行者マッピングとも呼ばれます)One-to-one mapping (also known as subject/issuer mapping)
  4. 多対 1 のマッピングMany-to-one mapping

適用可能なバージョン:このトピックの最初に示した「適用先」を参照。Applicable versions: As designated in the Applies To list that is at the beginning of this topic.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

CiphersCiphers

TLS/SSL 暗号は、暗号の順位を構成することで制御する必要があります。TLS/SSL ciphers should be controlled by configuring the cipher suite order. 詳細については、次を参照してください。構成 TLS 暗号の順位します。For details, see Configuring TLS Cipher Suite Order.

Schannel SSP で使用される既定の暗号スイートの順序については、次を参照してください。 in TLS/SSL (Schannel SSP) 暗号スイートします。For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

CipherSuitesCipherSuites

TLS/SSL 暗号の構成を行う必要があるグループ ポリシーを MDM または PowerShell を使用して参照してくださいTLS 暗号スイートの順序の構成詳細についてはします。Configuring TLS/SSL cipher suites should be done using group policy, MDM or PowerShell, see Configuring TLS Cipher Suite Order for details.

Schannel SSP で使用される既定の暗号スイートの順序については、次を参照してください。 in TLS/SSL (Schannel SSP) 暗号スイートします。For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

ClientCacheTimeClientCacheTime

このエントリは、クライアント側のキャッシュ エントリの有効期限が切れるまでのオペレーティング システムの時間をミリ秒単位で制御します。This entry controls the amount of time that the operating system takes in milliseconds to expire client-side cache entries. 値 0 の場合、セキュリティで保護された接続のキャッシュが無効になります。A value of 0 turns off secure-connection caching. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default.

クライアントが初めて Schannel SSP 経由でサーバーに接続すると、フル TLS/SSL ハンドシェイクが実行されます。The first time a client connects to a server through the Schannel SSP, a full TLS/SSL handshake is performed. これが完了すると、マスター シークレット、暗号スイート、および証明書は、クライアントおよびサーバーそれぞれのセッション キャッシュに格納されます。When this is complete, the master secret, cipher suite, and certificates are stored in the session cache on the respective client and server.

Windows Server 2008 および Windows Vista 以降、既定のクライアント キャッシュ時間は、10 時間です。Beginning with Windows Server 2008 and Windows Vista, the default client cache time is 10 hours.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

既定のクライアント キャッシュ時間Default client cache time

EnableOcspStaplingForSniEnableOcspStaplingForSni

オンライン証明書状態プロトコル (OCSP) のホチキス止めなどインターネット インフォメーション サービス (IIS)、サーバー証明書を TLS ハンドシェイク中に、クライアントに送信するときにサーバー証明書の現在の失効状態を提供する、web サーバーを使用できます。Online Certificate Status Protocol (OCSP) stapling enables a web server, such as Internet Information Services (IIS), to provide the current revocation status of a server certificate when it sends the server certificate to a client during the TLS handshake. この機能は、web サーバーはサーバー証明書の現在の OCSP の状態をキャッシュでき、複数の web クライアントに送信するために、OCSP サーバーの負荷を短縮します。This feature reduces the load on OCSP servers because the web server can cache the current OCSP status of the server certificate and send it to multiple web clients. 各 web クライアントが、この機能を使用せずには、OCSP サーバーからサーバー証明書の現在の OCSP の状態を取得してみてください。Without this feature, each web client would try to retrieve the current OCSP status of the server certificate from the OCSP server. これは、OCSP サーバー上の高負荷を生成します。This would generate a high load on that OCSP server.

だけでなく、IIS web サービスは、http.sys をしてからこの設定は、Active Directory フェデレーション サービス (AD FS) など、Web アプリケーション プロキシ (WAP) も効果的です。In addition to IIS, web services over http.sys can also benefit from this setting, including Active Directory Federation Services (AD FS) and Web Application Proxy (WAP).

既定では、単純なセキュリティで保護された (SSL/TLS) バインドを持つ IIS の web サイトの OCSP のサポートが有効にします。By default, OCSP support is enabled for IIS websites that have a simple secure (SSL/TLS) binding. ただし、このサポートが有効になっていません既定では、IIS web サイトがセキュリティで保護された (SSL/TLS) バインドの種類は次の一方または両方を使用する場合。However, this support is not enabled by default if the IIS website is using either or both of the following types of secure (SSL/TLS) bindings:

  • Server Name Indication が必要Require Server Name Indication
  • 集中証明書ストアを使用するUse Centralized Certificate Store

この場合は、TLS ハンドシェイク中に server こんにちはの応答は含まれませんホチキス止め OCSP の状態は既定では。In this case, the server hello response during the TLS handshake won't include an OCSP stapled status by default. この動作は、パフォーマンスが向上します。Windows OCSP ホチキス止めの実装は、何百ものサーバー証明書にスケールされます。This behavior improves performance: The Windows OCSP stapling implementation scales to hundreds of server certificates. SNI と CCS 何千もを何千ものサーバー証明書を持つ可能性のある web サイトの IIS を有効にする、ために、既定で有効にするには、この動作を設定とパフォーマンスの問題が発生する可能性があります。Because SNI and CCS enable IIS to scale to thousands of websites that potentially have thousands of server certificates, setting this behavior to be enabled by default may cause performance issues.

適用可能なバージョン:Windows Server 2012 および Windows 8 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

レジストリ パス: [hkey_local_machine \system\currentcontrolset\control\securityproviders\schannel]Registry path: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

次のキーを追加します。Add the following key:

"EnableOcspStaplingForSni"= dword:00000001"EnableOcspStaplingForSni"=dword:00000001

を無効にするには、DWORD 値を 0 に設定します。To disable, set the DWORD value to 0:

"EnableOcspStaplingForSni"dword:00000000 を ="EnableOcspStaplingForSni"=dword:00000000

注意

このレジストリ キーを有効にするには、潜在的なパフォーマンスに影響があります。Enabling this registry key has a potential performance impact.

FIPSAlgorithmPolicyFIPSAlgorithmPolicy

このエントリは、連邦情報処理規格 (FIPS) コンプライアンスを制御します。This entry controls Federal Information Processing (FIPS) compliance. 既定値は 0 です。The default is 0.

適用可能なバージョン:Windows Server 2012 および Windows 8 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\LSARegistry path: HKLM SYSTEM\CurrentControlSet\Control\LSA

Windows Server FIPS 暗号スイート:参照してくださいSchannel SSP の暗号スイートとプロトコルをサポートされているします。Windows Server FIPS cipher suites: See Supported Cipher Suites and Protocols in the Schannel SSP.

HashesHashes

TLS/SSL ハッシュ アルゴリズムは、暗号の順位を構成することで制御する必要があります。TLS/SSL hash algorithms should be controlled by configuring the cipher suite order. 参照してください構成 TLS 暗号の順位詳細についてはします。See Configuring TLS Cipher Suite Order for details.

IssuerCacheSizeIssuerCacheSize

このエントリは、発行者のキャッシュのサイズを制御し、発行者のマッピングで使用されます。This entry controls the size of the issuer cache, and it is used with issuer mapping. Schannel SSP は、クライアント証明書の直接の発行者だけでなく、クライアントの証明書チェーンに含まれるすべての発行者をマップしようとします。The Schannel SSP attempts to map all of the issuers in the client’s certificate chain—not only the direct issuer of the client certificate. 発行者は、通常、アカウントにはマップされていませんが、その場合、サーバーは同じ発行者名を繰り返しマップしようとすることがあり、その回数は 1 秒あたり数百回に及びます。When the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

これを回避するために、サーバーにはネガティブ キャッシュが用意されており、発行者名がアカウントにマップされていないと、その発行者はキャッシュに追加されます。Schannel SSP は、キャッシュ エントリの有効期限が切れるまで、この発行者名をマップしません。To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. このレジストリ エントリは、キャッシュ サイズを指定します。This registry entry specifies the cache size. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は 100 です。The default value is 100.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

IssuerCacheTimeIssuerCacheTime

このエントリは、キャッシュ タイムアウト間隔をミリ秒単位で制御します。This entry controls the length of the cache timeout interval in milliseconds. Schannel SSP は、クライアント証明書の直接の発行者だけでなく、クライアントの証明書チェーンに含まれるすべての発行者をマップしようとします。The Schannel SSP attempts to map all of the issuers in the client’s certificate chain—not only the direct issuer of the client certificate. 発行者は、通常、アカウントにはマップされていませんが、その場合、サーバーは同じ発行者名を繰り返しマップしようとすることがあり、その回数は 1 秒あたり数百回に及びます。In the case where the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

これを回避するために、サーバーにはネガティブ キャッシュが用意されており、発行者名がアカウントにマップされていないと、その発行者はキャッシュに追加されます。Schannel SSP は、キャッシュ エントリの有効期限が切れるまで、この発行者名をマップしません。To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. パフォーマンス上の理由から、このキャッシュは保持されるため、同じ発行者はマップされなくなります。This cache is kept for performance reasons, so that the system does not continue trying to map the same issuers. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は 10 分です。The default value is 10 minutes.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

KeyExchangeAlgorithm - クライアント RSA キー サイズKeyExchangeAlgorithm - Client RSA key sizes

このエントリは、クライアントの RSA キー サイズを制御します。This entry controls the client RSA key sizes.

キー交換アルゴリズムの使用は、暗号の順位を構成することで制御する必要があります。Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Windows 10 バージョン 1507、Windows Server 2016 で追加します。Added in Windows 10, version 1507 and Windows Server 2016.

レジストリ パス:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCSRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS

TLS クライアントの最低限サポートされている範囲の RSA キーのビット長を指定するには、作成、 ClientMinKeyBitLengthエントリ。To specify a minimum supported range of RSA key bit length for the TLS client, create a ClientMinKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成しなかった場合、1024 ビットが最小になります。If not configured, 1024 bits will be the minimum.

TLS クライアントの最大サポートされている範囲の RSA キーのビット長を指定するには、作成、 ClientMaxKeyBitLengthエントリ。To specify a maximum supported range of RSA key bit length for the TLS client, create a ClientMaxKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、最大は適用されません。If not configured, then a maximum is not enforced.

KeyExchangeAlgorithm - Diffie-hellman キーのサイズKeyExchangeAlgorithm - Diffie-Hellman key sizes

このエントリは、Diffie-hellman キーのサイズを制御します。This entry controls the Diffie-Hellman key sizes.

キー交換アルゴリズムの使用は、暗号の順位を構成することで制御する必要があります。Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Windows 10 バージョン 1507、Windows Server 2016 で追加します。Added in Windows 10, version 1507 and Windows Server 2016.

レジストリ パス:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-HellmanRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

TLS クライアントの最低限サポートされている範囲の 1 つの Helman キーのビット長を指定するには、作成、 ClientMinKeyBitLengthエントリ。To specify a minimum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMinKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成しなかった場合、1024 ビットが最小になります。If not configured, 1024 bits will be the minimum.

TLS クライアントの最大サポートされている範囲の 1 つの Helman キーのビット長を指定するには、作成、 ClientMaxKeyBitLengthエントリ。To specify a maximum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMaxKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、最大は適用されません。If not configured, then a maximum is not enforced.

TLS サーバーの既定値の 1 つ Helman キー ビット長を指定するには、作成、 ServerMinKeyBitLengthエントリ。To specify the Diffie-Helman key bit length for the TLS server default, create a ServerMinKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成しなかった場合、2048 ビットは既定値になります。If not configured, 2048 bits will be the default.

MaximumCacheSizeMaximumCacheSize

このエントリは、キャッシュ要素の最大数を制御します。This entry controls the maximum number of cache elements. MaximumCacheSize を 0 に設定すると、サーバー側のセッション キャッシュが無効になり、再接続できなくなります。Setting MaximumCacheSize to 0 disables the server-side session cache and prevents reconnection. 前の MaximumCacheSize を増やすと、既定値によって Lsass.exe が消費するメモリ量が多くなります。Increasing MaximumCacheSize above the default values causes Lsass.exe to consume additional memory. 通常、各セッション キャッシュ要素には、2 ~ 4 KB のメモリが必要です。Each session-cache element typically requires 2 to 4 KB of memory. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は、20,000 要素です。The default value is 20,000 elements.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

– メッセージ フラグメントの解析Messaging – fragment parsing


このエントリは、最大許容される断片化の TLS ハンドシェイク メッセージのサイズを制御します。This entry controls the maximum allowed size of fragmented TLS handshake messages that will be accepted. 許可されているサイズを超えるメッセージは受け入れられません、TLS ハンドシェイクが失敗します。Messages larger than the allowed size will not be accepted and the TLS handshake will fail. これらのエントリのレジストリに既定ではありません。These entries do not exist in the registry by default.

値を 0x0 に設定すると断片化されたメッセージは処理されず、TLS ハンドシェイクが失敗すると、します。When you set the value to 0x0, fragmented messages are not processed and will cause the TLS handshake to fail. これにより、TLS クライアントまたはサーバーの現在のコンピューター、TLS の Rfc に準拠します。This makes TLS clients or servers on the current machine non-compliant with the TLS RFCs.

最大許容サイズを大きくできる最大 2 ^24-1 バイトです。The maximum allowed size can be increased up to 2^24-1 bytes. お勧めでありの各セキュリティ コンテキストの追加のメモリを消費する、クライアントまたはサーバーを読み取り、大量のネットワークからの未検証のデータを格納することができます。Allowing a client or server to read and store large amounts of unverified data from the network is not a good idea and will consume additional memory for each security context.

7 および Windows Server 2008 R2、Windows で追加します。Added in Windows 7 and Windows Server 2008 R2. Windows XP、Windows Vista、または断片化した TLS/SSL ハンドシェイク メッセージを解析する Windows Server 2008 の Internet Explorer を使用する更新プログラムは使用できます。An update that enables Internet Explorer in Windows XP, in Windows Vista, or in Windows Server 2008 to parse fragmented TLS/SSL handshake messages is available.

レジストリ パス:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\MessagingRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging

TLS クライアントが受け入れる断片化の TLS ハンドシェイク メッセージのサイズの上限を指定するには、作成、 MessageLimitClientエントリ。To specify a maximum allowed size of fragmented TLS handshake messages that the TLS client will accept, create a MessageLimitClient entry. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成しなかった場合、既定値は 0x8000 バイトになります。If not configured, the default value will be 0x8000 bytes.

クライアント認証がない場合、TLS サーバーが受け入れる断片化の TLS ハンドシェイク メッセージのサイズの上限を指定するには、作成、 MessageLimitServerエントリ。To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is no client authentication, create a MessageLimitServer entry. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成しなかった場合、既定値は 0x4000 バイトになります。If not configured, the default value will be 0x4000 bytes.

クライアント認証がある場合に、TLS サーバーが受け入れる断片化の TLS ハンドシェイク メッセージのサイズの上限を指定するには、作成、 MessageLimitServerClientAuthエントリ。To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is client authentication, create a MessageLimitServerClientAuth entry. エントリを作成した後は、必要なビット長を DWORD 値を変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成しなかった場合、既定値は 0x8000 バイトになります。If not configured, the default value will be 0x8000 bytes.

SendTrustedIssuerListSendTrustedIssuerList

このエントリは、信頼された発行者一覧の送信時に使用されるフラグを制御します。This entry controls the flag that is used when the list of trusted issuers is sent. クライアント認証に対して数百の証明機関を信頼しているサーバーの場合、発行者が多すぎて、そのサーバーは、クライアント認証を要求するときに、発行者の一部をクライアント コンピューターに送信できません。In the case of servers that trust hundreds of certification authorities for client authentication, there are too many issuers for the server to be able to send them all to the client computer when requesting client authentication. このレジストリ キーは、この状況で設定できます。これにより、Schannel SSP は部分的な一覧を送信するのではなく、まったく送信しなくなります。In this situation, this registry key can be set, and instead of sending a partial list, the Schannel SSP will not send any list to the client.

信頼された発行者の一覧を送信しないと、クライアント証明書が要求されたときにクライアントが送信する内容に影響する可能性があります。Not sending a list of trusted issuers might impact what the client sends when it is asked for a client certificate. たとえば、Internet Explorer がクライアント認証要求を受信するときに表示されるのは、サーバーによって送信された証明機関のいずれかにチェーンでつながっているクライアント証明書のみです。For example, when Internet Explorer receives a request for client authentication, it only displays the client certificates that chain up to one of the certification authorities that is sent by the server. サーバーが一覧を送信しなかった場合、Internet Explorer には、クライアントにインストールされているすべてのクライアントの証明書が表示されます。If the server did not send a list, Internet Explorer displays all of the client certificates that are installed on the client.

この動作が望ましいことがあります。This behavior might be desirable. たとえば、PKI 環境にクロス証明書が含まれる場合、クライアント証明書とサーバーの証明書のルート CA は同じではありません。したがって、Internet Explorer は、サーバーの CA のいずれかにチェーンでつながっている証明書を選択できません。For example, when PKI environments include cross certificates, the client and server certificates will not have the same root CA; therefore, Internet Explorer cannot chose a certificate that chains up to one of the server’s CAs. 信頼された発行者の一覧を送信しないようにサーバーを構成すると、Internet Explorer はその証明書すべてを送信します。By configuring the server to not send a trusted issuer list, Internet Explorer will send all its certificates.

既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default.

既定の信頼された発行者の一覧の送信動作Default Send Trusted Issuer List behavior

Windows のバージョンWindows version 時間Time
Windows Server 2012 および Windows 8 以降Windows Server 2012 and Windows 8 and later FALSEFALSE
Windows Server 2008 R2 および Windows 7 およびそれ以前Windows Server 2008 R2 and Windows 7 and earlier TRUETRUE

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ServerCacheTimeServerCacheTime

このエントリは、サーバー側のキャッシュ エントリの有効期限が切れるまでのオペレーティング システムの時間をミリ秒単位で制御します。This entry controls the amount of time in milliseconds that the operating system takes to expire server-side cache entries. 値を 0 に設定すると、サーバー側のセッション キャッシュが無効になり、再接続できなくなります。A value of 0 disables the server-side session cache and prevents reconnection. 前の ServerCacheTime を増やすと、既定値によって Lsass.exe が消費するメモリ量が多くなります。Increasing ServerCacheTime above the default values causes Lsass.exe to consume additional memory. 通常、各セッション キャッシュ要素には、2 ~ 4 KB のメモリが必要です。Each session cache element typically requires 2 to 4 KB of memory. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

既定のサーバー キャッシュ時間:10 時間Default server cache time: 10 hours

SSL 2.0SSL 2.0

このサブキーは、SSL 2.0 の使用を制御します。This subkey controls the use of SSL 2.0.

SSL 2.0 は以降、Windows 10、バージョン 1607 および Windows Server 2016 が削除され、現在サポートされていません。Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 2.0 has been removed and is no longer supported. SSL 2.0 を既定の設定では、次を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For a SSL 2.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

SSL 2.0 プロトコルを有効にするには作成、有効クライアントまたはサーバーのいずれかのサブキーを次の表に示すように入力します。To enable the SSL 2.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

SSL 2.0 サブキーの表SSL 2.0 subkey table

サブキーSubkey 説明Description
クライアントClient SSL クライアントで SSL 2.0 の使用を制御します。Controls the use of SSL 2.0 on the SSL client.
ServerServer SSL のサーバーで SSL 2.0 の使用を制御します。Controls the use of SSL 2.0 on the SSL server.

SSL 2.0 のクライアントまたはサーバーを無効にするには、DWORD 値を 0 に変更します。To disable SSL 2.0 for client or server, change the DWORD value to 0. SSL 2.0 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use SSL 2.0, it will be denied.

SSL 2.0 を既定で無効にして、作成、 DisabledByDefaultエントリと変更、DWORD の値を 1 にします。To disable SSL 2.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI のアプリ明示的 SSL 2.0 を使用する場合、ネゴシエートされる場合があります。If an SSPI app explcitly requests to use SSL 2.0, it may be negotiated.

SSL 2.0 のレジストリで無効になっている、次の例です。The following example shows SSL 2.0 disabled in the registry:

SSL 2.0 を無効になっています

SSL 3.0SSL 3.0

このサブキーは、SSL 3.0 の使用を制御します。This subkey controls the use of SSL 3.0.

以降、Windows 10、バージョン 1607 および Windows Server 2016 では、SSL 3.0 は、既定で無効されています。Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 3.0 has been disabled by default. SSL 3.0 の既定の設定を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For SSL 3.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

SSL 3.0 プロトコルを有効にするには作成、有効クライアントまたはサーバーのいずれかのサブキーを次の表に示すように入力します。To enable the SSL 3.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table.
既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

SSL 3.0 サブキーの表SSL 3.0 subkey table

サブキーSubkey 説明Description
クライアントClient SSL クライアントで SSL 3.0 の使用を制御します。Controls the use of SSL 3.0 on the SSL client.
ServerServer SSL のサーバーで SSL 3.0 の使用を制御します。Controls the use of SSL 3.0 on the SSL server.

をクライアントまたはサーバーの SSL 3.0 を無効にするには、DWORD 値を 0 に変更します。To disable SSL 3.0 for client or server, change the DWORD value to 0. SSL 3.0 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use SSL 3.0, it will be denied.

既定で SSL 3.0 を無効にして、作成、 DisabledByDefaultエントリと変更、DWORD 値 1 をします。To disable SSL 3.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSL 3.0 を使用する SSPI アプリケーションが明示的に要求している場合はネゴシエート可能性があります。If an SSPI app explicitly requests to use SSL 3.0, it may be negotiated.

SSL 3.0 がレジストリで無効になっている、次の例です。The following example shows SSL 3.0 disabled in the registry:

SSL 3.0 を無効になっています

TLS 1.0TLS 1.0

このサブキーは、TLS 1.0 の使用を制御します。This subkey controls the use of TLS 1.0.

TLS 1.0 の既定の設定を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For TLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.0 プロトコルを有効にするのには、作成、有効クライアントまたはサーバーのいずれかのサブキーの次の表に示すエントリ。To enable the TLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

TLS 1.0 サブキーの表TLS 1.0 subkey table

サブキーSubkey 説明Description
クライアントClient TLS クライアントで TLS 1.0 の使用を制御します。Controls the use of TLS 1.0 on the TLS client.
ServerServer TLS サーバーで TLS 1.0 の使用を制御します。Controls the use of TLS 1.0 on the TLS server.

TLS 1.0 クライアントまたはサーバーを無効にするには、DWORD 値を 0 に変更します。To disable TLS 1.0 for client or server, change the DWORD value to 0. TLS 1.0 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use TLS 1.0, it will be denied.

を既定で TLS 1.0 を無効にするのには、作成、 DisabledByDefaultエントリと変更、DWORD の値を 1 にします。To disable TLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリは、TLS 1.0 を使用して明示的に要求している場合はネゴシエート可能性があります。If an SSPI app explicitly requests to use TLS 1.0, it may be negotiated.

次の例は、レジストリで無効になっている TLS 1.0 を示しています。The following example shows TLS 1.0 disabled in the registry:

TLS 1.0 を無効になっています

TLS 1.1TLS 1.1

このサブキーは、TLS 1.1 の使用を制御します。This subkey controls the use of TLS 1.1.

TLS 1.1 の既定の設定を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For TLS 1.1 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.1 プロトコルを有効にするのには、作成、有効クライアントまたはサーバーのいずれかのサブキーの次の表に示すエントリ。To enable the TLS 1.1 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

TLS 1.1 サブキーの表TLS 1.1 subkey table

サブキーSubkey 説明Description
クライアントClient TLS クライアントで TLS 1.1 の使用を制御します。Controls the use of TLS 1.1 on the TLS client.
ServerServer TLS サーバーで TLS 1.1 の使用を制御します。Controls the use of TLS 1.1 on the TLS server.

TLS 1.1 クライアントまたはサーバーを無効にするには、DWORD 値を 0 に変更します。To disable TLS 1.1 for client or server, change the DWORD value to 0. TLS 1.1 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use TLS 1.1, it will be denied.

を既定で TLS 1.1 を無効にするのには、作成、 DisabledByDefaultエントリと変更、DWORD の値を 1 にします。To disable TLS 1.1 by default, create a DisabledByDefault entry and change the DWORD value to 1. TLS 1.1 を使用する SSPI アプリケーションが明示的に要求している場合はネゴシエート可能性があります。If an SSPI app explicitly requests to use TLS 1.1, it may be negotiated.

次の例は、レジストリで無効になっている TLS 1.1 を示しています。The following example shows TLS 1.1 disabled in the registry:

TLS 1.1 が無効になっています

TLS 1.2TLS 1.2

このサブキーは、TLS 1.2 の使用を制御します。This subkey controls the use of TLS 1.2.

TLS 1.2 の既定の設定を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For TLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.2 プロトコルを有効にするのには、作成、有効クライアントまたはサーバーのいずれかのサブキーの次の表に示すエントリ。To enable the TLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

TLS 1.2 サブキーの表TLS 1.2 subkey table

サブキーSubkey 説明Description
クライアントClient TLS クライアントで TLS 1.2 の使用を制御します。Controls the use of TLS 1.2 on the TLS client.
ServerServer TLS サーバーで TLS 1.2 の使用を制御します。Controls the use of TLS 1.2 on the TLS server.

TLS 1.2 クライアントまたはサーバーを無効にするには、DWORD 値を 0 に変更します。To disable TLS 1.2 for client or server, change the DWORD value to 0. TLS 1.2 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use TLS 1.2, it will be denied.

TLS 1.2 を既定で無効にするのには、作成、 DisabledByDefaultエントリと変更、DWORD の値を 1 にします。To disable TLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. TLS 1.2 を使用する SSPI アプリケーションが明示的に要求している場合はネゴシエート可能性があります。If an SSPI app explicitly requests to use TLS 1.2, it may be negotiated.

次の例は、レジストリで無効になっている TLS 1.2 を示しています。The following example shows TLS 1.2 disabled in the registry:

TLS 1.2 が無効になっています

DTLS 1.0DTLS 1.0

このサブキーは、DTLS 1.0 の使用を制御します。This subkey controls the use of DTLS 1.0.

DTLS 1.0 の既定の設定を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For DTLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

DTLS 1.0 プロトコルを有効にするのには、作成、有効クライアントまたはサーバーのいずれかのサブキーの次の表に示すエントリ。To enable the DTLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

DTLS 1.0 サブキーの表DTLS 1.0 subkey table

サブキーSubkey 説明Description
クライアントClient DTLS クライアントで DTLS 1.0 の使用を制御します。Controls the use of DTLS 1.0 on the DTLS client.
ServerServer DTLS サーバーで DTLS 1.0 の使用を制御します。Controls the use of DTLS 1.0 on the DTLS server.

DTLS 1.0 クライアントまたはサーバーを無効にするには、DWORD 値を 0 に変更します。To disable DTLS 1.0 for client or server, change the DWORD value to 0. DTLS 1.0 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use DTLS 1.0, it will be denied.

DTLS 1.0 を既定で無効にするのには、作成、 DisabledByDefaultエントリと変更、DWORD の値を 1 にします。To disable DTLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. DTLS 1.0 を使用する SSPI アプリケーションが明示的に要求している場合はネゴシエート可能性があります。If an SSPI app explicitly requests to use DTLS 1.0, it may be negotiated.

次の例は、レジストリで無効になっている DTLS 1.0 を示しています。The following example shows DTLS 1.0 disabled in the registry:

DTLS 1.0 を無効になっています

DTLS 1.2DTLS 1.2

このサブキーは、DTLS 1.2 の使用を制御します。This subkey controls the use of DTLS 1.2.

DTLS 1.2 の既定の設定を参照してください。 in TLS/SSL (Schannel SSP) プロトコルします。For DTLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリ パス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

DTLS 1.2 プロトコルを有効にするのには、作成、有効クライアントまたはサーバーのいずれかのサブキーの次の表に示すエントリ。To enable the DTLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後は、DWORD 値を 1 に変更します。After you have created the entry, change the DWORD value to 1.

DTLS 1.2 サブキーの表DTLS 1.2 subkey table

サブキーSubkey 説明Description
クライアントClient DTLS クライアントで DTLS 1.2 の使用を制御します。Controls the use of DTLS 1.2 on the DTLS client.
ServerServer DTLS サーバーで DTLS 1.2 の使用を制御します。Controls the use of DTLS 1.2 on the DTLS server.

DTLS 1.2 クライアントまたはサーバーを無効にするには、DWORD 値を 0 に変更します。To disable DTLS 1.2 for client or server, change the DWORD value to 0. DTLS 1.0 を使用する SSPI アプリが要求している場合は拒否されます。If an SSPI app requests to use DTLS 1.0, it will be denied.

DTLS 1.2 を既定で無効にするのには、作成、 DisabledByDefaultエントリと変更、DWORD の値を 1 にします。To disable DTLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. DTLS 1.2 を使用する SSPI アプリケーションが明示的に要求している場合はネゴシエート可能性があります。If an SSPI app explicitly requests to use DTLS 1.2, it may be negotiated.

次の例は、レジストリで無効になっている DTLS 1.1 を示しています。The following example shows DTLS 1.1 disabled in the registry:

DTLS 1.1 が無効になっています