トランスポート層セキュリティ (TLS) のレジストリ設定Transport Layer Security (TLS) registry settings

適用対象:Windows Server (半期チャネル)、Windows Server 2019、Windows Server 2016、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows 10

IT プロフェッショナル向けのこのリファレンストピックでは、Schannel セキュリティサポートを通じて、トランスポート層セキュリティ (TLS) プロトコルと Secure Sockets Layer (SSL) プロトコルの Windows 実装でサポートされているレジストリ設定情報を示します。プロバイダー (SSP)。This reference topic for the IT professional contains supported registry setting information for the Windows implementation of the Transport Layer Security (TLS) protocol and the Secure Sockets Layer (SSL) protocol through the Schannel Security Support Provider (SSP). このトピックで説明するレジストリサブキーとエントリは、Schannel SSP、特に TLS および SSL プロトコルの管理とトラブルシューティングに役立ちます。The registry subkeys and entries covered in this topic help you administer and troubleshoot the Schannel SSP, specifically the TLS and SSL protocols.

注意事項

この情報は、トラブルシューティングを行うとき、または必要な設定が適用されていることを確認するときに参照してください。This information is provided as a reference to use when you are troubleshooting or verifying that the required settings are applied. 他の手段がない限り、レジストリは直接編集しないことをお勧めします。We recommend that you do not directly edit the registry unless there is no other alternative. レジストリに対する変更は、レジストリ エディターまたは Windows オペレーティング システムによる検証は行われずに適用されます。Modifications to the registry are not validated by the Registry Editor or by the Windows operating system before they are applied. このため、不適切な値が設定される場合があり、これにより回復不能なシステム エラーが発生することがあります。As a result, incorrect values can be stored, and this can result in unrecoverable errors in the system. 可能な場合は、レジストリを直接編集するのではなく、グループ ポリシー、Microsoft 管理コンソール (MMC) などの Windows ツールを使用して作業を行います。When possible, instead of editing the registry directly, use Group Policy or other Windows tools such as the Microsoft Management Console (MMC) to accomplish tasks. レジストリを編集する必要がある場合は、細心の注意が必要です。If you must edit the registry, use extreme caution.

CertificateMappingMethodsCertificateMappingMethods

既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は以下に示す 4 つの証明書マッピング メソッドで、このメソッドすべてがサポートされています。The default value is that all four certificate mapping methods, listed below, are supported.

サーバー アプリケーションにクライアント認証が必要な場合、Schannel は、クライアント コンピューターによって指定された証明書をユーザー アカウントに自動的にマップしようとします。When a server application requires client authentication, Schannel automatically attempts to map the certificate that is supplied by the client computer to a user account. クライアント証明書を使用してサインインするユーザーを認証するには、マッピングを作成します。これにより、証明書の情報が Windows ユーザー アカウントに関連付けられます。You can authenticate users who sign in with a client certificate by creating mappings, which relate the certificate information to a Windows user account. 証明書のマッピングを作成して有効にすると、そのユーザーは、クライアントがクライアント証明書を提示するたびに、サーバー アプリケーションによって適切な Windows ユーザー アカウントに自動的に関連付けられます。After you create and enable a certificate mapping, each time a client presents a client certificate, your server application automatically associates that user with the appropriate Windows user account.

ほとんどの場合、証明書は次の 2 つの方法のいずれかでユーザー アカウントにマップされます。In most cases, a certificate is mapped to a user account in one of two ways:

  • 1 つの証明書が 1 つのユーザー アカウントにマップされる (1 対 1 のマッピング)A single certificate is mapped to a single user account (one-to-one mapping).
  • 複数の証明書が 1 つのユーザー アカウントにマップされる (多対 1 のマッピング)Multiple certificates are mapped to one user account (many-to-one mapping).

既定では、Schannel プロバイダーは、4 つの証明書マッピング メソッドを次の優先順位で使用します。By default, the Schannel provider will use the following four certificate mapping methods, listed in order of preference:

  1. Kerberos service-for-user (S4U) 証明書マッピングKerberos service-for-user (S4U) certificate mapping
  2. ユーザー プリンシパル名マッピングUser principal name mapping
  3. 1 対 1 のマッピング (サブジェクト/発行者マッピングとも呼ばれます)One-to-one mapping (also known as subject/issuer mapping)
  4. 多対 1 のマッピングMany-to-one mapping

適用可能なバージョン:このトピックの最初に示した「適用先」を参照。Applicable versions: As designated in the Applies To list that is at the beginning of this topic.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

CiphersCiphers

TLS/SSL 暗号は、暗号スイートの順序を構成することによって制御する必要があります。TLS/SSL ciphers should be controlled by configuring the cipher suite order. 詳細については、「 TLS 暗号スイートの順序の構成」を参照してください。For details, see Configuring TLS Cipher Suite Order.

Schannel SSP によって使用される既定の暗号スイートの順序の詳細については、「 TLS/SSL (SCHANNEL ssp) の暗号スイート」を参照してください。For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

CipherSuitesCipherSuites

TLS/SSL 暗号スイートの構成は、グループポリシー、MDM、または PowerShell を使用して行う必要があります。詳細については、「 Tls 暗号スイートの順序の構成」を参照してください。Configuring TLS/SSL cipher suites should be done using group policy, MDM or PowerShell, see Configuring TLS Cipher Suite Order for details.

Schannel SSP によって使用される既定の暗号スイートの順序の詳細については、「 TLS/SSL (SCHANNEL ssp) の暗号スイート」を参照してください。For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

ClientCacheTimeClientCacheTime

このエントリは、クライアント側のキャッシュ エントリの有効期限が切れるまでのオペレーティング システムの時間をミリ秒単位で制御します。This entry controls the amount of time that the operating system takes in milliseconds to expire client-side cache entries. 値 0 の場合、セキュリティで保護された接続のキャッシュが無効になります。A value of 0 turns off secure-connection caching. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default.

クライアントが初めて Schannel SSP 経由でサーバーに接続すると、フル TLS/SSL ハンドシェイクが実行されます。The first time a client connects to a server through the Schannel SSP, a full TLS/SSL handshake is performed. これが完了すると、マスター シークレット、暗号スイート、および証明書は、クライアントおよびサーバーそれぞれのセッション キャッシュに格納されます。When this is complete, the master secret, cipher suite, and certificates are stored in the session cache on the respective client and server.

Windows Server 2008 および Windows Vista 以降では、クライアントの既定のキャッシュ時間は10時間です。Beginning with Windows Server 2008 and Windows Vista, the default client cache time is 10 hours.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

既定のクライアント キャッシュ時間Default client cache time

EnableOcspStaplingForSniEnableOcspStaplingForSni

オンライン証明書状態プロトコル (OCSP) のホチキス止めは、インターネットインフォメーションサービス (IIS) などの web サーバーが、TLS ハンドシェイク中にサーバー証明書をクライアントに送信するときに、サーバー証明書の現在の失効ステータスを提供することを可能にします。Online Certificate Status Protocol (OCSP) stapling enables a web server, such as Internet Information Services (IIS), to provide the current revocation status of a server certificate when it sends the server certificate to a client during the TLS handshake. この機能により、web サーバーはサーバー証明書の現在の OCSP ステータスをキャッシュし、それを複数の web クライアントに送信できるため、OCSP サーバーの負荷が軽減されます。This feature reduces the load on OCSP servers because the web server can cache the current OCSP status of the server certificate and send it to multiple web clients. この機能がないと、各 web クライアントは OCSP サーバーからサーバー証明書の現在の OCSP ステータスを取得しようとします。Without this feature, each web client would try to retrieve the current OCSP status of the server certificate from the OCSP server. これにより、その OCSP サーバーに高い負荷が発生します。This would generate a high load on that OCSP server.

IIS に加えて、http.sys 経由の web サービスは、Active Directory フェデレーションサービス (AD FS) (AD FS) や Web アプリケーションプロキシ (WAP) などのこの設定の恩恵を受けることもできます。In addition to IIS, web services over http.sys can also benefit from this setting, including Active Directory Federation Services (AD FS) and Web Application Proxy (WAP).

既定では、OCSP のサポートは、単純なセキュリティで保護された (SSL/TLS) バインドを持つ IIS web サイトに対して有効になっています。By default, OCSP support is enabled for IIS websites that have a simple secure (SSL/TLS) binding. ただし、IIS web サイトで次の種類の secure (SSL/TLS) バインドのいずれかまたは両方が使用されている場合、このサポートは既定では有効になりません。However, this support is not enabled by default if the IIS website is using either or both of the following types of secure (SSL/TLS) bindings:

  • Server Name Indication が必要Require Server Name Indication
  • 集中証明書ストアを使用するUse Centralized Certificate Store

この場合、TLS ハンドシェイク中のサーバー hello 応答には、既定で OCSP ホチキス止めステータスは含まれません。In this case, the server hello response during the TLS handshake won't include an OCSP stapled status by default. この動作により、パフォーマンスが向上します。Windows OCSP ホチキス止めの実装は、数百のサーバー証明書にスケーリングします。This behavior improves performance: The Windows OCSP stapling implementation scales to hundreds of server certificates. SNI と CCS を使用すると、何千ものサーバー証明書を持つ可能性のある数千人の web サイトに IIS を拡張できます。この動作を既定で有効に設定すると、パフォーマンスの問題が発生する可能性があります。Because SNI and CCS enable IIS to scale to thousands of websites that potentially have thousands of server certificates, setting this behavior to be enabled by default may cause performance issues.

適用可能なバージョン:Windows Server 2012 および Windows 8 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

レジストリパス: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]Registry path: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

次のキーを追加します。Add the following key:

"EnableOcspStaplingForSni" = dword: 00000001"EnableOcspStaplingForSni"=dword:00000001

無効にするには、DWORD 値を0に設定します。To disable, set the DWORD value to 0:

"EnableOcspStaplingForSni" = dword: 00000000"EnableOcspStaplingForSni"=dword:00000000

注意

このレジストリキーを有効にすると、パフォーマンスに影響する可能性があります。Enabling this registry key has a potential performance impact.

FIPSAlgorithmPolicyFIPSAlgorithmPolicy

このエントリは、連邦情報処理規格 (FIPS) コンプライアンスを制御します。This entry controls Federal Information Processing (FIPS) compliance. 既定値は 0 です。The default is 0.

適用可能なバージョン:Windows Server 2012 および Windows 8 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\LSARegistry path: HKLM SYSTEM\CurrentControlSet\Control\LSA

Windows Server FIPS 暗号スイート:「サポートされている暗号スイートと SCHANNEL SSP のプロトコル」を参照してください。Windows Server FIPS cipher suites: See Supported Cipher Suites and Protocols in the Schannel SSP.

HashesHashes

TLS/SSL ハッシュアルゴリズムは、暗号スイートの順序を構成することによって制御する必要があります。TLS/SSL hash algorithms should be controlled by configuring the cipher suite order. 詳細については、「 TLS 暗号スイートの構成」を参照してください。See Configuring TLS Cipher Suite Order for details.

IssuerCacheSizeIssuerCacheSize

このエントリは、発行者のキャッシュのサイズを制御し、発行者のマッピングで使用されます。This entry controls the size of the issuer cache, and it is used with issuer mapping. Schannel SSP は、クライアント証明書の直接の発行者だけでなく、クライアントの証明書チェーン内のすべての発行者をマップしようとします。The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. 発行者は、通常、アカウントにはマップされていませんが、その場合、サーバーは同じ発行者名を繰り返しマップしようとすることがあり、その回数は 1 秒あたり数百回に及びます。When the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

これを回避するために、サーバーにはネガティブ キャッシュが用意されており、発行者名がアカウントにマップされていないと、その発行者はキャッシュに追加されます。Schannel SSP は、キャッシュ エントリの有効期限が切れるまで、この発行者名をマップしません。To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. このレジストリ エントリは、キャッシュ サイズを指定します。This registry entry specifies the cache size. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は 100 です。The default value is 100.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

IssuerCacheTimeIssuerCacheTime

このエントリは、キャッシュ タイムアウト間隔をミリ秒単位で制御します。This entry controls the length of the cache timeout interval in milliseconds. Schannel SSP は、クライアント証明書の直接の発行者だけでなく、クライアントの証明書チェーン内のすべての発行者をマップしようとします。The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. 発行者は、通常、アカウントにはマップされていませんが、その場合、サーバーは同じ発行者名を繰り返しマップしようとすることがあり、その回数は 1 秒あたり数百回に及びます。In the case where the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

これを回避するために、サーバーにはネガティブ キャッシュが用意されており、発行者名がアカウントにマップされていないと、その発行者はキャッシュに追加されます。Schannel SSP は、キャッシュ エントリの有効期限が切れるまで、この発行者名をマップしません。To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. パフォーマンス上の理由から、このキャッシュは保持されるため、同じ発行者はマップされなくなります。This cache is kept for performance reasons, so that the system does not continue trying to map the same issuers. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は 10 分です。The default value is 10 minutes.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

KeyExchangeAlgorithm-クライアント RSA キーのサイズKeyExchangeAlgorithm - Client RSA key sizes

このエントリは、クライアントの RSA キーのサイズを制御します。This entry controls the client RSA key sizes.

キー交換アルゴリズムの使用は、暗号スイートの順序を構成することによって制御する必要があります。Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Windows 10、バージョン1507、および Windows Server 2016 で追加されました。Added in Windows 10, version 1507 and Windows Server 2016.

レジストリパス:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCSRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS

TLS クライアントでサポートされる RSA キーのビット長の最小範囲を指定するには、 Clientminkeybitlengthエントリを作成します。To specify a minimum supported range of RSA key bit length for the TLS client, create a ClientMinKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、1024ビットが最小値になります。If not configured, 1024 bits will be the minimum.

TLS クライアントでサポートされる RSA キーのビット長の最大範囲を指定するには、 Clientmaxkeybitlengthエントリを作成します。To specify a maximum supported range of RSA key bit length for the TLS client, create a ClientMaxKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、最大値は適用されません。If not configured, then a maximum is not enforced.

KeyExchangeAlgorithm-Diffie-hellman キーのサイズKeyExchangeAlgorithm - Diffie-Hellman key sizes

このエントリは、Diffie-hellman のキーサイズを制御します。This entry controls the Diffie-Hellman key sizes.

キー交換アルゴリズムの使用は、暗号スイートの順序を構成することによって制御する必要があります。Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Windows 10、バージョン1507、および Windows Server 2016 で追加されました。Added in Windows 10, version 1507 and Windows Server 2016.

レジストリパス:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-HellmanRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

TLS クライアントの最小サポート範囲である Diffie-hellman Man キーの長さを指定するには、 Clientminkeybitlengthエントリを作成します。To specify a minimum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMinKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、1024ビットが最小値になります。If not configured, 1024 bits will be the minimum.

TLS クライアントのサポートされている最大の範囲を指定するには、 Clientmaxkeybitlengthエントリを作成します。To specify a maximum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMaxKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、最大値は適用されません。If not configured, then a maximum is not enforced.

TLS サーバーの既定値として Diffie-hellman Man キーの長さを指定するには、 Serverminkeybitlengthエントリを作成します。To specify the Diffie-Helman key bit length for the TLS server default, create a ServerMinKeyBitLength entry. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、2048ビットが既定値になります。If not configured, 2048 bits will be the default.

MaximumCacheSizeMaximumCacheSize

このエントリは、キャッシュ要素の最大数を制御します。This entry controls the maximum number of cache elements. MaximumCacheSize を 0 に設定すると、サーバー側のセッション キャッシュが無効になり、再接続できなくなります。Setting MaximumCacheSize to 0 disables the server-side session cache and prevents reconnection. 前の MaximumCacheSize を増やすと、既定値によって Lsass.exe が消費するメモリ量が多くなります。Increasing MaximumCacheSize above the default values causes Lsass.exe to consume additional memory. 通常、各セッションキャッシュ要素には 2 ~ 4 KB のメモリが必要です。Each session-cache element typically requires 2 to 4 KB of memory. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. 既定値は2万要素です。The default value is 20,000 elements.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

メッセージング–フラグメント解析Messaging – fragment parsing


このエントリは、フラグメント化された TLS ハンドシェイクメッセージが許容される最大サイズを制御します。This entry controls the maximum allowed size of fragmented TLS handshake messages that will be accepted. 許容されるサイズを超えるメッセージは受け入れられず、TLS ハンドシェイクは失敗します。Messages larger than the allowed size will not be accepted and the TLS handshake will fail. 既定では、これらのエントリはレジストリに存在しません。These entries do not exist in the registry by default.

値を0x0 に設定すると、フラグメント化されたメッセージは処理されず、TLS ハンドシェイクが失敗します。When you set the value to 0x0, fragmented messages are not processed and will cause the TLS handshake to fail. これにより、現在のコンピューター上の TLS クライアントまたはサーバーが TLS Rfc に準拠していません。This makes TLS clients or servers on the current machine non-compliant with the TLS RFCs.

最大許容サイズは、最大 2 ^ 24-1 バイトまで増やすことができます。The maximum allowed size can be increased up to 2^24-1 bytes. クライアントまたはサーバーが大量の未確認データをネットワークから読み取り、保存できるようにすることはお勧めできません。また、セキュリティコンテキストごとに追加のメモリを消費します。Allowing a client or server to read and store large amounts of unverified data from the network is not a good idea and will consume additional memory for each security context.

Windows 7 および Windows Server 2008 R2 で追加されました。Added in Windows 7 and Windows Server 2008 R2. Windows XP、Windows Vista、または Windows Server 2008 の Internet Explorer で、断片化された TLS/SSL ハンドシェイクメッセージを解析するための更新プログラムが利用可能になります。An update that enables Internet Explorer in Windows XP, in Windows Vista, or in Windows Server 2008 to parse fragmented TLS/SSL handshake messages is available.

レジストリパス:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\MessagingRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging

TLS クライアントが受け入れる、フラグメント化された TLS ハンドシェイクメッセージの最大許容サイズを指定するには、 Messagelimitclientエントリを作成します。To specify a maximum allowed size of fragmented TLS handshake messages that the TLS client will accept, create a MessageLimitClient entry. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、既定値は0x8000 バイトになります。If not configured, the default value will be 0x8000 bytes.

クライアント認証がない場合に TLS サーバーが受け入れる、フラグメント化された TLS ハンドシェイクメッセージの最大許容サイズを指定するには、 Messagelimitserverエントリを作成します。To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is no client authentication, create a MessageLimitServer entry. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、既定値は 0x4000 bytes になります。If not configured, the default value will be 0x4000 bytes.

クライアント認証があるときに TLS サーバーが受け入れる、フラグメント化された TLS ハンドシェイクメッセージの最大許容サイズを指定するには、 Messagelimitserverclientauthエントリを作成します。To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is client authentication, create a MessageLimitServerClientAuth entry. エントリを作成した後、DWORD 値を目的のビット長に変更します。After you have created the entry, change the DWORD value to the desired bit length. 構成されていない場合、既定値は0x8000 バイトになります。If not configured, the default value will be 0x8000 bytes.

SendTrustedIssuerListSendTrustedIssuerList

このエントリは、信頼された発行者一覧の送信時に使用されるフラグを制御します。This entry controls the flag that is used when the list of trusted issuers is sent. クライアント認証に対して数百の証明機関を信頼しているサーバーの場合、発行者が多すぎて、そのサーバーは、クライアント認証を要求するときに、発行者の一部をクライアント コンピューターに送信できません。In the case of servers that trust hundreds of certification authorities for client authentication, there are too many issuers for the server to be able to send them all to the client computer when requesting client authentication. このレジストリ キーは、この状況で設定できます。これにより、Schannel SSP は部分的な一覧を送信するのではなく、まったく送信しなくなります。In this situation, this registry key can be set, and instead of sending a partial list, the Schannel SSP will not send any list to the client.

信頼された発行者の一覧を送信しないと、クライアント証明書が要求されたときにクライアントが送信する内容に影響する可能性があります。Not sending a list of trusted issuers might impact what the client sends when it is asked for a client certificate. たとえば、Internet Explorer がクライアント認証要求を受信するときに表示されるのは、サーバーによって送信された証明機関のいずれかにチェーンでつながっているクライアント証明書のみです。For example, when Internet Explorer receives a request for client authentication, it only displays the client certificates that chain up to one of the certification authorities that is sent by the server. サーバーが一覧を送信しなかった場合、Internet Explorer には、クライアントにインストールされているすべてのクライアントの証明書が表示されます。If the server did not send a list, Internet Explorer displays all of the client certificates that are installed on the client.

この動作が望ましいことがあります。This behavior might be desirable. たとえば、PKI 環境にクロス証明書が含まれている場合、クライアント証明書とサーバー証明書のルート CA は同じではありません。したがって、Internet Explorer は、サーバーの Ca のいずれかにチェーンされている証明書を選択することはできません。For example, when PKI environments include cross certificates, the client and server certificates will not have the same root CA; therefore, Internet Explorer cannot chose a certificate that chains up to one of the server's CAs. 信頼された発行者の一覧を送信しないようにサーバーを構成すると、Internet Explorer はその証明書すべてを送信します。By configuring the server to not send a trusted issuer list, Internet Explorer will send all its certificates.

既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default.

既定の信頼された発行者リストの動作Default Send Trusted Issuer List behavior

Windows のバージョンWindows version TimeTime
Windows Server 2012 および Windows 8 以降Windows Server 2012 and Windows 8 and later falseFALSE
Windows Server 2008 R2 および Windows 7 以前Windows Server 2008 R2 and Windows 7 and earlier trueTRUE

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ServerCacheTimeServerCacheTime

このエントリは、サーバー側のキャッシュ エントリの有効期限が切れるまでのオペレーティング システムの時間をミリ秒単位で制御します。This entry controls the amount of time in milliseconds that the operating system takes to expire server-side cache entries. 値を 0 に設定すると、サーバー側のセッション キャッシュが無効になり、再接続できなくなります。A value of 0 disables the server-side session cache and prevents reconnection. 前の ServerCacheTime を増やすと、既定値によって Lsass.exe が消費するメモリ量が多くなります。Increasing ServerCacheTime above the default values causes Lsass.exe to consume additional memory. 通常、各セッションキャッシュ要素には 2 ~ 4 KB のメモリが必要です。Each session cache element typically requires 2 to 4 KB of memory. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default.

適用可能なバージョン:Windows Server 2008 および Windows Vista 以降のすべてのバージョン。Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

既定のサーバーキャッシュ時間:10 時間Default server cache time: 10 hours

SSL 2.0SSL 2.0

このサブキーは、SSL 2.0 の使用を制御します。This subkey controls the use of SSL 2.0.

Windows 10、バージョン1607、および Windows Server 2016 以降では、SSL 2.0 は削除されており、サポートされなくなりました。Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 2.0 has been removed and is no longer supported. SSL 2.0 の既定の設定については、「 TLS/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For a SSL 2.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

SSL 2.0 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーにEnabledエントリを作成します。To enable the SSL 2.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

SSL 2.0 サブキーの表SSL 2.0 subkey table

サブキーSubkey 説明Description
クライアントClient Ssl クライアントでの SSL 2.0 の使用を制御します。Controls the use of SSL 2.0 on the SSL client.
ServerServer Ssl サーバーでの SSL 2.0 の使用を制御します。Controls the use of SSL 2.0 on the SSL server.

クライアントまたはサーバーの SSL 2.0 を無効にするには、DWORD 値を0に変更します。To disable SSL 2.0 for client or server, change the DWORD value to 0. SSPI アプリが SSL 2.0 を使用するように要求すると、拒否されます。If an SSPI app requests to use SSL 2.0, it will be denied.

SSL 2.0 を既定で無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable SSL 2.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリ explcitly が SSL 2.0 を使用するように要求すると、ネゴシエートされる場合があります。If an SSPI app explcitly requests to use SSL 2.0, it may be negotiated.

次の例では、レジストリで SSL 2.0 が無効になっています。The following example shows SSL 2.0 disabled in the registry:

SSL 2.0 無効

SSL 3.0SSL 3.0

このサブキーは、SSL 3.0 の使用を制御します。This subkey controls the use of SSL 3.0.

Windows 10、バージョン1607、および Windows Server 2016 以降では、SSL 3.0 は既定で無効になっています。Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 3.0 has been disabled by default. SSL 3.0 の既定の設定については、「 TLS/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For SSL 3.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

SSL 3.0 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーにEnabledエントリを作成します。To enable the SSL 3.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table.
既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

SSL 3.0 サブキーの表SSL 3.0 subkey table

サブキーSubkey 説明Description
クライアントClient Ssl クライアントでの SSL 3.0 の使用を制御します。Controls the use of SSL 3.0 on the SSL client.
ServerServer Ssl サーバーでの SSL 3.0 の使用を制御します。Controls the use of SSL 3.0 on the SSL server.

クライアントまたはサーバーの SSL 3.0 を無効にするには、DWORD 値を0に変更します。To disable SSL 3.0 for client or server, change the DWORD value to 0. SSPI アプリが SSL 3.0 を使用するように要求すると、拒否されます。If an SSPI app requests to use SSL 3.0, it will be denied.

SSL 3.0 を既定で無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable SSL 3.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリが SSL 3.0 の使用を明示的に要求した場合は、ネゴシエートされる可能性があります。If an SSPI app explicitly requests to use SSL 3.0, it may be negotiated.

次の例では、レジストリで SSL 3.0 が無効になっています。The following example shows SSL 3.0 disabled in the registry:

SSL 3.0 無効

TLS 1.0TLS 1.0

このサブキーは、TLS 1.0 の使用を制御します。This subkey controls the use of TLS 1.0.

TLS 1.0 の既定の設定については、「 tls/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For TLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.0 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーのいずれかにEnabledエントリを作成します。To enable the TLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

TLS 1.0 サブキーの表TLS 1.0 subkey table

サブキーSubkey 説明Description
クライアントClient Tls クライアントでの TLS 1.0 の使用を制御します。Controls the use of TLS 1.0 on the TLS client.
ServerServer Tls サーバーでの TLS 1.0 の使用を制御します。Controls the use of TLS 1.0 on the TLS server.

クライアントまたはサーバーの TLS 1.0 を無効にするには、DWORD 値を0に変更します。To disable TLS 1.0 for client or server, change the DWORD value to 0. SSPI アプリが TLS 1.0 を使用するように要求すると、そのアプリは拒否されます。If an SSPI app requests to use TLS 1.0, it will be denied.

TLS 1.0 を既定で無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable TLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリが TLS 1.0 の使用を明示的に要求した場合は、ネゴシエートされる可能性があります。If an SSPI app explicitly requests to use TLS 1.0, it may be negotiated.

次の例では、レジストリで TLS 1.0 が無効になっています。The following example shows TLS 1.0 disabled in the registry:

TLS 1.0 無効

TLS 1.1TLS 1.1

このサブキーは、TLS 1.1 の使用を制御します。This subkey controls the use of TLS 1.1.

TLS 1.1 の既定の設定については、「 tls/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For TLS 1.1 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.1 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーのいずれかにEnabledエントリを作成します。To enable the TLS 1.1 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

TLS 1.1 サブキーの表TLS 1.1 subkey table

サブキーSubkey 説明Description
クライアントClient Tls クライアントでの TLS 1.1 の使用を制御します。Controls the use of TLS 1.1 on the TLS client.
ServerServer Tls サーバーでの TLS 1.1 の使用を制御します。Controls the use of TLS 1.1 on the TLS server.

クライアントまたはサーバーの TLS 1.1 を無効にするには、DWORD 値を0に変更します。To disable TLS 1.1 for client or server, change the DWORD value to 0. SSPI アプリが TLS 1.1 を使用するように要求すると、そのアプリは拒否されます。If an SSPI app requests to use TLS 1.1, it will be denied.

TLS 1.1 を既定で無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable TLS 1.1 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリが TLS 1.1 の使用を明示的に要求した場合は、ネゴシエートされる可能性があります。If an SSPI app explicitly requests to use TLS 1.1, it may be negotiated.

次の例では、レジストリで TLS 1.1 が無効になっています。The following example shows TLS 1.1 disabled in the registry:

TLS 1.1 無効

TLS 1.2TLS 1.2

このサブキーは、TLS 1.2 の使用を制御します。This subkey controls the use of TLS 1.2.

TLS 1.2 の既定の設定については、「 tls/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For TLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.2 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーのいずれかにEnabledエントリを作成します。To enable the TLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

TLS 1.2 サブキーの表TLS 1.2 subkey table

サブキーSubkey 説明Description
クライアントClient Tls クライアントでの TLS 1.2 の使用を制御します。Controls the use of TLS 1.2 on the TLS client.
ServerServer Tls サーバーでの TLS 1.2 の使用を制御します。Controls the use of TLS 1.2 on the TLS server.

クライアントまたはサーバーの TLS 1.2 を無効にするには、DWORD 値を0に変更します。To disable TLS 1.2 for client or server, change the DWORD value to 0. SSPI アプリが TLS 1.2 を使用するように要求すると、そのアプリは拒否されます。If an SSPI app requests to use TLS 1.2, it will be denied.

TLS 1.2 を既定で無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable TLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリが TLS 1.2 の使用を明示的に要求した場合は、ネゴシエートされる可能性があります。If an SSPI app explicitly requests to use TLS 1.2, it may be negotiated.

次の例では、レジストリで TLS 1.2 が無効になっています。The following example shows TLS 1.2 disabled in the registry:

TLS 1.2 無効

DTLS 1.0DTLS 1.0

このサブキーは、DTLS 1.0 の使用を制御します。This subkey controls the use of DTLS 1.0.

DTLS 1.0 の既定の設定については、「 TLS/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For DTLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

DTLS 1.0 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーのいずれかにEnabledエントリを作成します。To enable the DTLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

DTLS 1.0 サブキーの表DTLS 1.0 subkey table

サブキーSubkey 説明Description
クライアントClient DTLS クライアントでの DTLS 1.0 の使用を制御します。Controls the use of DTLS 1.0 on the DTLS client.
ServerServer DTLS サーバーでの DTLS 1.0 の使用を制御します。Controls the use of DTLS 1.0 on the DTLS server.

クライアントまたはサーバーの DTLS 1.0 を無効にするには、DWORD 値を0に変更します。To disable DTLS 1.0 for client or server, change the DWORD value to 0. SSPI アプリが DTLS 1.0 を使用するように要求すると、拒否されます。If an SSPI app requests to use DTLS 1.0, it will be denied.

既定で DTLS 1.0 を無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable DTLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリが DTLS 1.0 の使用を明示的に要求した場合は、ネゴシエートされる可能性があります。If an SSPI app explicitly requests to use DTLS 1.0, it may be negotiated.

次の例では、レジストリで DTLS 1.0 が無効になっています。The following example shows DTLS 1.0 disabled in the registry:

DTLS 1.0 無効

DTLS 1.2DTLS 1.2

このサブキーは、DTLS 1.2 の使用を制御します。This subkey controls the use of DTLS 1.2.

DTLS 1.2 の既定の設定については、「 TLS/SSL (SCHANNEL SSP) のプロトコル」を参照してください。For DTLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

レジストリパス:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

DTLS 1.2 プロトコルを有効にするには、次の表に示すように、クライアントまたはサーバーのサブキーのいずれかにEnabledエントリを作成します。To enable the DTLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. 既定では、このエントリはレジストリに存在しません。This entry does not exist in the registry by default. エントリを作成した後、DWORD 値を1に変更します。After you have created the entry, change the DWORD value to 1.

DTLS 1.2 サブキーの表DTLS 1.2 subkey table

サブキーSubkey 説明Description
クライアントClient DTLS クライアントでの DTLS 1.2 の使用を制御します。Controls the use of DTLS 1.2 on the DTLS client.
ServerServer DTLS サーバーでの DTLS 1.2 の使用を制御します。Controls the use of DTLS 1.2 on the DTLS server.

クライアントまたはサーバーの DTLS 1.2 を無効にするには、DWORD 値を0に変更します。To disable DTLS 1.2 for client or server, change the DWORD value to 0. SSPI アプリが DTLS 1.0 を使用するように要求すると、拒否されます。If an SSPI app requests to use DTLS 1.0, it will be denied.

既定で DTLS 1.2 を無効にするには、 DisabledByDefaultエントリを作成し、DWORD 値を1に変更します。To disable DTLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. SSPI アプリが DTLS 1.2 の使用を明示的に要求した場合は、ネゴシエートされる可能性があります。If an SSPI app explicitly requests to use DTLS 1.2, it may be negotiated.

次の例では、レジストリで DTLS 1.1 が無効になっています。The following example shows DTLS 1.1 disabled in the registry:

DTLS 1.1 無効