Управление TLSManage Transport Layer Security (TLS)

Область применения: Windows Server (половина ежегодного канала), Windows Server 2016, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows 10

Настройка порядка комплектов шифров TLSConfiguring TLS Cipher Suite Order

Разные версии Windows поддерживают разные наборы шифров TLS и порядок приоритетов.Different Windows versions support different TLS cipher suites and priority order. Порядок по умолчанию, поддерживаемый поставщиком Schannel (Майкрософт) в различных версиях Windows, см. в разделе комплекты шифров в TLS/SSL (Schannel SSP) .See Cipher Suites in TLS/SSL (Schannel SSP) for the default order supported by the Microsoft Schannel Provider in different Windows versions.

Примечание

Список комплектов шифров также можно изменить с помощью функций CNG. Дополнительные сведения см. в разделе Определение приоритетов для наборов шифров SChannel .You can also modify the list of cipher suites by using CNG functions, see Prioritizing Schannel Cipher Suites for details.

Изменения в порядке набора шифров TLS вступят в силу при следующей загрузке.Changes to the TLS cipher suite order will take effect on the next boot. До перезапуска или завершения работы существующий заказ будет действовать.Until restart or shutdown, the existing order will be in effect.

Предупреждение

Обновление параметров реестра для порядка приоритетов по умолчанию не поддерживается и может быть сброшено с помощью обновлений обслуживания.Updating the registry settings for the default priority ordering is not supported and may be reset with servicing updates.

Настройка порядка комплектов шифров TLS с помощью групповая политикаConfiguring TLS Cipher Suite Order by using Group Policy

Вы можете использовать порядок набора шифров SSL групповая политика параметры, чтобы настроить порядок комплекта шифров TLS по умолчанию.You can use the SSL Cipher Suite Order Group Policy settings to configure the default TLS cipher suite order.

  1. На консоль управления групповыми политиками выберите Конфигурация компьютера > Административные шаблоны > Network > Параметры конфигурации SSLсети.From the Group Policy Management Console, go to Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.

  2. Дважды щелкните SSL-порядок комплекта шифрови выберите параметр включено .Double-click SSL Cipher Suite Order, and then click the Enabled option.

  3. Щелкните правой кнопкой мыши поле комплекты шифров SSL и выберите в раскрывающемся меню пункт выбрать все .Right-click SSL Cipher Suites box and select Select all from the pop-up menu.

    Параметр групповой политики

  4. Щелкните выделенный текст правой кнопкой мыши и выберите пункт Копировать во всплывающем меню.Right-click the selected text, and select copy from the pop-up menu.

  5. Вставьте текст в текстовый редактор, например notepad.exe и обновите новый список заказов комплектов шифров.Paste the text into a text editor such as notepad.exe and update with the new cipher suite order list.

    Примечание

    Список порядка комплектов шифров TLS должен быть в формате, разделенном запятыми.The TLS cipher suite order list must be in strict comma delimited format. Каждая строка комплекта шифров заканчивается запятой (,) с правой стороны.Each cipher suite string will end with a comma (,) to the right side of it.

    Кроме того, список комплектов шифров ограничен 1 023 символами.Additionally, the list of cipher suites is limited to 1,023 characters.

  6. Замените список в наборах шифров SSL на обновленный упорядоченный список.Replace the list in the SSL Cipher Suites with the updated ordered list.

  7. Нажмите кнопку OK или кнопку Применить.Click OK or Apply.

Настройка порядка комплектов шифров TLS с помощью MDMConfiguring TLS Cipher Suite Order by using MDM

CSP политики Windows 10 поддерживает настройку комплектов шифров TLS.The Windows 10 Policy CSP supports configuration of the TLS Cipher Suites. Дополнительные сведения см. в разделе Криптография и тлсЦиферсуитес .See Cryptography/TLSCipherSuites for more information.

Настройка порядка комплектов шифров TLS с помощью командлетов TLS PowerShellConfiguring TLS Cipher Suite Order by using TLS PowerShell Cmdlets

Модуль TLS PowerShell поддерживает получение упорядоченного списка комплектов шифров TLS, отключение набора шифров и включение комплекта шифров.The TLS PowerShell module supports getting the ordered list of TLS cipher suites, disabling a cipher suite, and enabling a cipher suite. Дополнительные сведения см. в разделе модуль TLS .See TLS Module for more information.

Настройка порядка кривых ECC TLSConfiguring TLS ECC Curve Order

Начиная с Windows 10 & Windows Server 2016, порядок кривых ECC можно настроить независимо от порядка набора шифров.Beginning with Windows 10 & Windows Server 2016, ECC curve order can be configured independent of the cipher suite order. Если список порядка комплектов шифров TLS содержит суффиксы эллиптической кривой, они будут переопределены новым порядковым приоритетом эллиптической кривой, если они включены.If the TLS cipher suite order list has elliptic curve suffixes, they will be overridden by the new elliptic curve priority order, when enabled. Это позволяет организациям использовать объект групповая политика для настройки различных версий Windows с одинаковым порядком комплектов шифров.This allow organizations to use a Group Policy object to configure different versions of Windows with the same cipher suites order.

Примечание

До Windows 10 строки комплекта шифров были добавлены с эллиптической кривой для определения приоритета кривой.Prior to Windows 10, cipher suite strings were appended with the elliptic curve to determine the curve priority.

Управление кривыми ECC Windows с помощью CertUtilManaging Windows ECC curves using CertUtil

Начиная с Windows 10 и Windows Server 2016, Windows предоставляет управление параметрами эллиптической кривой с помощью служебной программы командной строки certutil.exe.Beginning with Windows 10 and Windows Server 2016, Windows provides elliptic curve parameter management through the command line utility certutil.exe. Параметры эллиптической кривой хранятся в bcryptprimitives.dll.Elliptic curve parameters are stored in the bcryptprimitives.dll. С помощью certutil.exe администраторы могут добавлять и удалять параметры кривой в Windows, соответственно.Using certutil.exe, administrators can add and remove curve parameters to and from Windows, respectively. Certutil.exe безопасно сохраняет параметры кривой в реестре.Certutil.exe stores the curve parameters securely in the registry. Windows может начать использовать параметры кривой по имени, связанному с кривой.Windows can begin using the curve parameters by the name associated with the curve.

Отображение зарегистрированных кривыхDisplaying Registered Curves

Используйте следующую команду certutil.exe, чтобы отобразить список кривых, зарегистрированных для текущего компьютера.Use the following certutil.exe command to display a list of curves registered for the current computer.

certutil.exe –displayEccCurve

Кривые экрана certutil

Рис. 1 Certutil.exe вывода для вывода списка зарегистрированных кривых.Figure 1 Certutil.exe output to display the list of registered curves.

Добавление новой кривойAdding a New Curve

Организации могут создавать и использовать параметры кривых, повторно прополнив Поиск другими доверенными сущностями.Organizations can create and use curve parameters researched by other trusted entities. Администраторы, желающие использовать эти новые кривые в Windows, должны добавить кривую.Administrators wanting to use these new curves in Windows must add the curve. Используйте следующую команду certutil.exe, чтобы добавить кривую на текущий компьютер:Use the following certutil.exe command to add a curve to current computer:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • Аргумент курвенаме представляет имя кривой, под которой были добавлены параметры кривой.The curveName argument represents the name of the curve under which the curve parameters were added.
  • Аргумент курвепараметерс представляет имя файла сертификата, содержащего параметры кривых, которые требуется добавить.The curveParameters argument represents the filename of a certificate that contains the parameters of the curves you want to add.
  • Аргумент курвеоид представляет имя файла сертификата, содержащего идентификатор объекта (OID) параметров кривой, которые необходимо добавить (необязательно).The curveOid argument represents a filename of a certificate that contains the OID of the curve parameters you want to add (optional).
  • Аргумент курветипе представляет десятичное значение именованной кривой из реестра с именованием кривых EC (необязательно).The curveType argument represents a decimal value of the named curve from the EC Named Curve Registry (optional).

Добавление кривых в certutil

Рис. 2. Добавление кривой с помощью certutil.exe.Figure 2 Adding a curve using certutil.exe.

Удаление ранее добавленной кривойRemoving a Previously Added Curve

Администраторы могут удалить ранее добавленную кривую с помощью следующей certutil.exe команды:Administrators can remove a previously added curve using the following certutil.exe command:

Certutil.exe –deleteEccCurve curveName

Windows не может использовать именованную кривую после того, как администратор удалит кривую с компьютера.Windows cannot use a named curve after an administrator removes the curve from computer.

Управление кривыми ECC Windows с помощью групповая политикаManaging Windows ECC curves using Group Policy

Организации могут распространять параметры кривой на корпоративную, присоединенную к домену компьютер, используя групповая политика и расширение реестра групповая политиканых предпочтений.Organizations can distribute curve parameters to enterprise, domain-joined, computer using Group Policy and the Group Policy Preferences Registry extension. Процесс распределения кривой:The process for distributing a curve is:

  1. В Windows 10 и Windows Server 2016 используйте certutil.exe , чтобы добавить в Windows новую зарегистрированную именованную кривую.On Windows 10 and Windows Server 2016, use certutil.exe to add a new registered named curve to Windows.

  2. На этом же компьютере откройте консоль управления групповыми политиками (GPMC), создайте новый объект групповая политика и измените его.From that same computer, Open the Group Policy Management Console (GPMC), create a new Group Policy object, and edit it.

  3. Выберите Конфигурация компьютера | Предпочтения | Параметры Windows | Реестр.Navigate to Computer Configuration|Preferences|Windows Settings|Registry. Щелкните правой кнопкой мыши Реестр.Right-click Registry. Наведите указатель мыши на пункт создать и выберите элемент сбора.Hover over New and select Collection Item. Переименуйте элемент сбора в соответствии с именем кривой.Rename the collection item to match the name of the curve. Вы создадите один элемент сбора реестра для каждого раздела реестра в разделе HKEY_LOCAL_MACHINE \куррентконтролсет\контрол\криптографи\еккпараметерс.You'll create one Registry Collection item for each registry key under HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Настройте вновь созданную коллекцию реестра предпочтений групповая политика, добавив новый элемент реестра для каждого значения реестра, указанного в разделе HKEY_LOCAL_MACHINE \куррентконтролсет\контрол\криптографи\еккпараметерс [ курвенаме].Configure the newly created Group Policy Preference Registry Collection by adding a new Registry Item for each registry value listed under HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Разверните объект групповая политика, содержащий элемент сбора групповая политика реестра, на компьютерах с Windows 10 и Windows Server 2016, которые должны получить новые именованные кривые.Deploy the Group Policy object containing Group Policy Registry Collection item to Windows 10 and Windows Server 2016 computers that should receive the new named curves.

    GPP распределить кривые

    Рис. 3. Использование параметров групповая политика для распределения кривыхFigure 3 Using Group Policy Preferences to distribute curves

Управление порядком TLS ECCManaging TLS ECC order

Начиная с Windows 10 и Windows Server 2016, можно использовать параметры групповой политики порядка кривых ECC, чтобы настроить порядок кривой ECC по умолчанию для TLS.Beginning with Windows 10 and Windows Server 2016, ECC Curve Order group policy settings can be used configure the default TLS ECC Curve Order. Используя универсальный код коррекции ошибок и этот параметр, организации могут добавить собственные доверенные именованные кривые (которые утверждены для использования с TLS) в операционную систему, а затем добавить эти именованные кривые к приоритету кривой групповая политика параметр, чтобы обеспечить их использование в будущих подтверждениях TLS.Using Generic ECC and this setting, organizations can add their own trusted named curves (that are approved for use with TLS) to the operating system and then add those named curves to the curve priority Group Policy setting to ensure they are used in future TLS handshakes. Новые списки приоритетов кривых становятся активными при следующей перезагрузке после получения параметров политики.New curve priority lists become active on the next reboot after receiving the policy settings.

GPP распределить кривые

Рис. 4. Управление приоритетом кривой TLS с помощью групповая политикаFigure 4 Managing TLS curve priority using Group Policy