Параметры реестра протокола TLSTransport Layer Security (TLS) registry settings

Относится к: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows 10

В этом справочном разделе для ИТ-специалистов содержатся Поддерживаемые сведения о параметрах реестра для реализации протокола TLS и протокола SSL (SSL) через поддержку безопасности SChannel. Поставщик (SSP).This reference topic for the IT professional contains supported registry setting information for the Windows implementation of the Transport Layer Security (TLS) protocol and the Secure Sockets Layer (SSL) protocol through the Schannel Security Support Provider (SSP). Подразделы и записи реестра, описанные в этом разделе, помогут вам администрировать и устранять неполадки SSP, в частности протоколы TLS и SSL.The registry subkeys and entries covered in this topic help you administer and troubleshoot the Schannel SSP, specifically the TLS and SSL protocols.

Внимание!

Эти сведения предоставляются в виде справочника для использования при устранении неполадок или проверки правильности применения нужных параметров.This information is provided as a reference to use when you are troubleshooting or verifying that the required settings are applied. Рекомендуется не изменять реестр напрямую, если есть другие возможности.We recommend that you do not directly edit the registry unless there is no other alternative. Изменения в реестре не проверяются редактором реестра или операционной системой Windows перед их применением.Modifications to the registry are not validated by the Registry Editor or by the Windows operating system before they are applied. В результате могут сохраниться неверные значения, что приведет к неустранимым ошибкам в системе.As a result, incorrect values can be stored, and this can result in unrecoverable errors in the system. По возможности вместо редактирования реестра напрямую используйте групповую политику или другие средства Windows, например консоль управления (MMC) для выполнения задач.When possible, instead of editing the registry directly, use Group Policy or other Windows tools such as the Microsoft Management Console (MMC) to accomplish tasks. Если отредактировать реестр все же необходимо, соблюдайте крайнюю осторожность.If you must edit the registry, use extreme caution.

CertificateMappingMethodsCertificateMappingMethods

Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. Значение по умолчанию — что поддерживаются все четыре метода сопоставления сертификатов, перечисленные ниже.The default value is that all four certificate mapping methods, listed below, are supported.

Если серверное приложение требует проверки подлинности клиента, Schannel автоматически пытается сопоставить сертификат, предоставленный клиентским компьютером, с учетной записью пользователя.When a server application requires client authentication, Schannel automatically attempts to map the certificate that is supplied by the client computer to a user account. Вы можете проверять подлинность пользователей, выполняющих вход с сертификатом клиента, создавая сопоставления, связывающие данные сведения с учетной записью пользователя Windows.You can authenticate users who sign in with a client certificate by creating mappings, which relate the certificate information to a Windows user account. После создания и включения сопоставления сертификатов каждый раз, когда клиент предоставляет сертификат клиента, серверное приложение автоматически сопоставляет этого пользователя с соответствующей учетной записью Windows.After you create and enable a certificate mapping, each time a client presents a client certificate, your server application automatically associates that user with the appropriate Windows user account.

В большинстве случаев сертификат сопоставляется с учетной записью пользователя одним из двух следующих способов.In most cases, a certificate is mapped to a user account in one of two ways:

  • Один сертификат сопоставляется с одной учетной записью пользователя (сопоставление "один к одному").A single certificate is mapped to a single user account (one-to-one mapping).
  • Несколько сертификатов сопоставляются с одной учетной записью пользователя (сопоставление "многие к одному").Multiple certificates are mapped to one user account (many-to-one mapping).

По умолчанию поставщик Schannel будет использовать следующие четыре метода сопоставления сертификатов, перечисленные в порядке приоритета.By default, the Schannel provider will use the following four certificate mapping methods, listed in order of preference:

  1. Сопоставление сертификатов "служба для пользователя" (S4U) Kerberos.Kerberos service-for-user (S4U) certificate mapping
  2. Сопоставление имени участника-пользователя.User principal name mapping
  3. Сопоставление "один к одному" (также называемое сопоставлением "субъект/поставщик").One-to-one mapping (also known as subject/issuer mapping)
  4. Сопоставление "многие к одному".Many-to-one mapping

Применимые версии: указаны в списке Область применения в начале этой статьи.Applicable versions: As designated in the Applies To list that is at the beginning of this topic.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

CiphersCiphers

Для управления шифрами TLS/SSL следует настроить порядок набора шифров.TLS/SSL ciphers should be controlled by configuring the cipher suite order. Дополнительные сведения см. в разделе Настройка порядка комплектов шифров TLS.For details, see Configuring TLS Cipher Suite Order.

Дополнительные сведения о порядке наборов шифров по умолчанию, которые используются в SSP поставщика услуг SChannel, см. в разделе комплекты шифров в TLS/SSL (Schannel SSP).For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

CipherSuitesCipherSuites

Настройка комплектов шифров TLS/SSL должна выполняться с помощью групповой политики, MDM или PowerShell. Дополнительные сведения см. в разделе Настройка порядка комплектов шифров TLS .Configuring TLS/SSL cipher suites should be done using group policy, MDM or PowerShell, see Configuring TLS Cipher Suite Order for details.

Дополнительные сведения о порядке наборов шифров по умолчанию, которые используются в SSP поставщика услуг SChannel, см. в разделе комплекты шифров в TLS/SSL (Schannel SSP).For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

ClientCacheTimeClientCacheTime

Эта запись определяет время в миллисекундах, через которое в операционной системе истекает срок действия записей кэша на стороне клиента.This entry controls the amount of time that the operating system takes in milliseconds to expire client-side cache entries. Значение 0 отключает кэширование безопасного подключения.A value of 0 turns off secure-connection caching. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default.

При первом подключении клиента к серверу через Schannel SSP выполняется полное подтверждение TLS/SSL.The first time a client connects to a server through the Schannel SSP, a full TLS/SSL handshake is performed. После завершения главная копия секрета, комплект шифров и сертификаты хранятся в кэше сеанса на соответствующем клиенте и сервере.When this is complete, the master secret, cipher suite, and certificates are stored in the session cache on the respective client and server.

Начиная с Windows Server 2008 и Windows Vista, время кэширования клиента по умолчанию составляет 10 часов.Beginning with Windows Server 2008 and Windows Vista, the default client cache time is 10 hours.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Время кэша клиента по умолчаниюDefault client cache time

енаблеокспстаплингфорсниEnableOcspStaplingForSni

Ассоциация Online Certificate Status Protocol (OCSP) позволяет веб-серверу, например службы IIS (IIS), предоставлять текущее состояние отзыва сертификата сервера при отправке сертификата сервера клиенту во время подтверждения TLS.Online Certificate Status Protocol (OCSP) stapling enables a web server, such as Internet Information Services (IIS), to provide the current revocation status of a server certificate when it sends the server certificate to a client during the TLS handshake. Эта функция сокращает нагрузку на серверы OCSP, так как веб-сервер может кэшировать текущее состояние OCSP сертификата сервера и отправлять его нескольким веб-клиентам.This feature reduces the load on OCSP servers because the web server can cache the current OCSP status of the server certificate and send it to multiple web clients. Без этой функции каждый веб-клиент попытается получить текущее состояние OCSP сертификата сервера с сервера OCSP.Without this feature, each web client would try to retrieve the current OCSP status of the server certificate from the OCSP server. При этом будет выдаваться высокая нагрузка на этот сервер OCSP.This would generate a high load on that OCSP server.

Помимо IIS, веб-службы по HTTP. sys могут также использовать преимущества этого параметра, в том числе службы федерации Active Directory (AD FS) (AD FS) и прокси-службы веб – приложения (WAP).In addition to IIS, web services over http.sys can also benefit from this setting, including Active Directory Federation Services (AD FS) and Web Application Proxy (WAP).

По умолчанию поддержка OCSP включена для веб-сайтов IIS, имеющих простую привязку SSL/TLS.By default, OCSP support is enabled for IIS websites that have a simple secure (SSL/TLS) binding. Однако эта поддержка не включена по умолчанию, если веб-сайт IIS использует одну или обе следующие типы SSL-привязок.However, this support is not enabled by default if the IIS website is using either or both of the following types of secure (SSL/TLS) bindings:

  • Требовать указание имени сервераRequire Server Name Indication
  • Использовать централизованное хранилище сертификатовUse Centralized Certificate Store

В этом случае ответ приветствия сервера во время подтверждения TLS не будет включать в себя состояние сшивания OCSP по умолчанию.In this case, the server hello response during the TLS handshake won't include an OCSP stapled status by default. Такое поведение повышает производительность: Реализация сшивания OCSP Windows масштабируется до сотен сертификатов сервера.This behavior improves performance: The Windows OCSP stapling implementation scales to hundreds of server certificates. Так как SNI и CCS позволяют IIS масштабироваться на тысячи веб-сайтов, которые могут иметь тысячи сертификатов сервера, установка этого поведения по умолчанию может привести к проблемам с производительностью.Because SNI and CCS enable IIS to scale to thousands of websites that potentially have thousands of server certificates, setting this behavior to be enabled by default may cause performance issues.

Применимые версии: Все версии, начиная с Windows Server 2012 и Windows 8.Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

Путь реестра: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]Registry path: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

Добавьте следующий ключ:Add the following key:

"Енаблеокспстаплингфорсни" = DWORD: 00000001"EnableOcspStaplingForSni"=dword:00000001

Чтобы отключить, присвойте параметру DWORD значение 0:To disable, set the DWORD value to 0:

"Енаблеокспстаплингфорсни" = DWORD: 00000000"EnableOcspStaplingForSni"=dword:00000000

Примечание

Включение этого раздела реестра может повлиять на производительность.Enabling this registry key has a potential performance impact.

FIPSAlgorithmPolicyFIPSAlgorithmPolicy

Эта запись определяет соответствие требованиям Федерального стандарта обработки информации (FIPS).This entry controls Federal Information Processing (FIPS) compliance. Значение по умолчанию — 0.The default is 0.

Применимые версии: Все версии, начиная с Windows Server 2012 и Windows 8.Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\лсаRegistry path: HKLM SYSTEM\CurrentControlSet\Control\LSA

Комплекты шифров Windows Server FIPS: См. раздел Поддерживаемые комплекты шифров и протоколы в поставщике общих служб SChannel.Windows Server FIPS cipher suites: See Supported Cipher Suites and Protocols in the Schannel SSP.

HashesHashes

Алгоритмы хэширования TLS/SSL должны контролироваться путем настройки порядка набора шифров.TLS/SSL hash algorithms should be controlled by configuring the cipher suite order. Дополнительные сведения см. в разделе Настройка порядка комплектов шифров TLS .See Configuring TLS Cipher Suite Order for details.

IssuerCacheSizeIssuerCacheSize

Эта запись определяет размер кэша издателя и используется при сопоставлении издателя.This entry controls the size of the issuer cache, and it is used with issuer mapping. ПОСТАВЩИК удостоверений SChannel пытается сопоставлять всех издателей в цепочке сертификатов клиента — не только прямой издатель сертификата клиента.The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. Когда издатели не сопоставляются с учетной записью, что является типичным случаем, сервер может пытаться повторно сопоставлять то же имя издателя, сотни раз в секунду.When the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

Чтобы избежать этого, сервер имеет негативный кэш, и если имя издателя не соответствует учетной записи, оно добавляется в кэш, и Schannel SSP не будет пытаться снова сопоставить это имя издателя, пока не истечет срок действия записи кэша.To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. Эта запись реестра указывает размер кэша.This registry entry specifies the cache size. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. Значение по умолчанию — 100.The default value is 100.

Применимые версии: Все версии, начиная с Windows Server 2008 и Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

IssuerCacheTimeIssuerCacheTime

Эта запись определяет продолжительность интервала времени ожидания кэша в миллисекундах.This entry controls the length of the cache timeout interval in milliseconds. ПОСТАВЩИК удостоверений SChannel пытается сопоставлять всех издателей в цепочке сертификатов клиента — не только прямой издатель сертификата клиента.The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. В случае, когда издатели не соответствуют учетной записи, что довольно типично, сервер может пытаться повторно сопоставлять то же имя издателя, сотни раз в секунду.In the case where the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

Чтобы избежать этого, сервер имеет негативный кэш, и если имя издателя не соответствует учетной записи, оно добавляется в кэш, и Schannel SSP не будет пытаться снова сопоставить это имя издателя, пока не истечет срок действия записи кэша.To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. Этот кэш сохраняется для повышения производительности, чтобы система не продолжала попытки сопоставить тех же издателей.This cache is kept for performance reasons, so that the system does not continue trying to map the same issuers. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. Значение по умолчанию — 10 минут.The default value is 10 minutes.

Применимые версии: Все версии, начиная с Windows Server 2008 и Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Кэйексчанжеалгорисм — размеры ключей RSA клиентаKeyExchangeAlgorithm - Client RSA key sizes

Эта запись управляет размером ключа RSA клиента.This entry controls the client RSA key sizes.

Для управления использованием алгоритмов обмена ключами необходимо настроить порядок набора шифров.Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Добавлено в Windows 10, версии 1507 и Windows Server 2016.Added in Windows 10, version 1507 and Windows Server 2016.

Путь реестра: хклм\систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\кэйексчанжеалгорисмс\пкксRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS

Чтобы указать минимальный поддерживаемый диапазон длины ключа RSA для клиента TLS, создайте запись клиентминкэйбитленгс .To specify a minimum supported range of RSA key bit length for the TLS client, create a ClientMinKeyBitLength entry. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если не настроено, 1024 бит будет минимальным.If not configured, 1024 bits will be the minimum.

Чтобы указать максимальный поддерживаемый диапазон длины ключа RSA для клиента TLS, создайте запись клиентмакскэйбитленгс .To specify a maximum supported range of RSA key bit length for the TLS client, create a ClientMaxKeyBitLength entry. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если не настроено, максимальное значение не применяется.If not configured, then a maximum is not enforced.

Кэйексчанжеалгорисм — размеры ключей Диффи-ХелманаKeyExchangeAlgorithm - Diffie-Hellman key sizes

Эта запись определяет размеры ключей Диффи-Хелмана.This entry controls the Diffie-Hellman key sizes.

Для управления использованием алгоритмов обмена ключами необходимо настроить порядок набора шифров.Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Добавлено в Windows 10, версии 1507 и Windows Server 2016.Added in Windows 10, version 1507 and Windows Server 2016.

Путь реестра: хклм\систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\кэйексчанжеалгорисмс\диффие-хеллманRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

Чтобы указать минимальный поддерживаемый диапазон битовой длины ключа Диффи-Хелман для клиента TLS, создайте запись клиентминкэйбитленгс .To specify a minimum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMinKeyBitLength entry. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если не настроено, 1024 бит будет минимальным.If not configured, 1024 bits will be the minimum.

Чтобы указать максимальный поддерживаемый диапазон битовой длины ключа Диффи-Хелман для клиента TLS, создайте запись клиентмакскэйбитленгс .To specify a maximum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMaxKeyBitLength entry. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если не настроено, максимальное значение не применяется.If not configured, then a maximum is not enforced.

Чтобы задать битовую длину ключа Диффи-Хелман для сервера TLS по умолчанию, создайте запись серверминкэйбитленгс .To specify the Diffie-Helman key bit length for the TLS server default, create a ServerMinKeyBitLength entry. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если не настроено, по умолчанию будет 2048 бит.If not configured, 2048 bits will be the default.

MaximumCacheSizeMaximumCacheSize

Эта запись определяет максимальное число элементов кэша.This entry controls the maximum number of cache elements. Установка для MaximumCacheSize значения 0 отключает кэш сеанса на стороне сервера и запрещает переподключение.Setting MaximumCacheSize to 0 disables the server-side session cache and prevents reconnection. Если для MaximumCacheSize задать значение больше установленного по умолчанию, Lsass.exe будет потреблять дополнительный объем памяти.Increasing MaximumCacheSize above the default values causes Lsass.exe to consume additional memory. Каждый элемент кэша сеанса обычно занимает от 2 до 4 КБ памяти.Each session-cache element typically requires 2 to 4 KB of memory. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. Значение по умолчанию — 20 000 элементов.The default value is 20,000 elements.

Применимые версии: Все версии, начиная с Windows Server 2008 и Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Обмен сообщениями — синтаксический анализ фрагментовMessaging – fragment parsing


Эта запись управляет максимально допустимым размером фрагментированных сообщений подтверждения TLS, которые будут приняты.This entry controls the maximum allowed size of fragmented TLS handshake messages that will be accepted. Сообщения, превышающие допустимый размер, не будут приняты, и подтверждение TLS завершится ошибкой.Messages larger than the allowed size will not be accepted and the TLS handshake will fail. Эти записи не существуют в реестре по умолчанию.These entries do not exist in the registry by default.

Если задано значение 0x0, фрагментированные сообщения не обрабатываются и приведут к сбою подтверждения TLS.When you set the value to 0x0, fragmented messages are not processed and will cause the TLS handshake to fail. Это позволяет клиентам TLS или серверам на текущем компьютере не соответствовать стандарту RFC для TLS.This makes TLS clients or servers on the current machine non-compliant with the TLS RFCs.

Максимально допустимый размер можно увеличить до 2 ^ 24 – 1 байт.The maximum allowed size can be increased up to 2^24-1 bytes. Предоставление клиенту или серверу возможности читать и хранить большие объемы непроверенных данных в сети не является хорошей идеей и будет потреблять дополнительную память для каждого контекста безопасности.Allowing a client or server to read and store large amounts of unverified data from the network is not a good idea and will consume additional memory for each security context.

Добавлено в Windows 7 и Windows Server 2008 R2.Added in Windows 7 and Windows Server 2008 R2. Доступно обновление, которое включает Internet Explorer в Windows XP, Windows Vista или Windows Server 2008 для анализа фрагментированных сообщений подтверждения протокола TLS/SSL.An update that enables Internet Explorer in Windows XP, in Windows Vista, or in Windows Server 2008 to parse fragmented TLS/SSL handshake messages is available.

Путь реестра: хклм\систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\мессагингRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging

Чтобы указать максимально допустимый размер фрагментированных сообщений подтверждения TLS, которые будет принимать клиент TLS, создайте запись мессажелимитклиент .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS client will accept, create a MessageLimitClient entry. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если параметр не настроен, значение по умолчанию будет 0x8000 байт.If not configured, the default value will be 0x8000 bytes.

Чтобы указать максимально допустимый размер фрагментированных сообщений подтверждения TLS, которые будут приниматься сервером TLS при отсутствии проверки подлинности клиента, создайте запись мессажелимитсервер .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is no client authentication, create a MessageLimitServer entry. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если не настроено, значение по умолчанию будет 0x4000 байтов.If not configured, the default value will be 0x4000 bytes.

Чтобы указать максимально допустимый размер фрагментированных сообщений подтверждения TLS, которые будут приниматься сервером TLS при проверке подлинности клиента, создайте запись мессажелимитсерверклиентаус .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is client authentication, create a MessageLimitServerClientAuth entry. После создания записи измените значение DWORD на нужную длину в битах.After you have created the entry, change the DWORD value to the desired bit length. Если параметр не настроен, значение по умолчанию будет 0x8000 байт.If not configured, the default value will be 0x8000 bytes.

SendTrustedIssuerListSendTrustedIssuerList

Эта запись управляет флагом, который используется при отправке списка доверенных издателей.This entry controls the flag that is used when the list of trusted issuers is sent. В случае серверов, которые доверяют сотням центров сертификации для проверки подлинности клиента, существует слишком много издателей, чтобы сервер мог отправлять их все на клиентский компьютер при запросе проверки подлинности клиента.In the case of servers that trust hundreds of certification authorities for client authentication, there are too many issuers for the server to be able to send them all to the client computer when requesting client authentication. В этом случае можно задать этот раздел реестра, и вместо отправки неполного списка Schannel SSP не будет отправлять клиенту никакой список.In this situation, this registry key can be set, and instead of sending a partial list, the Schannel SSP will not send any list to the client.

Если список доверенных издателей не отправляется, это может повлиять на то, что клиент посылает в ответ на запрос сертификата клиента.Not sending a list of trusted issuers might impact what the client sends when it is asked for a client certificate. Например, получив запрос на проверку подлинности клиента, Internet Explorer отображает только сертификаты клиента, по цепочке связанные с одним из центров сертификации, отправленных сервером.For example, when Internet Explorer receives a request for client authentication, it only displays the client certificates that chain up to one of the certification authorities that is sent by the server. Если сервер не передает список, Internet Explorer отображает все сертификаты клиента, установленные на клиенте.If the server did not send a list, Internet Explorer displays all of the client certificates that are installed on the client.

Это поведение может быть нежелательно.This behavior might be desirable. Например, если среды PKI включают перекрестный сертификат, сертификаты клиента и сервера не будут иметь одинакового корневого ЦС. Таким образом, Internet Explorer не может выбрать сертификат, который повязывается к одному из центров сертификации сервера.For example, when PKI environments include cross certificates, the client and server certificates will not have the same root CA; therefore, Internet Explorer cannot chose a certificate that chains up to one of the server's CAs. Если сервер настроен не отправлять список доверенных издателей, Internet Explorer будет отправлять все сертификаты.By configuring the server to not send a trusted issuer list, Internet Explorer will send all its certificates.

Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default.

Поведение отправки списка доверенных издателей по умолчаниюDefault Send Trusted Issuer List behavior

Версия WindowsWindows version TimeTime
Windows Server 2012 и Windows 8 и более поздние версииWindows Server 2012 and Windows 8 and later FALSEFALSE
Windows Server 2008 R2 и Windows 7 и более ранние версииWindows Server 2008 R2 and Windows 7 and earlier TRUETRUE

Применимые версии: Все версии, начиная с Windows Server 2008 и Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ServerCacheTimeServerCacheTime

Эта запись определяет время в миллисекундах, через которое в операционной системе истекает срок действия записей кэша на стороне сервера.This entry controls the amount of time in milliseconds that the operating system takes to expire server-side cache entries. Значение 0 отключает кэш сеанса на стороне сервера и запрещает переподключение.A value of 0 disables the server-side session cache and prevents reconnection. Если для ServerCacheTime задать значение больше установленного по умолчанию, Lsass.exe будет потреблять дополнительный объем памяти.Increasing ServerCacheTime above the default values causes Lsass.exe to consume additional memory. Каждый элемент кэша сеанса обычно занимает от 2 до 4 КБ памяти.Each session cache element typically requires 2 to 4 KB of memory. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default.

Применимые версии: Все версии, начиная с Windows Server 2008 и Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннелRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Время кэширования сервера по умолчанию: 10 часовDefault server cache time: 10 hours

SSL 2.0SSL 2.0

Этот подраздел управляет использованием SSL 2,0.This subkey controls the use of SSL 2.0.

Начиная с Windows 10 версии 1607 и Windows Server 2016, протокол SSL 2,0 был удален и больше не поддерживается.Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 2.0 has been removed and is no longer supported. Параметры SSL 2,0 по умолчанию см. в разделе протоколы TLS/SSL (поставщик общих служб Schannel).For a SSL 2.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол SSL 2,0, создайте запись Enabled в подразделе клиент или сервер, как описано в следующей таблице.To enable the SSL 2.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов SSL 2,0SSL 2.0 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием SSL 2,0 в клиенте SSL.Controls the use of SSL 2.0 on the SSL client.
Server (Сервер)Server Управляет использованием SSL 2,0 на сервере SSL.Controls the use of SSL 2.0 on the SSL server.

Чтобы отключить SSL 2,0 для клиента или сервера, измените значение DWORD на 0.To disable SSL 2.0 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование SSL 2,0, оно будет отклонено.If an SSPI app requests to use SSL 2.0, it will be denied.

Чтобы отключить SSL 2,0 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable SSL 2.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI вызовом запрос на использование SSL 2,0, его можно согласовать.If an SSPI app explcitly requests to use SSL 2.0, it may be negotiated.

В следующем примере показан протокол SSL 2,0, отключенный в реестре:The following example shows SSL 2.0 disabled in the registry:

SSL 2,0 отключен

SSL 3.0SSL 3.0

Этот подраздел управляет использованием SSL 3,0.This subkey controls the use of SSL 3.0.

Начиная с Windows 10 версии 1607 и Windows Server 2016, протокол SSL 3,0 по умолчанию отключен.Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 3.0 has been disabled by default. Параметры SSL 3,0 по умолчанию см. в разделе Протоколы TLS/SSL (поставщик общих служб Schannel).For SSL 3.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол SSL 3,0, создайте запись Enabled в подразделе клиент или сервер, как описано в следующей таблице.To enable the SSL 3.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table.
Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов SSL 3,0SSL 3.0 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием SSL 3,0 в клиенте SSL.Controls the use of SSL 3.0 on the SSL client.
Server (Сервер)Server Управляет использованием SSL 3,0 на сервере SSL.Controls the use of SSL 3.0 on the SSL server.

Чтобы отключить SSL 3,0 для клиента или сервера, измените значение DWORD на 0.To disable SSL 3.0 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование SSL 3,0, оно будет отклонено.If an SSPI app requests to use SSL 3.0, it will be denied.

Чтобы отключить SSL 3,0 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable SSL 3.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI явно запрашивает использование SSL 3,0, его можно согласовать.If an SSPI app explicitly requests to use SSL 3.0, it may be negotiated.

В следующем примере показан протокол SSL 3,0, отключенный в реестре:The following example shows SSL 3.0 disabled in the registry:

SSL 3,0 отключен

TLS 1.0TLS 1.0

Этот подраздел управляет использованием TLS 1,0.This subkey controls the use of TLS 1.0.

Параметры TLS 1,0 по умолчанию см. в разделе Протоколы TLS/SSL (поставщик общих служб Schannel).For TLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол TLS 1,0, создайте запись Enabled в клиенте или в подразделе сервера, как описано в следующей таблице.To enable the TLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов TLS 1,0TLS 1.0 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием TLS 1,0 в клиенте TLS.Controls the use of TLS 1.0 on the TLS client.
Server (Сервер)Server Управляет использованием TLS 1,0 на сервере TLS.Controls the use of TLS 1.0 on the TLS server.

Чтобы отключить TLS 1,0 для клиента или сервера, измените значение DWORD на 0.To disable TLS 1.0 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование TLS 1,0, оно будет отклонено.If an SSPI app requests to use TLS 1.0, it will be denied.

Чтобы отключить TLS 1,0 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable TLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI явно запрашивает использование TLS 1,0, его можно согласовать.If an SSPI app explicitly requests to use TLS 1.0, it may be negotiated.

В следующем примере показано отключение TLS 1,0 в реестре.The following example shows TLS 1.0 disabled in the registry:

TLS 1,0 отключена

TLS 1.1TLS 1.1

Этот подраздел управляет использованием TLS 1,1.This subkey controls the use of TLS 1.1.

Параметры TLS 1,1 по умолчанию см. в разделе Протоколы TLS/SSL (поставщик общих служб Schannel).For TLS 1.1 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол TLS 1,1, создайте запись Enabled в клиенте или в подразделе сервера, как описано в следующей таблице.To enable the TLS 1.1 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов TLS 1,1TLS 1.1 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием TLS 1,1 в клиенте TLS.Controls the use of TLS 1.1 on the TLS client.
Server (Сервер)Server Управляет использованием TLS 1,1 на сервере TLS.Controls the use of TLS 1.1 on the TLS server.

Чтобы отключить TLS 1,1 для клиента или сервера, измените значение DWORD на 0.To disable TLS 1.1 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование TLS 1,1, оно будет отклонено.If an SSPI app requests to use TLS 1.1, it will be denied.

Чтобы отключить TLS 1,1 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable TLS 1.1 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI явно запрашивает использование TLS 1,1, его можно согласовать.If an SSPI app explicitly requests to use TLS 1.1, it may be negotiated.

В следующем примере показано отключение TLS 1,1 в реестре.The following example shows TLS 1.1 disabled in the registry:

TLS 1,1 отключена

TLS 1.2TLS 1.2

Этот подраздел управляет использованием TLS 1,2.This subkey controls the use of TLS 1.2.

Параметры TLS 1,2 по умолчанию см. в разделе Протоколы TLS/SSL (поставщик общих служб Schannel).For TLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол TLS 1,2, создайте запись Enabled в клиенте или в подразделе сервера, как описано в следующей таблице.To enable the TLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов TLS 1,2TLS 1.2 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием TLS 1,2 в клиенте TLS.Controls the use of TLS 1.2 on the TLS client.
Server (Сервер)Server Управляет использованием TLS 1,2 на сервере TLS.Controls the use of TLS 1.2 on the TLS server.

Чтобы отключить TLS 1,2 для клиента или сервера, измените значение DWORD на 0.To disable TLS 1.2 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование TLS 1,2, оно будет отклонено.If an SSPI app requests to use TLS 1.2, it will be denied.

Чтобы отключить TLS 1,2 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable TLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI явно запрашивает использование TLS 1,2, его можно согласовать.If an SSPI app explicitly requests to use TLS 1.2, it may be negotiated.

В следующем примере показано отключение TLS 1,2 в реестре.The following example shows TLS 1.2 disabled in the registry:

TLS 1,2 отключена

DTLS 1.0DTLS 1.0

Этот подраздел управляет использованием DTLS 1,0.This subkey controls the use of DTLS 1.0.

Параметры по умолчанию для DTLS 1,0 см. в разделе протоколы в TLS/SSL (Schannel SSP).For DTLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол DTLS 1,0, создайте запись Enabled в клиенте или в подразделе сервера, как описано в следующей таблице.To enable the DTLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов DTLS 1,0DTLS 1.0 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием DTLS 1,0 в клиенте DTLS.Controls the use of DTLS 1.0 on the DTLS client.
Server (Сервер)Server Управляет использованием DTLS 1,0 на сервере DTLS.Controls the use of DTLS 1.0 on the DTLS server.

Чтобы отключить DTLS 1,0 для клиента или сервера, измените значение DWORD на 0.To disable DTLS 1.0 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование DTLS 1,0, оно будет отклонено.If an SSPI app requests to use DTLS 1.0, it will be denied.

Чтобы отключить DTLS 1,0 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable DTLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI явным образом запрашивает использование DTLS 1,0, его можно согласовать.If an SSPI app explicitly requests to use DTLS 1.0, it may be negotiated.

В следующем примере показано отключение DTLS 1,0 в реестре:The following example shows DTLS 1.0 disabled in the registry:

DTLS 1,0 отключена

DTLS 1,2DTLS 1.2

Этот подраздел управляет использованием DTLS 1,2.This subkey controls the use of DTLS 1.2.

Параметры по умолчанию для DTLS 1,2 см. в разделе протоколы в TLS/SSL (Schannel SSP).For DTLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Путь реестра: HKLM Систем\куррентконтролсет\контрол\секуритипровидерс\счаннел\протоколсRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Чтобы включить протокол DTLS 1,2, создайте запись Enabled в клиенте или в подразделе сервера, как описано в следующей таблице.To enable the DTLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Эта запись не существует в реестре по умолчанию.This entry does not exist in the registry by default. После создания записи измените значение DWORD на 1.After you have created the entry, change the DWORD value to 1.

Таблица подразделов DTLS 1,2DTLS 1.2 subkey table

ПодразделSubkey ОписаниеDescription
клиентClient Управляет использованием DTLS 1,2 в клиенте DTLS.Controls the use of DTLS 1.2 on the DTLS client.
Server (Сервер)Server Управляет использованием DTLS 1,2 на сервере DTLS.Controls the use of DTLS 1.2 on the DTLS server.

Чтобы отключить DTLS 1,2 для клиента или сервера, измените значение DWORD на 0.To disable DTLS 1.2 for client or server, change the DWORD value to 0. Если приложение SSPI запрашивает использование DTLS 1,0, оно будет отклонено.If an SSPI app requests to use DTLS 1.0, it will be denied.

Чтобы отключить DTLS 1,2 по умолчанию, создайте запись DisabledByDefault и измените значение DWORD на 1.To disable DTLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. Если приложение SSPI явным образом запрашивает использование DTLS 1,2, его можно согласовать.If an SSPI app explicitly requests to use DTLS 1.2, it may be negotiated.

В следующем примере показано отключение DTLS 1,1 в реестре:The following example shows DTLS 1.1 disabled in the registry:

DTLS 1,1 отключена