Windows Server 2022 中的 TLS 密码套件

只能针对支持密码套件的 TLS 版本协商密码套件。 TLS 握手中始终首选支持的最高 TLS 版本。

密码套件的可用性应通过两种方式之一进行控制:

  • 配置优先级列表时,将覆盖默认优先级顺序。 不会使用不在优先级列表中的密码套件。
  • 应用程序通过 SCH USE STRONG CRYPTO 时允许:当应用程序使用 SCH USE STRONG CRYPTO 标志时,Microsoft Schannel 提供程序将筛选出已知的弱 _ _ _ _ _ _ 密码套件。 RC4、DES、导出和 null 密码套件被筛选掉。

重要

HTTP/2 Web 服务因非 HTTP/2 兼容密码套件而失败。 若要确保 Web 服务与 HTTP/2 客户端和浏览器一起运行,请参阅 如何部署自定义密码套件排序

随着添加椭圆曲线,FIPS 符合性变得更加复杂,使得此表早期版本中已启用 FIPS 模式的列具有误导性。 例如,使用 NIST 椭圆曲线时,密码套件(如 TLS _ ECDHE _ RSA _ WITH _ AES _ 128 _ CBC _ SHA256)仅符合 FIPS 要求。 若要了解将在 FIPS 模式下启用椭圆曲线和密码套件的组合,请参阅选择、配置和使用 TLS实现指南的第 3.3.1 节。

对于 Windows Server 2022,以下密码套件是使用 Microsoft Schannel 提供程序默认按此优先级顺序启用的:

密码套件字符串 SCH _ USE _ STRONG CRYPTO _ 允许 TLS/SSL 协议版本
TLS _ AES _ 256 _ GCM _ SHA384

TLS 1.3
TLS _ AES _ 128 _ GCM _ SHA256

TLS 1.3
使用 _ _ _ _ AES _ 256 _ GCM _ SHA384 的 TLS ECDHE ECDSA

TLS 1.2
使用 _ _ _ _ AES _ 128 _ GCM _ SHA256 的 TLS ECDHE ECDSA

TLS 1.2
使用 _ _ _ _ AES _ 256 _ GCM _ SHA384 的 TLS ECDHE RSA

TLS 1.2
使用 _ _ _ _ AES _ 128 _ GCM _ SHA256 的 TLS ECDHE RSA

TLS 1.2
使用 _ _ _ _ AES _ 256 _ GCM _ SHA384 的 TLS DHE RSA

TLS 1.2
使用 _ _ _ _ AES _ 128 _ GCM _ SHA256 的 TLS DHE RSA

TLS 1.2
使用 _ _ _ _ AES _ 256 _ CBC _ SHA384 的 TLS ECDHE ECDSA

TLS 1.2
使用 _ _ _ _ AES _ 128 _ CBC _ SHA256 的 TLS ECDHE ECDSA

TLS 1.2
使用 _ _ _ _ AES _ 256 _ CBC _ SHA384 的 TLS ECDHE RSA

TLS 1.2
使用 _ _ _ _ AES _ 128 _ CBC _ SHA256 的 TLS ECDHE RSA

TLS 1.2
使用 _ _ _ _ AES _ 256 _ CBC _ SHA 的 TLS ECDHE ECDSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ _ AES _ 128 _ CBC _ SHA 的 TLS ECDHE ECDSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ _ AES _ 256 _ CBC SHA 的 _ TLS ECDHE RSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ _ AES _ 128 _ CBC SHA 的 _ TLS ECDHE RSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ AES _ 256 _ GCM _ SHA384 的 TLS RSA

TLS 1.2
使用 _ _ _ AES _ 128 _ GCM _ SHA256 的 TLS RSA

TLS 1.2
使用 _ _ _ AES _ 256 _ CBC _ SHA256 的 TLS RSA

TLS 1.2
使用 _ _ _ AES _ 128 _ CBC _ SHA256 的 TLS RSA

TLS 1.2
使用 _ _ _ AES _ 256 _ CBC SHA 的 _ TLS RSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ AES _ 128 _ CBC SHA 的 _ TLS RSA

TLS 1.2、TLS 1.1、TLS 1.0
具有 _ _ _ 3DES _ EDE _ CBC _ SHA 的 TLS RSA

TLS 1.2、TLS 1.1、TLS 1.0
具有 _ NULL _ _ _ SHA256 的 TLS RSA
仅在应用程序显式请求时使用。

TLS 1.2
具有 NULL SHA 的 TLS _ _ _ _ RSA
仅在应用程序显式请求时使用。

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0

Microsoft Schannel 提供程序支持以下密码套件,但默认不启用:

密码套件字符串 SCH _ USE _ STRONG CRYPTO _ 允许 TLS/SSL 协议版本
TLS _ CHACHA20 _ POLY1305 _ SHA256

TLS 1.3
使用 _ _ _ _ AES _ 256 _ CBC SHA 的 _ TLS DHE RSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ _ AES _ 128 _ CBC SHA 的 _ TLS DHE RSA

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ _ AES _ 256 _ CBC _ SHA256 的 TLS DHE DSS

TLS 1.2
使用 _ _ _ _ AES _ 128 _ CBC _ SHA256 的 TLS DHE DSS

TLS 1.2
使用 _ _ _ _ AES _ 256 _ CBC SHA 的 TLS DHE _ DSS

TLS 1.2、TLS 1.1、TLS 1.0
使用 _ _ _ _ AES _ 128 _ CBC SHA 的 TLS DHE _ DSS

TLS 1.2、TLS 1.1、TLS 1.0
TLS _ DHE _ DSS _ 与 _ 3DES _ EDE _ CBC _ SHA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
使用 _ _ _ RC4 _ 128 _ SHA 的 TLS RSA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS _ RSA _ WITH _ RC4 _ 128 _ MD5

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
使用 _ DES _ _ _ CBC _ SHA 的 TLS RSA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
使用 DES CBC SHA 的 TLS _ DHE _ _ _ _ _ DSS

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS _ DHE _ DSS _ EXPORT1024 _ WITH _ DES _ CBC _ SHA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
具有 _ NULL _ _ _ MD5 的 TLS RSA
仅在应用程序显式请求时使用。

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS _ RSA _ EXPORT1024 _ WITH _ RC4 _ 56 _ SHA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
使用 _ _ _ _ RC4 _ 40 _ MD5 导出 TLS RSA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS _ RSA _ EXPORT1024 _ WITH _ DES _ CBC _ SHA

TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0

以下 PSK 密码套件已启用,默认情况下,此优先级顺序使用 Microsoft Schannel 提供程序:

密码套件字符串 SCH _ USE _ STRONG CRYPTO _ 允许 TLS/SSL 协议版本
使用 _ _ _ AES _ 256 _ GCM _ SHA384 的 TLS PSK

TLS 1.2
使用 _ _ _ AES _ 128 _ GCM _ SHA256 的 TLS PSK

TLS 1.2
使用 _ _ _ AES _ 256 _ CBC _ SHA384 的 TLS PSK

TLS 1.2
使用 _ _ _ AES _ 128 _ CBC _ SHA256 的 TLS PSK

TLS 1.2
具有 NULL _ _ _ _ SHA384 的 TLS PSK

TLS 1.2
具有 NULL _ _ _ _ SHA256 的 TLS PSK

TLS 1.2

备注

默认情况下不启用 PSK 密码套件。 应用程序只需使用 SCH USE _ _ PRESHAREDKEY 请求 _ PSK。 有关 Schannel 标志详细信息,请参阅 SCHANNEL _ CRED

若要添加密码套件,请部署组策略或使用 TLS cmdlet:

  • 若要使用组策略,请使用要启用的所有密码套件的优先级列表,在"计算机配置> 管理模板 >网络> SSL 配置"设置下配置 SSL 密码套件顺序。
  • 若要使用 PowerShell,请参阅TLS cmdlet。

备注

在Windows 10,密码套件字符串追加了椭圆曲线以确定曲线优先级。 Windows 10 支持椭圆曲线优先级顺序设置,因此椭圆曲线后缀不是必需的,并且会由新的椭圆曲线优先级顺序替代(如果提供),以允许组织使用组策略配置使用相同密码套件的不同 Windows 版本。