Článek popisuje některé informace o nastavení registru pro Windows® implementaci protokolu Transport Layer Security (TLS) a protokolu Secure Sockets Layer (SSL) prostřednictvím Schannel Security SupportProvider (SSP).
Poznámka :Platí pro Windows Server (půlroční kanál), Windows Server 2019, Windows Server 2016 a Windows 10.
Následující části se zabývají specifickými parametry nastavení registru:
CertificateMappingMethods
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Pro mapování klientských certifikátů existují dvě metody:
-
Mapování jedna ku jedné :Tato mapování odpovídají individuálním klientským certifikátům k jednotlivým uživatelským účtům na individuální bázi. Každý klientský certifikát mapuje na uživatelský účet.
-
Mapování mnoho ku jedné :Tato mapování přiřazuje více certifikátů k uživatelskému účtu na základě podpolí v klientských certifikátech.
Konfigurace této položky na vašem serveru pokaždé, když klient předloží klientský certifikát, automaticky přiřadí tohoto uživatele k příslušnému uživatelskému účtu Windows.
Šifry a šifrovací sady
Ke konfiguraci těchto záznamů potřebujete pořadí šifrovací sady TLS, MDM zásad skupiny nebo PowerShell® a tento článek nepokrývá konfiguraci.
ClientCacheTime
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Tato položka řídí dobu, kterou operační systém potřebuje (v milisekundách), než vyprší platnost položek mezipaměti na straně klienta. Pokud je hodnota 0 , vypne zabezpečené připojení.
EnableOcspStaplingForSni
Online Certificate Status Protocol (OCSP) je protokol používaný k získání stavu odvolání digitálního certifikátu X.509 během TLS handshake. Aktivací této položky může webový server snížit své pracovní zatížení.
Cesta registru:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Přidejte následující klíč:"EnableOcspStaplingForSni"=dword:00000001
Chcete-li zakázat, nastavte DWORD hodnota na 0:"EnableOcspStaplingForSni"=dword:00000000
FIPSAlgorithmPolicy
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\LSA
Národní institut pro standardy a technologie veřejně oznamuje standardy Federal InformationProcessing (FIPS) vyvinuté pro použití v počítačových systémech nevojenskými americkými vládními agenturami a vládními dodavateli. Nastavení této položky řídí soulad s FIPS. Výchozí hodnota je 0 .
Haše
Konfigurace pořadí šifrovací sady by měla řídit hashovací algoritmy TLS/SSL.
IssuerCacheSize
Když se vydavatelé nemapují na účet, server se může pokusit mapovat stejné jméno vydavatele opakovaně, stovkykrát za sekundu. Tento záznam, který řídí velikost mezipaměti vydavatele, použijete s mapováním vydavatele. Tato položka registru určuje velikost mezipaměti a výchozí hodnota je 100 .
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
IssuerCacheTime
Jako IssuerCacheSize zabraňuje vícenásobným pokusům o mapování vydavatele na server, můžete omezit délku intervalu časového limitu mezipaměti v milisekundách. Výchozí hodnota je 10 minut.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
KeyExchangeAlgorithm:Velikosti klíčů RSA klienta
Tato položka řídí velikost klíče RSA klienta.
Cesta registru:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS
Pokud chcete určit minimální délku klíče RSA, měli byste vytvořit ClientMinKeyBitLength zadání a přiřaďte požadovanou délku. Pokud tento záznam nevytvoříte, výchozí hodnota je 1024 bitů. Pokud však zadáte maximální délku, vytvořte ClientMaxKeyBitLength zadejte a změňte požadovanou hodnotu.
Poznámka :Konfigurace pořadí šifrovací sady by se měla řídit pomocí algoritmů výměny klíčů.
KeyExchangeAlgorithm:Diffie-Hellman velikosti klíčů
Tato položka řídí velikosti klíčů Diffie-Hellman.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
Všimněte si, že další položky pro zadání hodnoty klíče Diffie-Helman jsou stejné jako klíč RSA. Pokud chcete určit minimální podporovaný rozsah klíče Diffie-Helman, měli byste vytvořit ClientMinKeyBitLength zadání a přiřaďte požadovanou bitovou délku, kterou chcete. Pokud tento záznam nevytvoříte, výchozí hodnota je 1024 bitů. Pokud zadáte maximální rozsah podpory, vytvořte ClientMaxKeyBitLength zadejte a změňte požadovanou hodnotu. Nakonec použijteServerMinKeyBitLength zadejte délku výchozího serveru TLS. Pokud ne, výchozí hodnota je 2048.
Poznámka :Konfigurace pořadí šifrovací sady by se měla řídit pomocí algoritmů výměny klíčů.
MaximumCacheSize
Prvky mezipaměti mohou mít různé velikosti. Když aktivujete tuto položku, nastavíte maximální velikost mezipaměti. Nastavení hodnoty na 0 zakáže relaci na straně serveru a zabrání opětovnému připojení. Aktivací této položky pravděpodobně získáte další spotřebu paměti na vašem serveru. Výchozí hodnota je 20 000 prvků.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Zasílání zpráv:analýza fragmentů
Pokaždé, když se klient pokusí připojit k serveru pomocí TLS a připojení je úspěšné, systém uloží na server zprávu o navázání spojení. Můžete nastavit limit velikosti pro ukládání těchto zpráv. Když nastavíte hodnotu na 0x0 , nemůžete ukládat zprávy handshake, což způsobuje selhání TLS. Maximální povolenou velikost můžete zvětšit na 2^24-1 bajtů.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging
SendTrustedIssuerList
Tuto položku použijte pouze v případě, že nechcete klientovi posílat žádný seznam důvěryhodných vydavatelů.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
ServerCacheTime
Tuto položku použijte k nastavení času (v milisekundách), který operační systém potřebuje k vypršení platnosti záznamů mezipaměti na straně serveru.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Hodnota 0 deaktivuje mezipaměť relace na straně serveru a zabrání opětovnému připojení. Zvyšování ServerCacheTime nad výchozími hodnotami způsobí Lsass.exe spotřebovat paměť. Každý prvek mezipaměti relace obvykle vyžaduje 2 až 4 KB paměti. Výchozí doba mezipaměti serveru je 10 hodin.
Pokud položku ve výchozím nastavení zakážete pomocí DisabledByDefault vstup a aplikace anSSPI výslovně vyžadují použití SSL, TLS nebo DTLS, může být vyjednáno.
SSL 2.0
Tento podklíč řídí použití SSL 2.0.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol SSL 2.0, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte hodnotu na 0 . Chcete-li ve výchozím nastavení zakázat SSL 2.0, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .
SSL 3.0
Tento podklíč řídí použití SSL 3.0.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol SSL 3.0, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte hodnotu na 0 . Chcete-li ve výchozím nastavení zakázat SSL 3.0, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .
TLS 1.0
Tento podklíč řídí použití TLS 1.0.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol TLS 1.0, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte DWORD hodnotu na 0 .Chcete-li standardně zakázat TLS 1.0, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .
TLS 1.1
Tento podklíč řídí použití TLS 1.1.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol TLS 1.1, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte hodnotu na 0 . Chcete-li standardně zakázat TLS 1.1, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .
TLS 1.2
Tento podklíč řídí použití TLS 1.2.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol TLS 1.2, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte hodnotu na 0. Chcete-li standardně zakázat TLS 1.2, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .
DTLS 1.0
Tento podklíč řídí použití DTLS 1.0.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol DTLS 1.0, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte hodnotu na 0 . Chcete-li ve výchozím nastavení zakázat DTLS 1.0, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .
DTLS 1.2
Tento podklíč řídí použití DTLS 1.2.
Cesta registru:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Chcete-li povolit protokol DTLS 1.2, vytvořte Povoleno záznam (v podklíči Client nebo Server) a změňte hodnotu na 1 . Chcete-li jej zakázat, změňte hodnotu na 0 . Chcete-li ve výchozím nastavení zakázat DTLS 1.2, vytvořte DisabledByDefault zadejte a změňte hodnotu na 1 .