Управление протоколом Transport Layer Security (TLS)

Настройка порядка набора шифров TLS

Комплект шифров представляет собой набор криптографических алгоритмов. Разные версии Windows поддерживают различные наборы шифров TLS и порядок приоритета. См. Наборы шифров в TLS/SSL (Schannel SSP) для получения сведений о порядке по умолчанию, поддерживаемом поставщиком Microsoft Schannel в разных версиях Windows.

Изменения в порядке набора шифров TLS вступили в силу при следующей загрузке. До перезапуска или завершения работы существующий порядок действует.

Настройка порядка набора шифров TLS с помощью групповой политики

Параметры групповой политики набора шифров SSL можно использовать для настройки порядка набора шифров TLS по умолчанию.

1. В консоли управления групповыми политиками перейдите в Конфигурация компьютера>Административные шаблоны>Сеть>Настройки конфигурации SSL.

2. Дважды щелкните порядок набора шифров SSL и выберите параметр "Включено ".

3. Щелкните правой кнопкой мыши флажок "Наборы шифров SSL" и выберите "Выбрать все " во всплывающем меню.

   

4. Щелкните правой кнопкой мыши выделенный текст и выберите копию во всплывающем меню.

5. Вставьте текст в текстовый редактор, например, notepad.exe, и обновите его новым списком порядка наборов шифров.

   Примечание.

   Список заказов набора шифров TLS должен быть в строгом формате с разделителями-запятыми. Каждая строка набора шифров заканчивается запятой справа от нее. Кроме того, список наборов шифров ограничен 1023 символами.

6. Замените список в SSL-наборах шифров на обновленный упорядоченный список.

7. Нажмите кнопку ОК или Применить.

Настройка порядка набора шифров TLS с помощью MDM

CSP политики Windows 10 поддерживает настройку наборов шифров TLS. Дополнительные сведения см. в разделе Cryptography/TLSCipherSuites.

Настройка порядка набора шифров TLS с помощью командлетов TLS PowerShell

Модуль TLS PowerShell поддерживает получение упорядоченного списка наборов шифров TLS, отключение набора шифров и включение набора шифров. Дополнительные сведения см. в разделе TLS Module.

Настройка порядка кривой TLS ECC

Начиная с Windows 10 и Windows Server 2016, порядок кривой ECC можно настроить независимо от порядка набора шифров. Если в порядке следования наборов шифров TLS есть суффиксы эллиптических кривых, они будут переопределены новым порядком приоритета эллиптических кривых, когда они включены. Это позволяет организациям использовать объект групповой политики для настройки различных версий Windows Server с одинаковым порядком наборов шифров.

Управление кривыми ECC с помощью CertUtil

Начиная с Windows 10 и Windows Server 2016, Windows предоставляет управление параметрами эллиптических кривых через служебную программу командной строки certutil.exe. Параметры эллиптической кривой хранятся в bcryptprimitives.dll. Администраторы могут добавлять и удалять параметры кривой в и из Windows Server с помощью certutil.exe. Certutil.exe безопасно сохраняет параметры кривой в реестре. Windows Server может начать использовать параметры кривой по имени, связанному с кривой.

Отображение зарегистрированных кривых

Используйте следующую команду certutil.exe, чтобы отобразить список кривых, зарегистрированных для текущего компьютера.

certutil.exe –displayEccCurve

Добавление новой кривой

Организации могут создавать и использовать параметры кривой, исследуемые другими доверенными сущностями. Администраторы, желающие использовать эти новые кривые в Windows, должны добавить кривую. Используйте следующую команду certutil.exe, чтобы добавить эллиптическую кривую на текущий компьютер.

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]

• Аргумент curveName представляет имя кривой, под которой были добавлены параметры кривой.
• Аргумент curveParameters представляет имя файла сертификата, содержащего параметры кривых, которые необходимо добавить.
• Аргумент curveOid представляет имя файла сертификата, содержащего идентификатор OID параметров кривой, которые требуется добавить (необязательно).
• Аргумент curveType представляет десятичное значение именованной кривой из реестра именованных кривых EC (необязательно).

Удаление ранее добавленной кривой

Администраторы могут удалить ранее добавленную кривую с помощью следующей команды certutil.exe:

certutil.exe –deleteEccCurve curveName

Windows не может использовать именованную кривую после того, как администратор удаляет кривую с компьютера.

Управление кривыми ECC с помощью групповой политики

Организации могут распространять параметры криптографической кривой на корпоративные компьютеры, присоединенные к домену, с помощью групповой политики и расширения параметров групповой политики в реестре. Процесс распределения кривой:

1. Используйте certutil.exe для добавления новой зарегистрированной именованной кривой.

2. На том же компьютере откройте консоль управления групповыми политиками (GPMC), создайте новый объект групповой политики и измените его.

3. Перейдите к конфигурации компьютера|Параметры|Параметры Windows |Реестр. Щелкните правой кнопкой мыши Реестр. Наведите указатель мыши на новый элемент и выберите элемент коллекции. Переименуйте элемент коллекции в соответствии с именем кривой. Вы создаете элемент коллекции реестра для каждого ключа реестра в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

4. Настройте только что созданную коллекцию реестра параметров групповой политики, добавив новый элемент реестра для каждого значения реестра, указанного в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

5. Разверните объект групповой политики, содержащий компьютеры элементов коллекции реестра групповой политики, которые должны получать новые именованные кривые.

   

Управление порядком TLS ECC

Начиная с Windows 10 и Windows Server 2016, параметры групповой политики порядка кривой ECC по умолчанию можно использовать для настройки порядка кривой TLS ECC по умолчанию. Организации могут добавлять собственные доверенные именованные кривые в операционную систему и затем добавлять эти именованные кривые в параметр групповой политики приоритета именованных кривых, чтобы гарантировать их использование в будущих TLS-соглашениях. Новые списки приоритетов кривых становятся активными при следующей перезагрузке после получения параметров политики.