Schannel.dll에서 특정 프로토콜과 암호화 알고리즘의 사용을 제한 하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 245030 - 이 문서가 적용되는 제품 보기.
이후 버전의 Windows에 대 한
레지스트리 키 및 Windows Server 2008, Windows 7 및 Windows Server 2008 r 2에서 해당 내용을 다른 Windows Server 2003 및 이전 버전에서 레지스트리 키를 찾습니다. Windows 7, Windows Server 2008 및 Windows Server 20008 R2 및 기본 내용에서 레지스트리 위치는 다음과 같습니다.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel]
"EventLogging" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\CipherSuites]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Hashes]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\KeyExchangeAlgorithms]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001

이 콘텐츠는 표준 REGEDIT 내보내기 형식으로 표시 됩니다.

노트
  • 암호화 키 값 또는 하위 키가 없습니다 있어야 합니다.
  • 없음 값 또는 하위 키 암호가 있어야 합니다.
  • 해시 키 값 또는 하위 키가 없습니다 있어야 합니다.
  • KeyExchangeAlgorithms 키 값 또는 하위 키가 없습니다 있어야 합니다.
  • 프로토콜 키 다음 하위 키 및 값을 포함 해야 합니다.
    • 프로토콜
      • SSL 2.0
        • 클라이언트
          • DisabledByDefault REG_DWORD 0x00000001 (값)
Windows Server 2008은 다음 프로토콜을 지원합니다.
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Windows Server 2008 R2 및 Windows 7는 다음 프로토콜을 지원합니다.
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
서버 또는 클라이언트 아키텍처에 대 한 이러한 프로토콜을 비활성화할 수 있습니다. 즉, 프로토콜을 생략 하거나 다음과 같이 사용할 수 있습니다.
  • SSL 연결이 시작 되는 클라이언트가 Hello에 포함 되어 있는 지원 되는 프로토콜 목록에서 프로토콜을 생략할 수 있습니다.
  • 서버는 클라이언트가 SSL 2.0을 요청 하는 경우 해당 프로토콜을 사용 하 여 응답 하지 않습니다 있도록 프로토콜 서버에서 해제할 수 있습니다.
클라이언트 및 서버 하위 키 각 프로토콜을 지정합니다. 클라이언트 또는 서버에 대 한 프로토콜을 비활성화할 수 있습니다. 그러나 암호화, 해시, 또는 암호가 해제 하면 클라이언트와 서버 양쪽에 적용 됩니다. 이 프로토콜 키 필요한 하위 키를 만들 것입니다. 예를 들어:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
하위 키를 만든 후 레지스트리에 다음과 같이 표시 됩니다.

그림 축소그림 확대
2880599


기본적으로 SSL 2.0 클라이언트는 Windows Server 2008, Windows Server 2008 R2 및 Windows 7에서 사용할 수 없습니다. 즉, 컴퓨터가 시작 된 클라이언트 Hello SSL 2.0을 사용 하지 않습니다. 따라서 레지스트리에 다음과 같이 표시 됩니다.

그림 축소그림 확대
2880600
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001
암호화 및 KeyExchangeAlgorithms와 동일 하 게 프로토콜을 사용 또는 사용할 수 있습니다. 다른 프로토콜을 사용 하지 않으려면 프로토콜을 사용 하지 않도록 설정 하 고 다음 추가 하려면 원하는 대화 면을 선택 하면 "사용" = dword: 00000000 값입니다. 다음 예제에서는 클라이언트에 대 한 서버 및 또한 SSL 2.0에 대 한 SSL 2.0을 비활성화합니다.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Client]
"DisabledByDefault" = dword: 00000001<Default client="" disabled="">
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"사용" = dword: 00000000<Disables ssl="" 2.0="" server-side=""></Disables></Default>
이 작업을 수행한 후 서버를 다시 시작 해야 합니다.
모두 확대 | 모두 축소

이 페이지에서

요약

특정 암호화 알고리즘과 프로토콜 Schannel.dll 파일의 사용을 제한 하는 방법을 설명 합니다.이 정보에 대 한 Microsoft 암호화 API (CAPI) 작성 된 독립 소프트웨어 공급 업체 (ISV) 응용 프로그램에도 적용 됩니다.

참고 Windows Server 2008 및 이후 버전의 Windows에 적용 되는 레지스트리 키 "에 대해 이후 버전의 Windows" 절을 참조.

추가 정보

Windows NT 4.0 서비스 팩 6에 포함 된 다음과 같은 암호화 서비스 공급자 (Csp)에 대 한 인증서 수 여 되었습니다. FIPS 140-1 암호화 유효성 검사:
  • Microsoft 기반 암호화 공급자 (Rsabase.dll)
  • Microsoft 고급 암호화 공급자 (Rsaenh.dll) (아닌 내보내기 버전)
Schannel.dll 파일을 Microsoft TLS/SSL 보안 공급자가 여기에 나열 된 Internet Explorer 및 인터넷 정보 서비스 (IIS)에 대 한 지원에서 SSL 또는 TLS를 통해 보안 통신을 수행 하는 Csp를 사용 합니다.

암호화 그룹 1 및 2를 지원 하도록 Schannel.dll 파일을 변경할 수 있습니다. 그러나 프로그램이 암호화 그룹 1 및 2 지원 해야 합니다. IIS 4.0 및 5.0에서 암호화 그룹 1 및 2 지원 되지 않습니다.

TLS/SSL 보안 공급자에 대 한 Windows NT 4.0 서비스 팩 6 및 이후 버전을 구성 하는 데 필요한 정보가 나와 있습니다. 특정 SSL 3.0 또는 TLS 1.0 암호화 제품군 기반 암호화 공급자 또는 향상 된 암호화 공급자에서 지원 되는 암호화 알고리즘에 대 한 사용을 제어 하는 Windows 레지스트리를 사용할 수 있습니다.

참고 Windows NT 4.0 서비스 팩 6에서 Schannel.dll 파일 Microsoft 기반 DSS 암호화 공급자 (Dssbase.dll) 또는 Microsoft DS/Diffie-hellman 향상 된 암호화 공급자 (Dssenh.dll)를 사용 하지 않습니다.

암호 그룹

SSL 3.0 둘 다 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) 및 TLS 1.0 (RFC2246) "56 비트 내보내기 암호군 TLS draft-ietf-tls-56-bit-ciphersuites-00.txt에 대 한" 인터넷으로 초안을 다른 암호 그룹을 사용 하는 옵션을 제공 합니다. 키 교환, 인증, 암호화 및 MAC 알고리즘을 SSL/TLS 세션에 사용 되는 각 암호화 제품군에 따라 결정 됩니다. RSA 키 교환 및 인증 알고리즘을 사용 하면 용어 RSA 나타나는지 확인 한 시간에 해당 하는 암호화 제품군 정의 합니다.

기반 암호화 공급자 또는 향상 된 암호화 공급자를 사용할 때 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 다음 SSL 3.0 정의 된 "CipherSuite"를 지원 합니다.
표 축소표 확대
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00 0x64}
참고 SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA와 SSL_RSA_EXPORT1024_WITH_RC4_56_SHA 모두 SSL 3.0 텍스트에서 정의 됩니다. 그러나 SSL 3.0의 여러 공급 업체 지원. Microsoft 포함 됩니다.

Microsoft 기반 암호화 공급자 또는 향상 된 암호화 공급자를 사용할 때 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 다음 TLS 1.0 정의 된 "CipherSuite"를 또한 지원 합니다.

표 축소표 확대
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00 0x64}
참고 첫 번째 바이트 "0x00"를 사용 하 여 정의 되어 있는 암호화 제품군 전용이 아닌 이며 상호 운용 가능한 열린 통신에 사용 됩니다. 따라서 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 SSL 3.0 및 TLS 1.0에 지정 된 대로 이러한 암호 그룹을 사용 하 여 상호 운용성을 확인 하는 절차는 다음과 같습니다.

샤넬 특정 레지스트리 키

중요 이 섹션, 메서드 또는 작업은 레지스트리를 수정하는 방법을 설명 하는 단계를 포함합니다. 그러나 레지스트리를 잘못 수정하면, 심각한 문제가 발생할 수 있습니다. 따라서, 다음 단계를 주의 깊게 수행해야 합니다. 이 수정 하기 전에 추가 보호를 위해 레지스트리를 백업합니다. 그런 다음, 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 백업 및 레지스트리를 복원 하는 방법에 대한 자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭하십시오.
322756 Windows에서 레지스트리를 백업하고 복원하는 방법
참고 암호 키 또는 해시 키의 내용에 변경 내용이 시스템을 다시 시작 하지 않고 즉시 적용 합니다.

샤넬 키

레지스트리 편집기 (Regedt32.exe)를 시작한 후 다음 레지스트리 키를 찾습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols 하위 키

프로토콜 (예: TLS 1.1 및 TLS 1.2) 기본적으로 협상 되지 것입니다을 사용 하 여 시스템을 사용 하려면 DisabledByDefault 값의 DWORD 값 데이터 프로토콜 키에 다음 레지스트리 키에서 0x00x0 변경 합니다.
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
경고 프로토콜 키 아래의 레지스트리 키에서 DisabledByDefault 값은 샤넬 자격 증명에 대 한 데이터가 들어 있는 SCHANNEL_CRED 구조에 정의 된 grbitEnabledProtocols 값 보다 우선 하지 않습니다.

SCHANNEL\Ciphers 하위 키

샤넬 키 암호화 레지스트리 키 DES 및 RC4 대칭 알고리즘 사용을 제어 하는 데 사용 됩니다. 다음은 암호화 키 아래에 올바른 레지스트리 키입니다.
128/128 SCHANNEL\Ciphers\RC4 하위 키
RC4 128/128

이 하위 키는 128 비트 RC4 참조합니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 하거나 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다. 이 레지스트리 키를 SGC 인증서는 되어 있지 않은 내보낼 수 있는 서버에 적용 되지 않습니다.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
하위 SCHANNEL\Ciphers\Triple DES 168/168
DES 168

이 레지스트리 키는 ANSI X9.52 및 초안 FIPS 46-3에 지정 된 대로 168 비트 DES 참조합니다. 이 레지스트리 키 내보내기 버전에 적용 되지 않습니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 데이터를 변경 하거나 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
128/128 SCHANNEL\Ciphers\RC2 하위 키
RC2 128/128

이 레지스트리 키는 128 비트 RC2 참조합니다. 내보내기 버전에 적용 되지 않습니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

SCHANNEL\Ciphers\RC4 64/128 하위 키
RC4 64/128

이 레지스트리 키를 64 비트 RC4 참조합니다. 이 내보내기 버전에 적용 되지 않습니다 되지만 Microsoft Money에서 사용 됩니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

56/128 SCHANNEL\Ciphers\RC4 하위 키
RC4 56/128

이 레지스트리 키를 56 비트 RC4 참조합니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
56/128 SCHANNEL\Ciphers\RC2 하위 키
RC2 56/128

이 레지스트리 키를 56 비트 RC2 참조합니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

하위 SCHANNEL\Ciphers\RC2 56/56

DES 56

이 레지스트리 키를 FIPS 46-2 지정 된 대로 56 비트 DES 참조합니다. Rsabase.dll 및 Rsaenh.dll 파일 구현은 FIPS 140-1 암호화 모듈 유효성 검사 프로그램에서 검사 됩니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 하위 키

RC4 40/128

이 40 비트 RC4 참조합니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 하위 키

RC2 40/128

이 레지스트리 키는 40 비트 RC2 참조합니다.

이 암호화 알고리즘을 허용 하려면 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0. Enabled 값을 구성 하지 않으면 기본값이 사용 됩니다.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL 하위 키

NULL

이 레지스트리 키는 암호화를 의미합니다. 기본적으로 꺼져 있습니다.

암호화를 해제 하려면 (모든 암호화 알고리즘을 허용) 사용 값의 DWORD 값 데이터를 변경 합니다. 적당 한. DWORD 값 데이터를 변경 합니다 0x0.

샤넬/해시 하위 키

샤넬 키에서 해시 레지스트리 키를 sha-1 및 MD5 해시 알고리즘의 사용을 제어 하는 데 사용 됩니다. 해시 키 아래에 올바른 레지스트리 키 다음과 같습니다.

SCHANNEL\Hashes\MD5 하위 키

MD5

이 해시 알고리즘을 사용 하려면 기본값 사용 값의 DWORD 값 데이터 변경 적당 한. DWORD 값 데이터를 변경 합니다 0x0.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA 하위 키

S H A

이 레지스트리 키를 FIPS 180-1에에서 지정 된 보안 해시 알고리즘 (sha-1)를 참조합니다. Rsabase.dll 및 Rsaenh.dll 파일 구현은 FIPS 140-1 암호화 모듈 유효성 검사 프로그램에서 검사 됩니다.

이 해시 알고리즘을 사용 하려면 기본값 사용 값의 DWORD 값 데이터 변경 적당 한. DWORD 값 데이터를 변경 합니다 0x0.

효과적으로이 알고리즘을 사용 하지 않으면 다음 허용:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

샤넬/KeyExchangeAlgorithms 하위 키

샤넬 키에서 KeyExchangeAlgorithms 레지스트리 키를 같은 RSA 키 교환 알고리즘의 사용을 제어 하는 데 사용 됩니다. KeyExchangeAlgorithms 키 아래에 올바른 레지스트리 키는 다음과 같습니다.

SCHANNEL\KeyExchangeAlgorithms\PKCS 하위 키
PKCS

이 레지스트리 키는 RSA 키 교환 및 인증 알고리즘을 가리킵니다.

RSA를 사용 값의 DWORD 값 데이터의 기본값을 변경 적당 한. 그렇지 않으면 DWORD 데이터 변경 0x0.

효과적으로 RSA를 사용 하지 않으면 모든 RSA 기반 SSL과 TLS 원하는 cipher suite를 Windows NT4 s p 6 Microsoft TLS/SSL 보안 공급자가 허용 하지 않습니다.

FIPS 140-1 암호 그룹

만 SSL 3.0 또는 TLS 1.0 암호군에 FIPS 46-3 또는 FIPS 46-2와 Microsoft 기본 또는 향상 된 암호화 공급자에 의해 제공 된 FIPS 180-1 알고리즘을 사용할 수도 있습니다.

이 문서에서는 FIPS 140-1 암호 그룹을를 참조할 것. 구체적으로 다음과 같습니다.
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
FIPS 140-1 암호 그룹에만 정의 된 대로 여기에서 사용 하 고 사용 값의 DWORD 값 데이터를 다음 레지스트리 키에 구성 Windows NT 4.0 서비스 팩 6 Microsoft TLS/SSL 보안 공급자는 기본 암호화 공급자 또는 향상 된 암호화 공급자에 의해 지원 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
다음 레지스트리 키에서 Enabled 값의 DWORD 값 데이터를 구성 하 고 적당 한:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[내보내기 버전에 적용 되지 않습니다]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 암호 그룹을 사용 하 여 마스터 비밀 계산

FIPS 140-1 암호화 FIPS 140-1 암호 그룹을 사용 하 여 TLS 1.0에서에 대 한 프로시저에서 다른 SSL 3.0에서 도구 모음을 사용 하기 위한 절차입니다.

SSL 3.0 다음은 정의 master_secret 계산입니다.

TLS 1.0 다음은 정의 master_secret 계산입니다.

설명:

TLS 1.0에만 FIPS 140-1 암호 그룹을 사용 하 여 옵션을 선택 합니다.

이러한 차이점으로 인해 고객 암호 그룹 허용된 집합의 FIPS 140-1 암호 그룹 하위 집합만 제한 됩니다 경우에 SSL 3.0 사용 금지 할 수 있습니다. 이 경우 사용 값의 DWORD 값 데이터 변경 0x0 프로토콜 키에 다음 레지스트리 키:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
경고 프로토콜 키에 다음 레지스트리 키에서 Enabled 값 데이터는 샤넬 자격 증명에 대 한 데이터가 들어 있는 SCHANNEL_CRED 구조에 정의 된 grbitEnabledProtocols 값 보다 우선 합니다. 기본 사용 값 데이터는 적당 한.

예제 레지스트리 파일

두 가지 구성에 대 한 레지스트리 파일 내용 문서의이 절에 제공 됩니다. Export.reg 및 비 export.reg 됩니다.

컴퓨터에서 실행 하는 Windows NT 4.0 서비스 팩 6으로 내보낼 수 있는 Rasbase.dll 및 실행만 TLS 1.0 FIPS 암호화 제품군을 되도록 Export.reg Schannel.dll 파일을 컴퓨터에 의해 사용 됩니다.

내보낼 수 없는 Rasenh.dll 포함 하는 Windows NT 4.0 서비스 팩 6을 실행 하는 컴퓨터에 Schannel.dll 파일을 실행만 TLS 1.0 FIPS 암호화 제품군을 되도록 비 export.reg 컴퓨터에서 사용 하 고

Schannel.dll 파일 샤넬 레지스트리 키 아래의 모든 변경 내용을 인식 하도록 컴퓨터를 다시 시작 해야 합니다.

레지스트리 설정을 기본값으로 되돌리려면 샤넬 레지스트리 키 및 그 아래의 모든 항목을 삭제 합니다. Schannel.dll은 이러한 레지스트리 키가 다시 컴퓨터를 다시 시작할 때 키 작성 됩니다.

속성

기술 자료: 245030 - 마지막 검토: 2013년 12월 11일 수요일 - 수정: 8.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
키워드:?
kbenv kbinfo kbmt KB245030 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:245030

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com