Въведение
Тази статия се описва актуализация за добавяне на поддръжка за Защита на транспортния слой (TLS) 1.1 и TLS 1.2 вграден Компактен Windows 7.
Преди да инсталирате тази актуализация, трябва да се инсталира всички издадени преди това актуализации за този продукт.
Резюме
Разрешаване на TLS 1.1 и TLS 1.2
По подразбиране TLS 1.1 и TLS 1.2 са разрешени, когато Windows Embedded компактен 7 устройство е конфигуриран като клиент чрез настройките на браузъра. Протоколите са забранени, когато Windows Embedded компактен 7-базирани устройството е конфигурирано като уеб сървър.
Можете да използвате следните ключове на системния регистър за разрешаване или забраняване на TLS 1.1 и TLS 1.2.
TLS 1.1
Следния подключ контролира използването на TLS 1.1:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Да забраните протокола TLS 1.1, трябва да създадете разрешено DWORD влизане в съответния подключ и след това променете стойността DWORD на 0. За повторно активиране на протокола, променете стойността DWORD 1. По подразбиране този запис не съществува в системния регистър.
Забележка: Да разрешите и договаря TLS 1.1, трябва да създадете DisabledByDefault DWORD влизане в съответния подключ (клиент, сървър) и след това да промените стойността DWORD 0.
TLS 1.2
Използването на TLS 1.2, контролира следния подключ:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Да забраните протокола TLS 1.2, трябва да създадете разрешено DWORD влизане в съответния подключ и след това променете стойността DWORD на 0. За повторно активиране на протокола, променете стойността DWORD 1. По подразбиране този запис не съществува в системния регистър.
Забележка: Да разрешите и договаря TLS 1.2, трябва да създадете DisabledByDefault DWORD влизане в съответния подключ (клиент, сървър) и след това да промените стойността DWORD 0.
Допълнителни бележки
-
Стойността на DisabledByDefault в ключовете на системния регистър под ключа протоколи не заместват grbitEnabledProtocols стойност, която се определя в SCHANNEL_CRED структура, която съдържа данните за Schannel идентификационни данни.
-
На Искане за коментари (RFC), дизайн изпълнение не позволява SSL2 и TLS 1.2 да бъде активиран едновременно.
Допълнителна информация
Прочетете следните раздели за допълнителна информация за TLS 1.1 и 1.2.
Cipher пакети поддържат само от TLS 1.2
Наскоро добавя cipher пакетите се поддържат от TLS 1.2 само:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(По избор) Този DWORD съдържа малко низ, който представя протоколи, които имат следните условия:
-
Поддържа връзки, които са направени от като идентификационните данни, които са получени чрез тази структура
Следната таблица показва допълнителна възможно флагове, член може да съдържа.
|
Стойност |
Описание |
|
SP_PROT_TLS1_2_CLIENT |
Транспортен слой сигурност 1.2 клиента. |
|
SP_PROT_TLS1_2_SERVER |
Транспортен слой сигурност 1.2 сървъра |
|
SP_PROT_TLS1_1_CLIENT |
Транспортен слой сигурност 1.1 клиента. |
|
SP_PROT_TLS1_1_SERVER |
Транспортен слой сигурност 1.1 сървъра |
BufferType
Този набор от малко flags показва типа на буфера. Следната таблица показва допълнителни налични флагове за TLS 1.2.
|
Флаг |
Описание |
|
SECBUFFER_ALERT |
Буфер съдържа предупредително съобщение. |
dwProtocol
Задава протокола, който се използва за установяване на връзка. Следната таблица показва допълнителна валидните константи за този компонент.
|
Стойност |
Описание |
|
SP_PROT_TLS1_2_CLIENT |
Транспортен слой сигурност 1.2 клиента. |
|
SP_PROT_TLS1_2_SERVER |
Транспортен слой сигурност 1.2 сървъра |
|
SP_PROT_TLS1_1_CLIENT |
Транспортен слой сигурност 1.1 клиента. |
|
SP_PROT_TLS1_1_SERVER |
Транспортен слой сигурност 1.1 сървъра |
Това е идентификатор на алгоритъм (ALG_ID) за групово шифроване шифроване, използван от тази връзка. Следната таблица показва допълнителна валиден константи за този компонент.
|
Стойност |
Описание |
|
CALG_AES_256 |
AES 256-битов алгоритъм |
|
CALG_AES_128 |
128-битово кодиране AES алгоритъм |
|
CALG_3DES |
Алгоритъм за шифроване на 3DES блок |
структура
Това задава подпис алгоритми, които се поддържат от Schannel връзка .
Синтаксис (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Членове
-
cSignatureAndHashAlgorithms
Това е броят на елементите в масив pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
Това е набор от стойности, задайте поддържаните алгоритми.
Горния байт може да бъде една от следните стойности, която задава алгоритъм за подпис.Стойност
Значение
0
Анонимен подпис алгоритъм
1
RSA алгоритъм за подпис
2
DSA алгоритъм за подпис
3
ECDSA алгоритъм за подпис
255
Запазена
Долната байт може да бъде една от следните стойности, която задава алгоритъм за хеширане.Стойност
Значение
0
Няма
1
Алгоритъм за хеширане MD5
2
Алгоритъм за хеширане SHA1
3
Алгоритъм за хеширане SHA 224
4
Алгоритъм за хеширане SHA-256
5
Алгоритъм за хеширане SHA-384
6
Алгоритъм за хеширане SHA-512
255
Запазена
Requirements
Горен колонтитул
Schannel.h
Тази функция позволява транспорт приложение за търсене на пакет за сигурност за някои атрибути на контекста на защитата.
ulAttribute
Това е указател към буфер, който съдържа атрибутите на връзка, която трябва да се извлече. Следната таблица показва възможните стойности.
|
Стойност |
Описание |
|
SECPKG_ATTR_SUPPORTED_SIGNATURES |
Тази стойност се връща информация за подписа видове, които се поддържат за връзката. PBuffer параметър съдържа указател към SecPkgContext_SupportedSignatures структура. |
ПИ примерно браузъра настройките на системния регистър
Следната таблица показва регистър интернет настройки и настройките за работа в следния подключ на системния регистър:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet настройки
|
Име |
Тип |
Описание |
Стойността по подразбиране |
|
SecureProtocols |
REG_BINARY |
00,02,00,00 (позволява TLS 1.1 само) 00,08,00,00 (позволява TLS 1.2 само) Можете да зададете този ключ като REG_DWORD "0AA8", за да разрешите всички протоколи. |
A0, 0A, 00, 00 (позволява всички протоколи, с изключение на SSL2) |
Информация за актуализация на софтуер
Информация за изтегляне
Актуализация на Windows Embedded компактен 7 месечни (март 2018) вече се предлага от Microsoft. За да изтеглите актуализацията, отидете на Устройството партньор център (ДПС).
Необходими условия:
Тази актуализация се поддържа само ако също са инсталирани всички издадени преди това актуализации за този продукт.
Изискване за рестартиране
След като приложите тази актуализация, трябва да извършите чисто компилация на цялата платформа. За тази цел използвайте един от следните методи:
-
Изграждане на меню изберете Чисто решениеи изберете Компилация решение.
-
Изграждане на меню изберете Възстанови решение.
Не трябва да рестартирате компютъра, след като приложите тази актуализация на софтуера.
Информация за заместване на актуализация
Тази актуализация не замества никакви други актуализации.
Препратки
Научете повече за терминологията , използвана за описание на софтуерните актуализации от Microsoft.
