Cómo implementar el conjunto de cifrado personalizado pedidos en Windows Server 2016

Se aplica a: Windows Server 2016

Resumen


Este artículo proporciona información para ayudarle a implementar el conjunto de cifrado personalizado pedidos Schannel en Windows Server 2016.

Más información


Para implementar su propio conjunto de cifrado pedidos Schannel en Windows, debe dar prioridad a los conjuntos de cifrado que son compatibles con HTTP/2 enumerando primero. Conjuntos de cifrado que están en la Lista negra HTTP/2 (RFC 7540) deben aparecer en la parte inferior de la lista. Por ejemplo:

Cconjuntos de cifrado (CBC) modo de encadenamiento de bloques de ipher:

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Conjuntos de cifrado de no PFS (confidencialidad directa perfecta):

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Si se muestran los conjuntos de cifrados que están en la lista negra hacia la parte superior de la lista, exploradores y clientes HTTP/2 podrán negociar cualquier conjunto de cifrado compatible con HTTP/2. Esto produce un error al utilizar el protocolo.

Por ejemplo, cuando se utiliza cromo, puede recibir el error ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

El valor predeterminado de pedidos en 2016 de Windows Server es compatible con la preferencia de suite de cifrado HTTP/2. Además, este orden es bueno más allá de HTTP/2, que favorece los conjuntos cifrados que tienen las características de seguridad más fuertes. Por lo tanto, la ordenación predeterminada asegura que HTTP/2 en Windows Server 2016 no tiene cualquier problema de negociación de cifrado suite con exploradores y clientes.

Solución alternativa


Si se produce el error al utilizar el protocolo, debe deshabilitar HTTP/2 temporalmente mientras reordenar los conjuntos cifrados según las directrices de la sección "Más información".

Para habilitar y deshabilitar HTTP/2, siga estos pasos:

  1. Inicie regedit (Editor del registro).
  2. Mover a esta subclave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
  3. Establecer valor de tipo DWORD EnableHttp2Tls a uno de lo siguiente:
    • Se establece en 0 para deshabilitar HTTP/2

    • Se establece en 1 para habilitar HTTP/2

  4. Reinicie el equipo.

Referencia


Para obtener más información, consulte conjuntos de cifrado de TLS/SSL (Schannel SSP).

Para obtener más información acerca de HTTP/2, consulte ¿Qué es HTTP/2?.