Introducción
Este artículo describe una actualización para agregar compatibilidad para Seguridad de la capa de transporte (TLS) 1.1 y 1.2 de TLS en Windows Embedded Compact 7.
Antes de instalar esta actualización, deben instalar todas las actualizaciones publicadas previamente para este producto.
Resumen
Habilitar TLS 1.1 y 1.2 de TLS
De forma predeterminada, TLS 1.1 y 1.2 de TLS se habilitan cuando el dispositivo basado en Windows Embedded Compact 7 está configurado como un cliente mediante la configuración del explorador. Los protocolos se deshabilitan cuando el Windows Embedded Compact 7-base dispositivo está configurado como un servidor web.
Puede utilizar las siguientes claves del registro para habilitar o deshabilitar TLS 1.1 y 1.2 de TLS.
TLS 1.1
La subclave siguiente controla el uso de TLS 1.1:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Para deshabilitar el protocolo TLS 1.1, debe crear la entrada DWORD Enabled en la subclave apropiada y, a continuación, cambie el valor DWORD a 0. Para volver a habilitar el protocolo, cambie el valor DWORD a 1. De forma predeterminada, esta entrada no existe en el registro.
Nota: Para habilitar y negociar TLS 1.1, debe crear la entrada DWORD DisabledByDefault en la subclave apropiada (cliente, servidor) y, a continuación, cambie el valor DWORD a 0.
TLS 1.2
La subclave siguiente controla el uso de TLS 1.2:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Para deshabilitar el protocolo TLS 1.2, debe crear la entrada DWORD Enabled en la subclave apropiada y, a continuación, cambie el valor DWORD a 0. Para volver a habilitar el protocolo, cambie el valor DWORD a 1. De forma predeterminada, esta entrada no existe en el registro.
Nota: Para habilitar y negociar TLS 1.2, debe crear la entrada DWORD DisabledByDefault en la subclave apropiada (cliente, servidor) y, a continuación, cambie el valor DWORD a 0.
Notas adicionales
-
El valor de DisabledByDefault en las claves del registro bajo la clave de los protocolos no tienen prioridad sobre el valor de grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos de una credencial de Schannel.
-
Por el Request for Comments (RFC), la implementación de diseño no permite SSL2 y 1.2 de TLS habilitarse al mismo tiempo.
Más información
Lea las siguientes secciones para obtener más información acerca de TLS 1.1 y 1.2.
Conjuntos de cifrado compatibles con TLS 1.2 sólo
Los siguientes conjuntos de cifrados recién agregado sólo se admiten por 1,2 TLS:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(Opcional) Este valor de DWORD contiene una cadena de bits que representa los protocolos que tienen la siguiente condición:
-
Compatible por las conexiones que se realizan al tener las credenciales que se adquieren mediante esta estructura
La siguiente tabla muestra las posibles marcas adicionales que puede contener el miembro.
Valor |
Descripción |
SP_PROT_TLS1_2_CLIENT |
Cliente 1.2 de seguridad de capa de transporte. |
SP_PROT_TLS1_2_SERVER |
Servidor 1.2 de seguridad de capa de transporte |
SP_PROT_TLS1_1_CLIENT |
Cliente 1.1 seguridad de capa de transporte. |
SP_PROT_TLS1_1_SERVER |
Servidor 1.1 seguridad de capa de transporte |
BufferType
Este conjunto de indicadores de bits indica el tipo de búfer. En la tabla siguiente muestra los indicadores adicionales disponibles para TLS 1.2.
Indicador |
Descripción |
SECBUFFER_ALERT |
El búfer contiene un mensaje de alerta. |
dwProtocol
Esto designa el protocolo que se utiliza para establecer esta conexión. La siguiente tabla muestra las constantes válidas adicionales para este miembro.
Valor |
Descripción |
SP_PROT_TLS1_2_CLIENT |
Cliente 1.2 de seguridad de capa de transporte. |
SP_PROT_TLS1_2_SERVER |
Servidor 1.2 de seguridad de capa de transporte |
SP_PROT_TLS1_1_CLIENT |
Cliente 1.1 seguridad de capa de transporte. |
SP_PROT_TLS1_1_SERVER |
Servidor 1.1 seguridad de capa de transporte |
Éste es el identificador de algoritmo (ALG_ID) para el cifrado masivo utilizado por esta conexión. En la tabla siguiente muestra las constantes válidas adicionales para este miembro.
Valor |
Descripción |
CALG_AES_256 |
Algoritmo de cifrado de 256 bits AES |
CALG_AES_128 |
Algoritmo de cifrado de 128 bits AES |
CALG_3DES |
Algoritmo de cifrado 3DES bloque |
estructura
Esto especifica los algoritmos de firma que son compatibles con una conexión de Schannel .
Sintaxis (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Miembros de
-
cSignatureAndHashAlgorithms
Esto es el número de elementos de la matriz pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
Ésta es una matriz de valores que especifican los algoritmos soportados.
El byte superior puede ser uno de los siguientes valores que especifica un algoritmo de firma.Valor
Significado
0
Algoritmo de firma anónimo
1
El algoritmo de firma RSA
2
El algoritmo de firma DSA
3
El algoritmo de firma ECDSA
255
Reservado
El byte inferior puede ser uno de los siguientes valores que especifica un algoritmo hash.Valor
Significado
0
Ninguno
1
El algoritmo de hash MD5
2
El algoritmo de hash SHA1
3
El algoritmo de hash SHA-224
4
El algoritmo de hash SHA-256
5
El algoritmo de hash SHA-384
6
El algoritmo de hash SHA-512
255
Reservado
Requirements
Encabezado
Schannel.h
Esta función permite a una aplicación de transporte consultar un paquete de seguridad de determinados atributos de un contexto de seguridad.
ulAttribute
Se trata de un puntero a un búfer que contiene los atributos del contexto que se va a recuperar. En la siguiente tabla muestra los valores posibles.
Valor |
Descripción |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
Este valor devuelve información sobre los tipos de firma que se admiten para la conexión. El parámetro pBuffer contiene un puntero a un SecPkgContext_SupportedSignatures estructura. |
Configuración de interfaz de usuario muestra explorador del registro
En la siguiente tabla muestra la configuración que registra Internet y funcionamiento en la siguiente subclave del registro:
Configuración de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Nombre |
Escriba el |
Descripción |
Valor predeterminado |
SecureProtocols |
REG_BINARY |
00,02,00,00 (permite TLS 1.1 sólo) 00,08,00,00 (permite TLS 1.2 sólo) También puede establecer esta clave como REG_DWORD "0AA8" para habilitar todos los protocolos. |
A0, 0A, 00, 00 (permite a todos los protocolos, excepto SSL2) |
Información de actualización de software
Información de descarga
El Embedded Compact 7 actualización mensual de Windows (marzo de 2018) ahora está disponible de Microsoft. Para descargar la actualización, vaya al Dispositivo Partner Center (DPC).
Requisitos previos
Esta actualización es compatible solo si también se han instalado todas las actualizaciones publicadas previamente para este producto.
Requisito de reinicio
Después de aplicar esta actualización, debe realizar una compilación limpia de toda la plataforma. Para ello, utilice uno de los métodos siguientes:
-
En el menú Generar , seleccione Limpiar solucióny, a continuación, seleccione Generar solución.
-
En el menú Generar , seleccione Generar solución.
No es necesario que reinicie el equipo después de aplicar esta actualización de software.
Información para sustituir la actualización
Esta actualización no sustituye a otras actualizaciones.
Referencias
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.