Actualización para agregar compatibilidad con TLS 1.1 y 1.2 de TLS en Windows Embedded Compact 7

Introducción

Este artículo describe una actualización para agregar compatibilidad para Seguridad de la capa de transporte (TLS) 1.1 y 1.2 de TLS en Windows Embedded Compact 7.

Antes de instalar esta actualización, deben instalar todas las actualizaciones publicadas previamente para este producto.

Resumen

Habilitar TLS 1.1 y 1.2 de TLS

De forma predeterminada, TLS 1.1 y 1.2 de TLS se habilitan cuando el dispositivo basado en Windows Embedded Compact 7 está configurado como un cliente mediante la configuración del explorador. Los protocolos se deshabilitan cuando el Windows Embedded Compact 7-base dispositivo está configurado como un servidor web.

Puede utilizar las siguientes claves del registro para habilitar o deshabilitar TLS 1.1 y 1.2 de TLS.

TLS 1.1

La subclave siguiente controla el uso de TLS 1.1:

HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

Para deshabilitar el protocolo TLS 1.1, debe crear la entrada DWORD Enabled en la subclave apropiada y, a continuación, cambie el valor DWORD a 0. Para volver a habilitar el protocolo, cambie el valor DWORD a 1. De forma predeterminada, esta entrada no existe en el registro.

Nota: Para habilitar y negociar TLS 1.1, debe crear la entrada DWORD DisabledByDefault en la subclave apropiada (cliente, servidor) y, a continuación, cambie el valor DWORD a 0.

TLS 1.2

La subclave siguiente controla el uso de TLS 1.2:

HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

Para deshabilitar el protocolo TLS 1.2, debe crear la entrada DWORD Enabled en la subclave apropiada y, a continuación, cambie el valor DWORD a 0. Para volver a habilitar el protocolo, cambie el valor DWORD a 1. De forma predeterminada, esta entrada no existe en el registro.

Nota: Para habilitar y negociar TLS 1.2, debe crear la entrada DWORD DisabledByDefault en la subclave apropiada (cliente, servidor) y, a continuación, cambie el valor DWORD a 0.

Notas adicionales

  • El valor de DisabledByDefault en las claves del registro bajo la clave de los protocolos no tienen prioridad sobre el valor de grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos de una credencial de Schannel.

  • Por el Request for Comments (RFC), la implementación de diseño no permite SSL2 y 1.2 de TLS habilitarse al mismo tiempo.

Más información

Lea las siguientes secciones para obtener más información acerca de TLS 1.1 y 1.2.

Conjuntos de cifrado compatibles con TLS 1.2 sólo

Los siguientes conjuntos de cifrados recién agregado sólo se admiten por 1,2 TLS:

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_NULL_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

SCHANNEL_CREDhttps://docs.microsoft.com/en-us/previous-versions/windows/embedded/ee498356(v=winembedded.70)

grbitEnabledProtocols

(Opcional) Este valor de DWORD contiene una cadena de bits que representa los protocolos que tienen la siguiente condición:

  • Compatible por las conexiones que se realizan al tener las credenciales que se adquieren mediante esta estructura

La siguiente tabla muestra las posibles marcas adicionales que puede contener el miembro.

Valor

Descripción

SP_PROT_TLS1_2_CLIENT

Cliente 1.2 de seguridad de capa de transporte.

SP_PROT_TLS1_2_SERVER

Servidor 1.2 de seguridad de capa de transporte

SP_PROT_TLS1_1_CLIENT

Cliente 1.1 seguridad de capa de transporte.

SP_PROT_TLS1_1_SERVER

Servidor 1.1 seguridad de capa de transporte



SecBuffer

BufferType

Este conjunto de indicadores de bits indica el tipo de búfer. En la tabla siguiente muestra los indicadores adicionales disponibles para TLS 1.2.

Indicador

Descripción

SECBUFFER_ALERT

El búfer contiene un mensaje de alerta.



SecPkgContext_ConnectionInfo

dwProtocol

Esto designa el protocolo que se utiliza para establecer esta conexión. La siguiente tabla muestra las constantes válidas adicionales para este miembro.

Valor

Descripción

SP_PROT_TLS1_2_CLIENT

Cliente 1.2 de seguridad de capa de transporte.

SP_PROT_TLS1_2_SERVER

Servidor 1.2 de seguridad de capa de transporte

SP_PROT_TLS1_1_CLIENT

Cliente 1.1 seguridad de capa de transporte.

SP_PROT_TLS1_1_SERVER

Servidor 1.1 seguridad de capa de transporte



aiCipher

Éste es el identificador de algoritmo (ALG_ID) para el cifrado masivo utilizado por esta conexión. En la tabla siguiente muestra las constantes válidas adicionales para este miembro.

Valor

Descripción

CALG_AES_256

Algoritmo de cifrado de 256 bits AES

CALG_AES_128

Algoritmo de cifrado de 128 bits AES

CALG_3DES

Algoritmo de cifrado 3DES bloque



SecPkgContext_SupportedSignatures

estructura

Esto especifica los algoritmos de firma que son compatibles con una conexión de Schannel .

Sintaxis (C++)

typedef struct _SecPkgContext_SupportedSignatures {

  WORD cSignatureAndHashAlgorithms;

  WORD *pSignatureAndHashAlgorithms;

} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;


Miembros de

  • cSignatureAndHashAlgorithms

    Esto es el número de elementos de la matriz pSignatureAndHashAlgorithms.

  • pSignatureAndHashAlgorithms

    Ésta es una matriz de valores que especifican los algoritmos soportados.

    El byte superior puede ser uno de los siguientes valores que especifica un algoritmo de firma.

    Valor

    Significado

    0

    Algoritmo de firma anónimo

    1

    El algoritmo de firma RSA

    2

    El algoritmo de firma DSA

    3

    El algoritmo de firma ECDSA

    255

    Reservado


    El byte inferior puede ser uno de los siguientes valores que especifica un algoritmo hash.

    Valor

    Significado

    0

    Ninguno

    1

    El algoritmo de hash MD5

    2

    El algoritmo de hash SHA1

    3

    El algoritmo de hash SHA-224

    4

    El algoritmo de hash SHA-256

    5

    El algoritmo de hash SHA-384

    6

    El algoritmo de hash SHA-512

    255

    Reservado



    Requirements

    Encabezado

    Schannel.h


QueryContextAttributes

Esta función permite a una aplicación de transporte consultar un paquete de seguridad de determinados atributos de un contexto de seguridad.

ulAttribute

Se trata de un puntero a un búfer que contiene los atributos del contexto que se va a recuperar. En la siguiente tabla muestra los valores posibles.

Valor

Descripción

SECPKG_ATTR_SUPPORTED_SIGNATURES

Este valor devuelve información sobre los tipos de firma que se admiten para la conexión. El parámetro pBuffer contiene un puntero a un SecPkgContext_SupportedSignatures estructura.



Configuración de interfaz de usuario muestra explorador del registro

En la siguiente tabla muestra la configuración que registra Internet y funcionamiento en la siguiente subclave del registro:

Configuración de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Nombre

Escriba el

Descripción

Valor predeterminado

SecureProtocols

REG_BINARY

00,02,00,00 (permite TLS 1.1 sólo)

00,08,00,00 (permite TLS 1.2 sólo)

También puede establecer esta clave como REG_DWORD "0AA8" para habilitar todos los protocolos.

A0, 0A, 00, 00 (permite a todos los protocolos, excepto SSL2)

 

Información de actualización de software

Información de descarga

El Embedded Compact 7 actualización mensual de Windows (marzo de 2018) ahora está disponible de Microsoft. Para descargar la actualización, vaya al Dispositivo Partner Center (DPC).

Requisitos previos

Esta actualización es compatible solo si también se han instalado todas las actualizaciones publicadas previamente para este producto.

Requisito de reinicio

Después de aplicar esta actualización, debe realizar una compilación limpia de toda la plataforma. Para ello, utilice uno de los métodos siguientes:

  • En el menú Generar , seleccione Limpiar solucióny, a continuación, seleccione Generar solución.

  • En el menú Generar , seleccione Generar solución.

No es necesario que reinicie el equipo después de aplicar esta actualización de software.

Información para sustituir la actualización

Esta actualización no sustituye a otras actualizaciones.

Referencias

Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×