Introduction
Cet article décrit une mise à jour pour ajouter la prise en charge de la Sécurité TLS (Transport Layer) 1.1 et TLS 1.2 dans Windows Embedded Compact 7.
Avant d’installer cette mise à jour, toutes les mises à jour précédemment publiées pour ce produit doivent être installés.
Résumé
Activer TLS 1.1 et TLS 1.2
Par défaut, TLS 1.1 et TLS 1.2 sont activés lorsque le périphérique Windows Embedded Compact 7 est configuré comme un client à l’aide des paramètres du navigateur. Les protocoles sont désactivés lorsque le Windows Embedded Compact 7-basé périphérique est configuré comme un serveur web.
Vous pouvez utiliser des clés de Registre suivantes pour activer ou désactiver le TLS 1.1 et TLS 1.2.
TLS 1.1
La sous-clé suivante contrôle l’utilisation de TLS 1.1 :
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Pour désactiver le protocole TLS 1.1, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.
Remarque Pour activer et négociation TLS 1.1, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.
TLS 1.2
La sous-clé suivante contrôle l’utilisation de TLS 1.2 :
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Pour désactiver le protocole TLS 1.2, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.
Remarque Pour activer et négociation TLS 1.2, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.
Remarques supplémentaires
-
La valeur de DisabledByDefault dans les clés de Registre sous la clé de protocoles ne prend pas la priorité sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour les informations d’identification de Schannel.
-
Par le Demande de commentaires (RFC), l’implémentation de design n’autorise pas SSL2 et TLS 1.2 soit activé en même temps.
Plus d'informations
Veuillez lire les sections suivantes pour plus de détails à propos de TLS 1.1 et 1.2.
Suites de chiffrement pris en charge uniquement par TLS 1.2
Les suites de chiffrement nouvellement ajouté suivants sont pris en charge uniquement par TLS 1.2 :
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(Facultatif) Cette valeur DWORD contient une chaîne de bits représentant les protocoles qui ont la condition suivante :
-
Prise en charge par les connexions qui sont établies en disposant des informations d’identification qui sont acquis à l’aide de cette structure
Le tableau suivant montre les indicateurs possibles supplémentaires que le membre peut contenir.
Valeur |
Description |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 côté client. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 côté serveur |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 côté client. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 côté serveur |
BufferType
Cet ensemble de bits indicateurs indique le type de mémoire tampon. Le tableau suivant montre les indicateurs disponibles supplémentaires pour TLS 1.2.
Indicateur |
Description |
SECBUFFER_ALERT |
La mémoire tampon contient un message d’alerte. |
dwProtocol
Désigne le protocole qui est utilisé pour établir cette connexion. Le tableau suivant montre les constantes valides supplémentaires pour ce membre.
Valeur |
Description |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 côté client. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 côté serveur |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 côté client. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 côté serveur |
C’est l’identificateur d’algorithme (ALG_ID) pour le chiffrement en bloc utilisé par cette connexion. Le tableau suivant montre les constantes valides supplémentaires pour ce membre.
Valeur |
Description |
CALG_AES_256 |
Algorithme de cryptage 256 bits AES |
CALG_AES_128 |
Algorithme de cryptage à 128 bits AES |
CALG_3DES |
Algorithme de chiffrement 3DES bloc |
structure de
Ce paramètre spécifie les algorithmes de signature qui sont pris en charge par une connexion Schannel .
Syntaxe (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Membres
-
cSignatureAndHashAlgorithms
Ceci est le nombre d’éléments dans le tableau pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
Il s’agit d’un tableau de valeurs qui spécifient les algorithmes pris en charge. L’octet supérieur peut être une des valeurs suivantes, qui spécifie un algorithme de signature.Valeur
Signification
0
Algorithme de signature anonyme
1
L’algorithme de signature RSA
2
L’algorithme de signature DSA
3
L’algorithme de signature ECDSA
255
Réservé
Valeur
Signification
0
Aucun
1
L’algorithme de hachage MD5
2
L’algorithme de hachage SHA1
3
L’algorithme de hachage SHA-224
4
L’algorithme de hachage SHA-256
5
L’algorithme de hachage SHA-384
6
L’algorithme de hachage SHA-512
255
Réservé
En-tête
Schannel.h
Cette fonction permet à une application de transport d’un package de sécurité pour certains attributs d’un contexte de sécurité de la requête.
ulAttribute
Il s’agit d’un pointeur vers une mémoire tampon qui contient les attributs de contexte qui doit être récupéré. Le tableau suivant montre les valeurs possibles.
Valeur |
Description |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
Cette valeur renvoie des informations sur les types de signature qui sont pris en charge pour la connexion. Le paramètre pBuffer contient un pointeur vers un SecPkgContext_SupportedSignatures structure. |
Paramètres du Registre de l’interface utilisateur exemple navigateur
Le tableau suivant montre les paramètres de Registre d’Internet et des paramètres d’exploitation dans la sous-clé de Registre suivante :
Paramètres HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nom |
Tapez |
Description |
Valeur par défaut |
SecureProtocols |
REG_BINARY |
00,02,00,00 (Active TLS 1.1 uniquement) 00,08,00,00 (permet uniquement de TLS 1.2) Vous pouvez également définir cette clé en tant que REG_DWORD « 0AA8 » pour activer tous les protocoles. |
A0, 0 a, 00, 00 (permet à tous les protocoles, à l’exception de SSL2) |
Informations de mise à jour de logiciel
Informations sur le téléchargement
Le Windows Embedded Compact 7 mise à jour mensuelle (mars 2018) est désormais disponible auprès de Microsoft. Pour télécharger la mise à jour, accédez au Périphérique Partner Center (DPC).
Conditions préalables
Cette mise à jour est pris en charge que si toutes les mises à jour précédemment publiées pour ce produit ont également été installées.
Nécessite un redémarrage
Après avoir appliqué cette mise à jour, vous devez effectuer une génération complète de l’intégralité de la plateforme. Pour ce faire, utilisez une des méthodes suivantes :
-
Dans le menu Générer , sélectionnez Nettoyer la Solutionet sélectionnez Générer la Solution.
-
Dans le menu Générer , sélectionnez Régénérer la Solution.
Vous n’êtes pas obligé de redémarrer l’ordinateur après avoir appliqué cette mise à jour de logiciel.
Mettre à jour les informations sur le remplacement
Cette mise à jour ne remplace pas d'autres mises à jour.
Références
Apprenez-en plus sur la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.