Pendahuluan
Artikel ini menjelaskan pemutakhiran yang menambahkan dukungan untuk Transport Layer Security (TLS) 1.1 dan TLS 1.2 di Windows 7 ringkas tertanam.
Sebelum Anda menginstal pembaruan ini, Semua pembaruan sebelumnya diterbitkan untuk produk ini harus diinstal.
Ringkasan
Mengaktifkan TLS 1.1 dan TLS 1.2
Secara default, TLS 1.1 dan TLS 1.2 diaktifkan apabila perangkat berbasis Windows 7 ringkas tertanam dikonfigurasikan sebagai klien menggunakan setelan penjelajah. Protokol dinonaktifkan saat Windows Embedded meringkas 7-based perangkat dikonfigurasi sebagai web server.
Anda dapat menggunakan kunci registri berikut untuk mengaktifkan atau menonaktifkan TLS 1.1 dan TLS 1.2.
TLS 1.1
Subkunci berikut ini mengontrol penggunaan TLS 1.1:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Untuk menonaktifkan protokol TLS 1.1, Anda harus membuat entri DWORD diaktifkan di subkunci yang sesuai, dan kemudian mengubah nilai DWORD ke 0. Untuk mengaktifkan ulang protokol, Ubah nilai DWORD ke 1. Secara asali, entri ini tidak ada di registri.
Catatan Untuk mengaktifkan dan negosiasi TLS 1.1, Anda harus membuat entri DisabledByDefault DWORD di subkunci yang sesuai (klien, Server), dan kemudian mengubah nilai DWORD ke 0.
TLS 1.2
Subkunci berikut ini mengontrol penggunaan TLS 1.2:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Untuk menonaktifkan protokol TLS 1.2, Anda harus membuat entri DWORD diaktifkan di subkunci yang sesuai, dan kemudian mengubah nilai DWORD ke 0. Untuk mengaktifkan ulang protokol, Ubah nilai DWORD ke 1. Secara asali, entri ini tidak ada di registri.
Catatan Untuk mengaktifkan dan negosiasi TLS 1.2, Anda harus membuat entri DisabledByDefault DWORD di subkunci yang sesuai (klien, Server), dan kemudian mengubah nilai DWORD ke 0.
Catatan tambahan
-
DisabledByDefault nilai dalam kunci registri di bawah kunci protokol tidak lebih diutamakan daripada nilai grbitEnabledProtocols yang ditetapkan dalam struktur SCHANNEL_CRED yang berisi data untuk kredensial Schannel.
-
Per Permintaan untuk komentar (RFC), pelaksanaan desain tidak mengizinkan SSL2 dan TLS 1.2 diaktifkan secara bersamaan.
Informasi lebih lanjut
Silakan baca bagian berikut ini untuk rincian tambahan mengenai TLS 1.1 dan 1.2.
Suite penyandian yang didukung oleh TLS 1.2 hanya
Berikut ini baru saja ditambahkan Suite penyandian yang didukung oleh TLS 1.2 hanya:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(Opsional) DWORD ini berisi string bit yang mewakili protokol yang memiliki kondisi berikut ini:
-
Didukung dengan sambungan yang dibuat karena kredensial yang diperoleh dengan menggunakan struktur ini
Tabel berikut ini menunjukkan bendera kemungkinan tambahan anggota dapat berisi.
Nilai |
Deskripsi |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 sisi klien. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 sisi server |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 sisi klien. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 sisi server |
BufferType
Set bit bendera menunjukkan jenis buffer. Tabel berikut ini menunjukkan bendera tambahan tersedia untuk TLS 1.2.
Bendera |
Deskripsi |
SECBUFFER_ALERT |
Buffer berisi pesan peringatan. |
dwProtocol
Ini menunjuk protokol yang digunakan untuk membuat sambungan ini. Tabel berikut ini menunjukkan konstanta valid tambahan untuk anggota ini.
Nilai |
Deskripsi |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 sisi klien. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 sisi server |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 sisi klien. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 sisi server |
Ini adalah pengidentifikasi algoritma (ALG_ID) untuk enkripsi bulk penyandian yang digunakan oleh sambungan ini. Tabel berikut ini menunjukkan konstanta valid tambahan untuk anggota ini.
Nilai |
Deskripsi |
CALG_AES_256 |
Algoritma enkripsi 256-bit AES |
CALG_AES_128 |
Algoritma enkripsi 128-bit AES |
CALG_3DES |
Algoritma enkripsi 3DES blok |
struktur
Ini menentukan algoritma tanda tangan yang didukung oleh sambungan Schannel .
Sintaks (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Anggota
-
cSignatureAndHashAlgorithms
Ini adalah jumlah elemen dalam pSignatureAndHashAlgorithms array. -
pSignatureAndHashAlgorithms
Ini adalah array nilai yang menentukan algoritma yang didukung. Byte atas dapat berupa salah satu nilai berikut yang menentukan algoritma tanda tangan.Nilai
Makna
0
Algoritma tanda tangan anonim
1
Algoritma RSA tanda tangan
2
Algoritma tanda tangan DSA
3
Algoritma ECDSA tanda tangan
255
Dilindungi undang-undang
Nilai
Makna
0
Tidak ada
1
Algoritma hash MD5
2
Algoritma hash SHA1
3
Algoritma hash SHA 224
4
Algoritma hash SHA-256
5
Algoritma hash SHA 384
6
Algoritma hash SHA 512
255
Dilindungi undang-undang
Header
Schannel.h
Fungsi ini memungkinkan transportasi aplikasi untuk meminta paket keamanan tertentu atribut konteks keamanan.
ulAttribute
Ini adalah pointer ke buffer yang berisi atribut konteks yang akan diambil. Tabel berikut ini menunjukkan nilai yang mungkin.
Nilai |
Deskripsi |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
Nilai ini mengembalikan informasi tentang jenis tanda tangan yang didukung untuk sambungan. PBuffer parameter berisi pointer ke SecPkgContext_SupportedSignatures struktur. |
Pengaturan registri Browser UI sampel
Tabel berikut ini menunjukkan pengaturan yang mendaftar Internet dan pengaturan operasi di subkunci registri berikut ini:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nama |
Ketik |
Deskripsi |
Nilai default |
SecureProtocols |
REG_BINARY |
00,02,00,00 (memungkinkan TLS 1.1 hanya) 00,08,00,00 (memungkinkan TLS 1.2 hanya) Anda juga dapat mengatur kunci ini sebagai REG_DWORD "0AA8" untuk mengaktifkan semua protokol. |
A0, 0A, 00, 00 (memungkinkan semua protokol, kecuali SSL2) |
Informasi pemutakhiran perangkat lunak
Informasi unduhan
Windows tertanam ringkas 7 bulanan pembaruan (Maret 2018) sekarang tersedia dari Microsoft. Untuk men-download pembaruan, pergi ke Perangkat mitra pusat (DPC).
Prasyarat
Pemutakhiran ini didukung hanya jika semua pembaruan sebelumnya diterbitkan untuk produk ini juga telah diinstal.
Persyaratan menghidupkan ulang
Setelah Anda menerapkan pembaruan ini, Anda harus melakukan pembuatan bersih platform keseluruhan. Untuk melakukannya, gunakan salah satu dari metode berikut ini:
-
Membangun menu, pilih Solusi bersih, dan kemudian pilih Membangun solusi.
-
Membangun menu, pilih Solusi membangun kembali.
Anda tidak harus me-restart komputer setelah Anda menerapkan pembaruan perangkat lunak.
Informasi penggantian pemutakhiran
Pembaruan ini tidak menggantikan pembaruan lainnya.
Referensi
Pelajari tentang peristilahan yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft.