Introduzione
In questo articolo viene descritto un aggiornamento per aggiungere il supporto per Protezione TLS (Transport Layer) 1.1 e 1.2 TLS in Windows Embedded Compact 7.
Prima di installare questo aggiornamento, è necessario installare tutti gli aggiornamenti rilasciati in precedenza per questo prodotto.
Riepilogo
Abilitare TLS 1.1 e TLS 1.2
Per impostazione predefinita, TLS 1.1 e TLS 1.2 vengono attivati quando il dispositivo basato su Windows Embedded Compact 7 è configurato come client utilizzando le impostazioni del browser. I protocolli sono disabilitati quando il Windows Embedded Compact 7-basata su dispositivo è configurato come server web.
È possibile utilizzare le seguenti chiavi del Registro di sistema per abilitare o disabilitare TLS 1.1 e 1.2 TLS.
TLS 1.1
La seguente sottochiave controlla l'utilizzo di TLS 1.1:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Per disattivare il protocollo TLS 1.1, è necessario creare la voce DWORD Enabled nella sottochiave appropriata e quindi modificare il valore DWORD su 0. Per riattivare il protocollo, modificare il valore DWORD su 1. Per impostazione predefinita, questa voce non esiste nel Registro di sistema.
Nota: Per attivare e negoziazione TLS 1.1, è necessario creare la voce DWORD DisabledByDefault nella sottochiave appropriata (Client, Server) e quindi modificare il valore DWORD su 0.
TLS 1.2
La seguente sottochiave controlla l'utilizzo di TLS 1.2:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Per disattivare il protocollo TLS 1.2, è necessario creare la voce DWORD Enabled nella sottochiave appropriata e quindi modificare il valore DWORD su 0. Per riattivare il protocollo, modificare il valore DWORD su 1. Per impostazione predefinita, questa voce non esiste nel Registro di sistema.
Nota: Per attivare e negoziazione TLS 1.2, è necessario creare la voce DWORD DisabledByDefault nella sottochiave appropriata (Client, Server) e quindi modificare il valore DWORD su 0.
Note aggiuntive
-
Il valore di DisabledByDefault nelle chiavi del Registro di sistema nella chiave protocolli non hanno la precedenza sul valore definito nella struttura che contiene i dati per una credenziale Schannel SCHANNEL_CRED grbitEnabledProtocols .
-
Per la Request for Comments (RFC), l'implementazione di progettazione non consente l'attivazione contemporaneamente SSL2 e TLS 1.2.
Ulteriori informazioni
Leggere le sezioni seguenti per ulteriori informazioni su TLS 1.1 e 1.2.
Suite di cifratura supportati solo da TLS 1.2
La suite di cifratura appena aggiunto seguenti sono supportate solo TLS 1.2:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(Facoltativo) Questo valore DWORD contiene una stringa di bit che rappresenta i protocolli che hanno la seguente condizione:
-
Supportati per le connessioni che vengono effettuate facendo in modo che le credenziali che vengono acquisite mediante l'utilizzo di questa struttura
Nella seguente tabella sono i possibili contrassegni supplementari che può contenere il membro.
Valore |
Descrizione |
SP_PROT_TLS1_2_CLIENT |
Trasporto livello protezione 1.2 sul lato client. |
SP_PROT_TLS1_2_SERVER |
Livello protezione 1.2 sul lato server di trasporto |
SP_PROT_TLS1_1_CLIENT |
Trasporto livello protezione 1.1 sul lato client. |
SP_PROT_TLS1_1_SERVER |
Livello sicurezza 1.1 sul lato server di trasporto |
BufferType
Questo insieme di flag di bit indica il tipo di buffer. Nella tabella seguente sono riportati i flag aggiuntivi disponibili per TLS 1.2.
Flag |
Descrizione |
SECBUFFER_ALERT |
Il buffer contiene un messaggio di avviso. |
dwProtocol
In questo modo si definisce il protocollo utilizzato per stabilire la connessione. Nella seguente tabella sono ulteriori costanti valide per questo membro.
Valore |
Descrizione |
SP_PROT_TLS1_2_CLIENT |
Trasporto livello protezione 1.2 sul lato client. |
SP_PROT_TLS1_2_SERVER |
Livello protezione 1.2 sul lato server di trasporto |
SP_PROT_TLS1_1_CLIENT |
Trasporto livello protezione 1.1 sul lato client. |
SP_PROT_TLS1_1_SERVER |
Livello sicurezza 1.1 sul lato server di trasporto |
Questo è l'identificatore dell'algoritmo (ALG_ID) per la crittografia di crittografia di massa utilizzato dalla connessione. Nella seguente tabella sono le costanti aggiuntive valide per questo membro.
Valore |
Descrizione |
CALG_AES_256 |
Algoritmo di crittografia a 256 bit AES |
CALG_AES_128 |
Algoritmo di crittografia a 128 bit AES |
CALG_3DES |
Algoritmo di crittografia 3DES blocco |
struttura
Consente di specificare gli algoritmi di firma supportati da una connessione di Schannel .
Sintassi (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Membri
-
cSignatureAndHashAlgorithms
Questo è il numero di elementi nella matrice pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
Si tratta di una matrice di valori che specificano gli algoritmi supportati. Il byte superiore può essere uno dei seguenti valori che specifica un algoritmo di firma.Valore
Significato
0
Algoritmo di firma anonimo
1
L'algoritmo di firma RSA
2
L'algoritmo di firma DSA
3
L'algoritmo di firma ECDSA
255
Riservato
Valore
Significato
0
Nessuno
1
L'algoritmo hash MD5
2
L'algoritmo hash SHA1
3
L'algoritmo di hash SHA-224
4
L'algoritmo di hash SHA-256
5
L'algoritmo di hash SHA-384.
6
L'algoritmo di hash SHA-512.
255
Riservato
Intestazione
Schannel.h
Questa funzione consente a un'applicazione di trasporto interrogare un pacchetto di protezione per alcuni attributi di un contesto di protezione.
ulAttribute
Questo è un puntatore a un buffer che contiene gli attributi del contesto che deve essere recuperato. Nella tabella seguente sono indicati i valori possibili.
Valore |
Descrizione |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
Questo valore restituisce informazioni sui tipi di firma supportati per la connessione. Il parametro pBuffer contiene un puntatore a un SecPkgContext_SupportedSignatures struttura. |
Impostazioni del Registro di sistema Browser di esempio dell'interfaccia utente
Nella tabella seguente mostra le impostazioni di registrazione Internet e le impostazioni operative nella seguente sottochiave del Registro di sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nome |
Digitare |
Descrizione |
Valore predefinito |
SecureProtocols |
REG_BINARY |
00,02,00,00 (consente solo TLS 1.1) 00,08,00,00 (consente solo TLS 1.2) È inoltre possibile impostare questa chiave come REG_DWORD "0AA8" per abilitare tutti i protocolli. |
A0, 0A, 00, 00 (consente tutti i protocolli tranne SSL2) |
Informazioni sull'aggiornamento del software
Informazioni sul download
Aggiornamento di Windows Embedded Compact 7 mensile (marzo 2018) è ora disponibile da Microsoft. Per scaricare l'aggiornamento, utilizzare il Dispositivo Partner Center (DPC).
Prerequisiti
Questo aggiornamento è supportato solo se tutti gli aggiornamenti rilasciati in precedenza per questo prodotto sono inoltre stati installati.
Richiesta di riavvio
Dopo avere applicato questo aggiornamento, è necessario eseguire una generazione pulita dell'intera piattaforma. A tale scopo, utilizzare uno dei seguenti metodi:
-
Dal menu Genera scegliere Pulisci soluzionee quindi scegliere Genera soluzione.
-
Scegliere Ricompila soluzionedal menu Compila .
Non è necessario riavviare il computer dopo avere applicato questo aggiornamento software.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce eventuali altri aggiornamenti.
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.