Introduzione
In questo articolo viene descritto un aggiornamento per aggiungere il supporto di protezione TLS (Transport Layer) 1.1 e TLS 1.2 2013 compatto incorporato di Windows.
Questo aggiornamento aggiunge il supporto necessario per il codice della firma di crittografia dei file binari tramite valori hash SHA256 e aggiornata identificazione digitale di firma di Windows CE Cryptographic Service Provider.
Riepilogo
Abilitare TLS 1.1 e TLS 1.2
Per impostazione predefinita, TLS 1.1 e 1.2 vengono attivati quando il dispositivo 2013 compatto incorporato di Windows è configurato come client utilizzando le impostazioni del browser. I protocolli sono disabilitati quando il dispositivo 2013 compatto incorporato di Windows è configurato come server web.
Nelle sezioni seguenti verranno illustrate le chiavi di registro che è possibile utilizzare per abilitare o disabilitare TLS 1.1 e 1.2 di TLS.
TLS 1.1
La seguente sottochiave controlla l'utilizzo di TLS 1.1:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Per disattivare il protocollo TLS 1.1, è necessario creare la voce DWORD Enabled nella sottochiave appropriata e quindi modificare il valore DWORD su 0. Per riattivare il protocollo, modificare il valore DWORD su 1. Per impostazione predefinita, questa voce non esiste nel Registro di sistema.
Nota:Per attivare e negoziazione TLS 1.1, è necessario creare la voce DWORD DisabledByDefault nella sottochiave appropriata (Client, Server) e quindi modificare il valore DWORD su 0.
TLS 1.2
La seguente sottochiave controlla l'utilizzo di TLS 1.2:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Per disattivare il protocollo TLS 1.2, è necessario creare la voce DWORD Enabled nella sottochiave appropriata e quindi modificare il valore DWORD su 0. Per riattivare il protocollo, modificare il valore DWORD su 1. Per impostazione predefinita, questa voce non esiste nel Registro di sistema.
Nota:Per attivare e negoziazione TLS 1.2, è necessario creare la voce DWORD DisabledByDefault nella sottochiave appropriata (Client, Server) e quindi modificare il valore DWORD su 0.
AvvisoIl valore di DisabledByDefault nelle chiavi del Registro di sistema nella chiave protocolli non hanno la precedenza sul valore definito nella struttura SCHANNEL_CRED che contiene i dati per un Schannel grbitEnabledProtocols credenziale.
Nota:Per laRequest for Comments(RFC), l'implementazione di progettazione non consente l'attivazione contemporaneamente SSL2 e TLS 1.2.
Ulteriori informazioni
Nelle sezioni seguenti forniscono ulteriori informazioni su TLS 1.1 e 1.2.
Suite di cifratura supportati solo da TLS 1.2
La suite di cifratura appena aggiunto seguenti sono supportate solo TLS 1.2:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(Facoltativo) Questo valore DWORD contiene una stringa di bit che rappresenta i protocolli specifici. I protocolli sono supportati per le connessioni effettuate utilizzando le credenziali che vengono acquisite utilizzando questa struttura.
Nella tabella seguente mostra i possibili contrassegni supplementari che può contenere questo membro.
Valore |
Descrizione |
SP_PROT_TLS1_2_CLIENT |
Trasporto livello protezione 1.2 sul lato client. |
SP_PROT_TLS1_2_SERVER |
Livello protezione 1.2 sul lato server di trasporto |
SP_PROT_TLS1_1_CLIENT |
Trasporto livello protezione 1.1 sul lato client. |
SP_PROT_TLS1_1_SERVER |
Livello sicurezza 1.1 sul lato server di trasporto |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
Questo insieme di flag di bit indica il tipo di buffer. Nella tabella seguente sono riportati i flag aggiuntivi disponibili per TLS 1.2:
Flag |
Descrizione |
SECBUFFER_ALERT |
Il buffer contiene un messaggio di avviso. |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
In questo modo si definisce il protocollo utilizzato per stabilire la connessione. Nella seguente tabella sono ulteriori costanti valide per questo membro:
Valore |
Descrizione |
SP_PROT_TLS1_2_CLIENT |
Trasporto livello protezione 1.2 sul lato client. |
SP_PROT_TLS1_2_SERVER |
Livello protezione 1.2 sul lato server di trasporto |
SP_PROT_TLS1_1_CLIENT |
Trasporto livello protezione 1.1 sul lato client. |
SP_PROT_TLS1_1_SERVER |
Livello sicurezza 1.1 sul lato server di trasporto |
Identificazione personale di Microsoft Windows CE Cryptographic Service Provider firma
L'identificazione personale di Microsoft Windows CE Service Provider firma crittografica viene aggiornato nel 2013 compatto incorporato di Windows. Il periodo di validità del certificato di firma di codice viene modificato come segue.
Precedente periodo di validità
02/15/2017 - 05/09/2018
Nuovo periodo di validità
09/06/2018 - 09/06/2019
Informazioni sull'aggiornamento del software
Informazioni sul download
Aggiornamento di Windows Embedded Compact 2013 mensile (ottobre 2018) è ora disponibile da Microsoft. Per scaricare questo aggiornamento, visitare Microsoft OEM Online o MyOEM.
Requisiti
Questo aggiornamento è supportato solo se tutti gli aggiornamenti rilasciati in precedenza per questo prodotto sono inoltre stati installati.
Richiesta di riavvio
Dopo avere applicato questo aggiornamento, è necessario eseguire una generazione pulita dell'intera piattaforma. A tale scopo, utilizzare uno dei seguenti metodi:
-
Dal menu Genera scegliere Pulisci soluzionee quindi scegliere Genera soluzione.
-
Scegliere Ricompila soluzionedal menu Compila .
Non è necessario riavviare il computer dopo avere applicato questo aggiornamento software.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce eventuali altri aggiornamenti.
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.