Jak wdrożyć kolejność niestandardowego zestawu szyfrowania w Windows Server 2016
Ten artykuł zawiera informacje ułatwiające wdrażanie niestandardowego pakietu szyfrowania dla usługi Schannel w Windows Server 2016.
Dotyczy: Windows Server 2016
Oryginalny numer KB: 4032720
Podsumowanie
Aby wdrożyć własną kolejność zestawu szyfrowania dla rozwiązania Schannel w systemie Windows, należy określić priorytety zestawów szyfrowania zgodnych z protokołem HTTP/2, wyświetlając je jako pierwsze. Zestawy szyfrowania znajdujące się na liście bloków HTTP/2 (RFC 7540) muszą znajdować się w dolnej części listy. Przykład:
Zestawy szyfrowania w trybie łańcucha bloków szyfrowania (CBC):
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Zestawy szyfrowania bez pfs (idealna tajemnica do przodu):
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
Jeśli zestawy szyfrowania znajdujące się na liście zablokowanych znajdują się w górnej części listy, klienci HTTP/2 i przeglądarki mogą nie być w stanie wynegocjować żadnego zestawu szyfrowania zgodnego z protokołem HTTP/2. Spowoduje to niepowodzenie korzystania z protokołu.
Na przykład w przypadku korzystania z przeglądarki Chrome może zostać wyświetlony błąd ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.
Domyślna kolejność w Windows Server 2016 jest zgodna z preferencjami zestawu szyfrowania HTTP/2. Ponadto ta kolejność jest dobra poza protokołem HTTP/2, ponieważ sprzyja zestawom szyfrowania, które mają najsilniejsze cechy zabezpieczeń. W związku z tym domyślne porządkowanie gwarantuje, że protokół HTTP/2 w Windows Server 2016 nie będzie miał żadnych problemów z negocjowaniem zestawu szyfrowania z przeglądarkami i klientami.
Obejście problemu
Ważna
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.
Jeśli nie można użyć protokołu, należy tymczasowo wyłączyć protokół HTTP/2 podczas zmiany kolejności zestawów szyfrowania.
Aby włączyć i wyłączyć protokół HTTP/2, wykonaj następujące kroki:
- Rozpocznij regedit (Redaktor rejestru).
- Przejdź do tego podklucza:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters. - Ustaw wartość typu DWORD EnableHttp2Tls na jedną z następujących wartości:
- Ustaw wartość 0, aby wyłączyć protokół HTTP/2.
- Ustaw wartość 1, aby włączyć protokół HTTP/2.
- Uruchom ponownie komputer.
Informacje
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla