Wprowadzenie
W tym artykule opisano aktualizację dodać obsługę zabezpieczeń TLS (Transport Layer) 1.1 i TLS 1.2 w systemie Windows Embedded Compact 2013.
Ta aktualizacja dodaje obsługę wymagane do podpisywania plików binarnych usług kryptograficznych przy użyciu wartości skrótu SHA256 kodu i aktualizacja odcisk palca podpis dostawcy usług kryptograficznych systemu Windows CE.
Podsumowanie
Włącz protokół TLS 1.1 i TLS 1.2
Domyślnie TLS 1.1 i 1.2 są włączane gdy urządzenie systemu Windows Embedded Compact 2013 jest skonfigurowany jako klient przy użyciu ustawień przeglądarki. Protokoły są wyłączone, gdy urządzenie systemu Windows Embedded Compact 2013 jest skonfigurowany jako serwer sieci web.
W poniższych sekcjach omówiono klucze rejestru, które można użyć, aby włączyć lub wyłączyć TLS 1.1 i TLS 1.2.
TLS 1.1
Następujący podklucz kontroluje wykorzystanie protokołu TLS 1.1:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Aby wyłączyć protokół TLS 1.1, należy utworzyć wpis DWORD Enabled w odpowiednim podkluczu, a następnie zmień wartość DWORD na 0. Aby ponownie włączyć protokół, zmień wartość DWORD na 1. Domyślnie ten wpis nie istnieje w rejestrze.
UwagaAby włączyć i negocjowania protokołu TLS 1.1, należy utworzyć wpis DisabledByDefault DWORD w odpowiednim podkluczu (klienta, serwera), a następnie zmień wartość DWORD na 0.
TLS 1.2
Następujący podklucz kontroluje wykorzystanie TLS 1.2:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Aby wyłączyć protokół TLS 1.2, należy utworzyć wpis DWORD Enabled w odpowiednim podkluczu, a następnie zmień wartość DWORD na 0. Aby ponownie włączyć protokół, zmień wartość DWORD na 1. Domyślnie ten wpis nie istnieje w rejestrze.
UwagaAby włączyć i negocjowania TLS 1.2, należy utworzyć wpis DisabledByDefault DWORD w odpowiednim podkluczu (klienta, serwera), a następnie zmień wartość DWORD na 0.
Ostrzeżenie DisabledByDefault wartości w kluczach rejestru w kluczu protokołów nie pierwszeństwo wartość grbitEnabledProtocols , która jest zdefiniowana w strukturze SCHANNEL_CRED, który zawiera dane dla kanału Schannel poświadczenie.
UwagaNaRequest for Comments(RFC), realizacji projektu nie zezwala na SSL2 i TLS 1.2, które mają być włączone w tym samym czasie.
Więcej informacji
Poniższe sekcje zawierają dodatkowe szczegóły dotyczące TLS 1.1 i 1.2.
Mechanizmów szyfrowania obsługiwanych przez TLS 1.2 tylko
Następujących mechanizmów szyfrowania nowo dodane są obsługiwane tylko przez TLS 1.2:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(Opcjonalnie) DWORD zawiera ciąg bit, który reprezentuje określonych protokołów. Protokoły są obsługiwane przez połączenia, które są wykonywane przy użyciu poświadczeń, które są nabywane za pomocą tej struktury.
W poniższej tabeli przedstawiono dodatkowe możliwe flagi, jakie może zawierać ten element członkowski.
Wartość |
Opis |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 po stronie klienta. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 po stronie serwera |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 po stronie klienta. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 po stronie serwera |
Pvbufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
To zestaw flag bitowych wskazuje typ buforu. W poniższej tabeli przedstawiono dodatkowe dostępnych flag TLS 1.2:
Flaga |
Opis |
SECBUFFER_ALERT |
Bufor zawiera komunikat ostrzegawczy. |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
Określa protokół, który jest używany do ustanowienia połączenia. W poniższej tabeli przedstawiono dodatkowe prawidłowych stałych dla tego elementu:
Wartość |
Opis |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 po stronie klienta. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 po stronie serwera |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 po stronie klienta. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 po stronie serwera |
Microsoft Windows CE Service Provider podpis kryptograficzny odcisk palca
Odcisk palca Microsoft Windows CE Service Provider podpis kryptograficzny jest aktualizowany w systemie Windows Embedded Compact 2013. Okres ważności certyfikatu podpisywania kodu zostanie zmieniona w następujący sposób.
Stary okres ważności
02/15/2017 - 05/09/2018
Nowy okres ważności
09/06/2018 - 09/06/2019
Informacje dotyczące aktualizacji oprogramowania
Informacje dotyczące pobierania
Systemu Windows Embedded Compact 2013 comiesięczna aktualizacja (października 2018) jest teraz udostępniana przez firmę Microsoft. Aby pobrać tę aktualizację, przejdź do Witryny Microsoft OEM Online lub MyOEM.
Wymagania wstępne
Ta aktualizacja jest obsługiwana tylko wtedy, gdy wszystkie uprzednio wydane aktualizacje dla tego produktu zostały również zainstalowane.
Wymagania dotyczące ponownego uruchomienia
Po zastosowaniu tej aktualizacji należy wykonać czystą kompilację całej platformy. Aby to zrobić, użyj jednej z następujących metod:
-
W menu TworzenieCzystegoroztworu, a następnie wybierz Budowania rozwiązania.
-
W menu Tworzenie wybierz Odbudować rozwiązanie.
Nie trzeba ponownie uruchomić komputer po zastosowaniu tej aktualizacji oprogramowania.
Informacje dotyczące zastępowania aktualizacji
Ta aktualizacja nie zastępuje żadnych innych aktualizacji.
Informacje
Więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.