Введение
В данной статье рассматривается обновление для добавления поддержки Безопасности TLS (Transport Layer) 1.1 и TLS 1.2 в Windows Embedded Compact 7.
Перед установкой этого обновления необходимо установить все ранее выпущенные обновления для данного продукта.
Обзор
Включить TLS 1.1 и 1.2 TLS
По умолчанию когда устройство на базе Windows Embedded Compact 7 настроен как клиент с помощью параметров обозревателя включены TLS 1.1 и TLS 1.2. Протоколы отключены, когда Windows Embedded Compact 7-на основе устройство настроено как веб-сервер.
Чтобы включить или отключить TLS 1.1 и TLS 1.2 можно использовать следующие разделы реестра.
TLS 1.1
Следующий раздел определяет использование TLS 1.1:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Чтобы отключить протокол TLS 1.1, необходимо создать запись типа DWORD включен в соответствующий раздел и измените значение типа DWORD на 0. Чтобы включить протокол, измените параметр типа DWORD на 1. По умолчанию эта запись не существует в реестре.
Примечание. Для включения и согласования TLS 1.1, необходимо создать параметр DisabledByDefault DWORD в соответствующий подраздел (клиента, сервера) и измените значение типа DWORD на 0.
TLS 1.2
Следующий раздел определяет использование TLS 1.2:
HKEY_LOCAL_MACHINE \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Для отключения протокола TLS 1.2, необходимо создать запись типа DWORD включен в соответствующий раздел и измените параметр типа DWORD на 0. Чтобы включить протокол, измените параметр типа DWORD на 1. По умолчанию эта запись не существует в реестре.
Примечание. Для включения и согласования TLS 1.2, необходимо создать параметр DisabledByDefault DWORD в соответствующий подраздел (клиента, сервера) и измените значение типа DWORD на 0.
Дополнительные замечания
-
DisabledByDefault значения разделов реестра в разделе протоколы не имеют приоритет над grbitEnabledProtocols значение, определенное в SCHANNEL_CRED структуру, содержащую данные для безопасного канала Schannel учетных данных.
-
На Запрос для комментариев (RFC), реализация конструктора не разрешать включен в то же время SSL2 и TLS 1.2.
Дополнительные сведения
Пожалуйста, ознакомьтесь со следующими разделами дополнительных сведений о TLS 1.1 и 1.2.
Комплекты шифров TLS 1.2 поддерживается только
Следующих комплектов шифров добавленный поддерживаются только на 1,2 TLS:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(Необязательно) Этот параметр DWORD содержит строку бит, представляющий протоколов, для которых выполняется следующее условие:
-
Поддерживаемые соединениях, которые выполняются, если учетные данные, которые приобретаются в этой структуре
Ниже приведены дополнительные флаги, которые может содержать элемент.
Значение |
Описание |
SP_PROT_TLS1_2_CLIENT |
Для передачи 1.2 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_2_SERVER |
Транспортировка 1.2 уровень безопасности на стороне сервера |
SP_PROT_TLS1_1_CLIENT |
Для передачи 1.1 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_1_SERVER |
Транспортировка 1.1 уровень безопасности на стороне сервера |
BufferType
Этот набор битовых флагов указывает тип буфера. В следующей таблице показаны доступные дополнительные флаги для TLS 1.2.
Флаг |
Описание |
SECBUFFER_ALERT |
Буфер содержит предупреждающее сообщение. |
dwProtocol
Это определяет протокол, используемый для установления подключения. В следующей таблице показаны допустимые дополнительные константы для данного члена.
Значение |
Описание |
SP_PROT_TLS1_2_CLIENT |
Для передачи 1.2 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_2_SERVER |
Транспортировка 1.2 уровень безопасности на стороне сервера |
SP_PROT_TLS1_1_CLIENT |
Для передачи 1.1 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_1_SERVER |
Транспортировка 1.1 уровень безопасности на стороне сервера |
Это идентификатор алгоритма (ALG_ID) для шифрования массового шифрования, используемый в данном соединении. В следующей таблице показаны допустимые дополнительные константы для данного члена.
Значение |
Описание |
CALG_AES_256 |
Алгоритм AES 256-разрядное шифрование |
CALG_AES_128 |
Алгоритм AES 128-разрядное шифрование |
CALG_3DES |
Алгоритм шифрования 3DES блок |
Структура
Указывает алгоритмы подписи, которые поддерживаются Schannel соединение .
Синтаксис (C++)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
Члены
-
cSignatureAndHashAlgorithms
Это количество элементов в массиве pSignatureAndHashAlgorithms. -
pSignatureAndHashAlgorithms
Это массив значений, указывающих поддерживаемые алгоритмы. Верхний байт может принимать одно из следующих значений, определяющих алгоритм подписи.Значение
Значение
0
Алгоритм подписи анонимный
1
Алгоритм подписи RSA
2
Алгоритм подписи DSA
3
Алгоритм подписи ECDSA
255
Зарезервировано
Значение
Значение
0
Нет
1
Алгоритм хеширования MD5
2
Хэш-алгоритм SHA1
3
Алгоритм хеширования SHA-224
4
Алгоритм хэширования SHA-256
5
Алгоритм хеширования SHA-384
6
Алгоритм хеширования SHA-512
255
Зарезервировано
Заголовок
Schannel.h
Эта функция позволяет приложению запросить пакет безопасности для определенных атрибутов контекста безопасности транспорта.
ulAttribute
Это указатель на буфер, который содержит атрибуты контекста, должно быть возвращено. Ниже приведены возможные значения.
Значение |
Описание |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
Это значение возвращает сведения о типах подписи, которые поддерживаются для подключения. Параметре pBuffer параметр содержит указатель на SecPkgContext_SupportedSignatures Структура. |
Параметры реестра обозревателя пример пользовательского интерфейса
В следующей таблице показаны параметры, которые регистрируют Интернет и работы в следующем разделе реестра:
Параметры HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Имя |
Тип |
Описание |
Значение по умолчанию |
SecureProtocols |
REG_BINARY |
00,02,00,00 (только позволяет TLS 1.1) 00,08,00,00 (только позволяет TLS 1.2) Этот раздел также можно задать как REG_DWORD «0AA8», чтобы включить все протоколы. |
A0, 0A, 00, 00 (включает все протоколы, за исключением SSL2) |
Сведения об обновлении программного обеспечения
Информация о скачивании
Windows Embedded Compact 7 ежемесячное обновление (марта 2018) от корпорации Майкрософт доступна. Чтобы загрузить обновление, перейдите к Центра партнера устройства (DPC).
Предварительные условия
Это обновление поддерживается только в том случае, если также были установлены все ранее выпущенные обновления для данного продукта.
Необходимость перезагрузки
После установки этого обновления необходимо выполнить чистую сборку всей платформы. Для этого воспользуйтесь одним из следующих способов:
-
В меню Построение выберите Очистить решениеи выберите Построить решение.
-
В меню Построение выберите команду Перестроить решение.
Необходимо перезагрузить компьютер после применения этого обновления программного обеспечения.
Сведения о замене обновлений
Это обновление не заменяет других обновлений.
Ссылки
Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.