Введение
В данной статье рассматривается обновление для добавления поддержки безопасности TLS (Transport Layer) 1.1 и TLS 1.2 в Windows Embedded Compact 2013.
Это обновление добавляет требуется поддержка кода подписи шифрования двоичных файлов с помощью SHA256 хэш-значения и обновить отпечаток подпись поставщика службы криптографии Windows CE.
Аннотация
Включить TLS 1.1 и 1.2 TLS
По умолчанию если устройства Windows Embedded Compact 2013 настроена как клиент с помощью параметров обозревателя включены TLS 1.1 и 1.2. Протоколы отключены, когда устройства Windows Embedded Compact 2013 настроен в качестве веб-сервера.
В следующих разделах мы рассмотрим разделы реестра, которые можно использовать для включения или отключения TLS 1.1 и TLS 1.2.
TLS 1.1
Следующий раздел определяет использование TLS 1.1:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Чтобы отключить протокол TLS 1.1, необходимо создать запись типа DWORD включен в соответствующий раздел и измените значение типа DWORD на 0. Чтобы включить протокол, измените параметр типа DWORD на 1. По умолчанию эта запись не существует в реестре.
Примечание.Для включения и согласования TLS 1.1, необходимо создать параметр DisabledByDefault DWORD в соответствующий подраздел (клиента, сервера) и измените значение типа DWORD на 0.
TLS 1.2
Следующий раздел определяет использование TLS 1.2:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Для отключения протокола TLS 1.2, необходимо создать запись типа DWORD включен в соответствующий раздел и измените параметр типа DWORD на 0. Чтобы включить протокол, измените параметр типа DWORD на 1. По умолчанию эта запись не существует в реестре.
Примечание.Для включения и согласования TLS 1.2, необходимо создать параметр DisabledByDefault DWORD в соответствующий подраздел (клиента, сервера) и измените значение типа DWORD на 0.
Предупреждение DisabledByDefault значения разделов реестра в разделе протоколы не имеют приоритет над grbitEnabledProtocols значение, определенное в структуру SCHANNEL_CRED, содержащую данные для безопасного канала Schannel учетные данные.
Примечание.НаЗапрос для комментариев(RFC), реализация конструктора не разрешать включен в то же время SSL2 и TLS 1.2.
Дополнительная информация
Следующие подразделы содержат дополнительные сведения о TLS 1.1 и 1.2.
Комплекты шифров TLS 1.2 поддерживается только
Следующих комплектов шифров добавленный поддерживаются только на 1,2 TLS:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(Необязательно) Это DWORD содержит бит строка, представляющая указанный протокол. Протоколы, поддерживаемые подключения, которые выполняются с использованием учетных данных, которые получены с помощью этой структуры.
В следующей таблице показаны дополнительные возможные флаги, которое может содержать данный элемент.
Значение |
Описание |
SP_PROT_TLS1_2_CLIENT |
Для передачи 1.2 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_2_SERVER |
Транспортировка 1.2 уровень безопасности на стороне сервера |
SP_PROT_TLS1_1_CLIENT |
Для передачи 1.1 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_1_SERVER |
Транспортировка 1.1 уровень безопасности на стороне сервера |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
Этот набор битовых флагов указывает тип буфера. В следующей таблице показаны доступные дополнительные флаги для TLS 1.2:
Флаг |
Описание |
SECBUFFER_ALERT |
Буфер содержит предупреждающее сообщение. |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
Это определяет протокол, используемый для установления подключения. В следующей таблице показаны допустимые дополнительные константы для данного члена:
Значение |
Описание |
SP_PROT_TLS1_2_CLIENT |
Для передачи 1.2 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_2_SERVER |
Транспортировка 1.2 уровень безопасности на стороне сервера |
SP_PROT_TLS1_1_CLIENT |
Для передачи 1.1 уровень безопасности на стороне клиента. |
SP_PROT_TLS1_1_SERVER |
Транспортировка 1.1 уровень безопасности на стороне сервера |
Microsoft Windows CE криптографической службы поставщика подписи отпечаток
Microsoft Windows CE криптографической службы поставщика подписи отпечаток обновляется в Windows Embedded Compact 2013. Период действия сертификата подписи кода изменяется следующим образом.
Старый период действия
02/15/2017 - 05/09/2018
Новый период действия
09/06/2018 - 09/06/2019
Сведения об обновлении программного обеспечения
Сведения о загрузке
Теперь Windows Embedded Compact 2013 ежемесячное обновление (октябрь 2018) от корпорации Майкрософт. Чтобы загрузить это обновление, перейдите к Microsoft OEM Online или MyOEM.
Предварительные условия
Это обновление поддерживается только в том случае, если также были установлены все ранее выпущенные обновления для данного продукта.
Требование перезагрузки
После установки этого обновления необходимо выполнить чистую сборку всей платформы. Для этого воспользуйтесь одним из следующих способов:
-
В меню Построение выберите Очистить решениеи выберите Построить решение.
-
В меню Построение выберите команду Перестроить решение.
Необходимо перезагрузить компьютер после применения этого обновления программного обеспечения.
Сведения о замене обновлений
Это обновление не заменяет никакие другие обновления.
Ссылки
Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.