บทนำ
บทความนี้อธิบายถึงการปรับปรุงเพื่อเพิ่มการสนับสนุนสำหรับการขนส่งเลเยอร์ความปลอดภัย (TLS) 1.1 และ TLS 1.2 ใน Windows 2013 กระชับข้อมูลฝังตัว
โปรแกรมปรับปรุงนี้เพิ่มการสนับสนุนจำเป็นสำหรับรหัสไบนารีที่เข้ารหัสลับลงชื่อเข้าใช้ โดยใช้ค่าแฮ SHA256 และรหัสประจำตัวลายเซ็น CE Windows ที่เข้ารหัสลับให้บริการการปรับปรุง
สรุป
เปิดใช้งาน TLS 1.1 และ TLS 1.2
โดยค่าเริ่มต้น TLS 1.1 และ 1.2 เปิดใช้งานโดยอุปกรณ์ Windows 2013 กระชับข้อมูลฝังตัวถูกกำหนดค่าเป็นไคลเอนต์ โดยใช้การตั้งค่าเบราว์เซอร์ โพรโทคอลที่ถูกปิดใช้งานเมื่อมีการกำหนดค่าอุปกรณ์ Windows 2013 กระชับข้อมูลฝังตัวเป็นเว็บเซิร์ฟเวอร์
ในส่วนต่อไปนี้ เราอธิบายคีย์รีจิสทรีที่คุณสามารถใช้เพื่อเปิดใช้งาน หรือปิดใช้งาน TLS 1.1 และ TLS 1.2
TLS 1.1
คีย์ย่อยต่อไปนี้ควบคุมการใช้ TLS 1.1:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
เมื่อต้องการปิดใช้งานโพรโทคอล TLS 1.1 คุณต้องสร้างรายการEnabled DWORD ในคีย์ย่อยที่เหมาะสม และจากนั้น เปลี่ยนค่า DWORD เป็น0 เมื่อต้องการเปิดใช้งานโพรโทคอล เปลี่ยนค่า DWORD เป็น1 โดยค่าเริ่มต้น รายการนี้ไม่มีอยู่ในรีจิสทรี
หมายเหตุ เมื่อต้องการเปิดใช้งาน และเจรจา TLS 1.1 คุณต้องสร้างรายการDisabledByDefault DWORD ในคีย์ย่อยที่เหมาะสม (ไคลเอ็นต์ เซิร์ฟเวอร์), และจากนั้น เปลี่ยนค่า DWORD เป็น0
TLS 1.2
คีย์ย่อยต่อไปนี้ควบคุมการใช้ TLS 1.2:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
เมื่อต้องการปิดใช้งานโพรโทคอล TLS 1.2 คุณต้องสร้างรายการEnabled DWORD ในคีย์ย่อยที่เหมาะสม และจากนั้น เปลี่ยนค่า DWORD เป็น0 เมื่อต้องการเปิดใช้งานโพรโทคอล เปลี่ยนค่า DWORD เป็น1 โดยค่าเริ่มต้น รายการนี้ไม่มีอยู่ในรีจิสทรี
หมายเหตุ เมื่อต้องการเปิดใช้งาน และเจรจา TLS 1.2 คุณต้องสร้างรายการDisabledByDefault DWORD ในคีย์ย่อยที่เหมาะสม (ไคลเอ็นต์ เซิร์ฟเวอร์), และจากนั้น เปลี่ยนค่า DWORD เป็น0
คำเตือน DisabledByDefaultค่าในคีย์รีจิสทรีภายใต้คีย์โปรโตคอลจะมีบทบาทเหนือค่าgrbitEnabledProtocolsที่กำหนดไว้ในโครงสร้าง SCHANNEL_CRED ที่ประกอบด้วยข้อมูลสำหรับการ Schannel ข้อมูลประจำตัว
หมายเหตุ ต่อร้องขอสำหรับข้อคิดเห็น(RFC), ออกแบบงานไม่อนุญาตให้ SSL2 และ TLS 1.2 เพื่อเปิดใช้งานในเวลาเดียวกัน
ข้อมูลเพิ่มเติม
ส่วนต่อไปนี้ให้รายละเอียดเพิ่มเติมเกี่ยวกับ TLS 1.1 และ 1.2
ชุดการเข้ารหัสที่สนับสนุน TLS 1.2 เท่านั้น
ชุดโปรแกรม cipher ที่เพิ่งเพิ่มเข้าไปดังต่อไปนี้ได้รับการสนับสนุน โดย TLS 1.2 เท่านั้น:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(ไม่จำเป็น) DWORD นี้ประกอบด้วยบิตสตริงที่แสดงถึงโพรโทคอลที่เฉพาะเจาะจง โพรโทคอลที่สนับสนุน โดยการเชื่อมต่อที่เกิดขึ้น โดยใช้ข้อมูลประจำตัวที่ได้รับมา โดยใช้โครงสร้างนี้
ตารางต่อไปนี้แสดงค่าสถานะสามารถเพิ่มเติมสามารถประกอบด้วยสมาชิกนี้
|
ค่า |
คำอธิบาย |
|
SP_PROT_TLS1_2_CLIENT |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งไคลเอ็นต์ |
|
SP_PROT_TLS1_2_SERVER |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งเซิร์ฟเวอร์ |
|
SP_PROT_TLS1_1_CLIENT |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งไคลเอ็นต์ |
|
SP_PROT_TLS1_1_SERVER |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งเซิร์ฟเวอร์ |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
ชุดของค่าสถานะของบิตนี้บ่งชี้ชนิดของบัฟเฟอร์ ตารางต่อไปนี้แสดงค่าสถานะพร้อมใช้งานเพิ่มเติมสำหรับ TLS 1.2:
|
ค่าสถานะ |
คำอธิบาย |
|
SECBUFFER_ALERT |
บัฟเฟอร์ประกอบด้วยข้อความแจ้งเตือน |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
ซึ่งกำหนดโพรโทคอลที่ใช้ในการสร้างการเชื่อมต่อนี้ ตารางต่อไปนี้แสดงค่าคงที่ถูกต้องเพิ่มเติมสำหรับสมาชิกนี้:
|
ค่า |
คำอธิบาย |
|
SP_PROT_TLS1_2_CLIENT |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งไคลเอ็นต์ |
|
SP_PROT_TLS1_2_SERVER |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.2 ฝั่งเซิร์ฟเวอร์ |
|
SP_PROT_TLS1_1_CLIENT |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งไคลเอ็นต์ |
|
SP_PROT_TLS1_1_SERVER |
ทรานสปอร์ทเลเยอร์ความปลอดภัย 1.1 ฝั่งเซิร์ฟเวอร์ |
รหัสประจำตัวของ Microsoft Windows CE เข้ารหัสลับบริการผู้ให้ลายเซ็น
รหัสประจำตัวของ Microsoft Windows CE เข้ารหัสลับบริการผู้ให้ลายเซ็นมีการปรับปรุงใน Windows 2013 กระชับข้อมูลฝังตัว รอบระยะเวลาการมีผลบังคับใช้สำหรับรหัสใบรับรองการเซ็นชื่อถูกเปลี่ยนเป็นดังนี้
รอบระยะเวลาเก่ามีผลบังคับใช้
02/15/2017 - 05/09/2018
รอบระยะเวลาใหม่ที่มีผลบังคับใช้
09/06/2018 - 09/06/2019
ข้อมูลการปรับปรุงซอฟต์แวร์
ข้อมูลการดาวน์โหลด
ขณะนี้พร้อมใช้งานจาก Microsoft Windows ฝังตัวกระชับ 2013 รายเดือนปรับปรุง (2018 ตุลาคม) ได้ เมื่อต้องการดาวน์โหลดโปรแกรมปรับปรุงนี้ ไปที่Microsoft OEM OnlineหรือMyOEM
ข้อกำหนดเบื้องต้น
โปรแกรมปรับปรุงนี้ได้รับการสนับสนุนเฉพาะเมื่อมีการติดตั้งโปรแกรมปรับปรุงที่ออกใช้ก่อนหน้านี้ทั้งหมดสำหรับผลิตภัณฑ์นี้นอกจากนี้
ความต้องการในการเริ่มระบบใหม่
หลังจากที่คุณใช้โปรแกรมปรับปรุงนี้ คุณต้องดำเนินการเป็นแพลตฟอร์มทั้งรุ่นใหม่ทั้งหมด เมื่อต้องการทำเช่นนี้ ใช้หนึ่งในวิธีต่อไปนี้:
-
บนเมนูสร้างเลือกโซลูชันใหม่ทั้งหมดจากนั้นสร้างโซลูชัน
-
บนเมนูสร้างเลือกโซลูชันที่สร้างใหม่
คุณไม่ต้องรีสตาร์ทคอมพิวเตอร์หลังจากใช้การปรับปรุงซอฟต์แวร์นี้
ข้อมูลการทดแทนโปรแกรมอัปเดต
โปรแกรมปรับปรุงนี้ไม่แทนการปรับปรุงอื่น ๆ
อ้างอิง
เรียนรู้เกี่ยวกับคำศัพท์เฉพาะทางที่ Microsoft ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์
