简介
本文介绍了更新以添加 Windows 嵌入式紧凑型 2013年支持传输层安全 (TLS) 1.1 和 TLS 1.2。
此更新将添加用于代码签名加密的二进制文件使用 SHA256 散列值所需要的支持和更新 Windows CE 加密服务提供程序签名指纹。
摘要
启用 TLS 1.1 和 1.2 TLS
默认情况下,TLS 1.1 和 1.2 启用 Windows 嵌入式紧凑型 2013年设备配置为客户端使用的浏览器设置时。当 Windows 嵌入式紧凑型 2013年设备配置为 web 服务器禁用协议。
在下面的章节中,我们讨论了可用于启用或禁用 TLS 1.1 和 TLS 1.2 的注册表项。
TLS 1.1
下面的子项控制 TLS 1.1 的使用:
置此变量\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
要禁用 TLS 1.1 协议,必须在相应的子项中创建启用DWORD 项,然后将 DWORD 值更改为0。要重新启用该协议,将 DWORD 值更改为1。默认情况下,注册表中不存在此条目。
注意:要启用并协商 TLS 1.1,必须在相应的子项 (客户端、 服务器),创建DisabledByDefault DWORD 项,然后将 DWORD 值更改为0。
TLS 1.2
下面的子项控制 TLS 1.2 的使用:
置此变量\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
要禁用 TLS 1.2 协议,必须在相应的子项中创建启用DWORD 项,然后将 DWORD 值更改为0。要重新启用该协议,将 DWORD 值更改为1。默认情况下,注册表中不存在此条目。
注意:要启用并协商 TLS 1.2,必须在相应的子项 (客户端、 服务器),创建DisabledByDefault DWORD 项,然后将 DWORD 值更改为0。
警告在协议项下的注册表项中的DisabledByDefault值不会优先于在频道中包含数据的 SCHANNEL_CRED 结构中定义的grbitEnabledProtocols值凭据。
注意:每个征求意见(RFC) 设计实现不允许 SSL2 并在同时启用 TLS 1.2。
更多信息
以下各节提供有关 TLS 1.1 和 1.2 的其他详细信息。
只有支持 TLS 1.2 密码套件
下面的新添加的密码套件仅支持通过 TLS 1.2:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(可选)此 DWORD 包含一个位字符串,它表示特定的协议。通过使用此结构获得的凭据进行连接所支持的协议。
下表显示了此成员可以包含其他的标志。
值 |
说明 |
SP_PROT_TLS1_2_CLIENT |
传输层安全性 1.2 客户端。 |
SP_PROT_TLS1_2_SERVER |
传输层安全性 1.2 服务器端 |
SP_PROT_TLS1_1_CLIENT |
传输层安全性 1.1 客户端。 |
SP_PROT_TLS1_1_SERVER |
传输层安全性 1.1 服务器端 |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
这一组位标志指示类型的缓冲区。下表显示了可用的其他标志的 TLS 1.2:
标志 |
说明 |
SECBUFFER_ALERT |
在缓冲区中包含一条警告消息。 |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
这将指定用于建立该连接的协议。下表显示该成员的其他有效的常量:
值 |
说明 |
SP_PROT_TLS1_2_CLIENT |
传输层安全性 1.2 客户端。 |
SP_PROT_TLS1_2_SERVER |
传输层安全性 1.2 服务器端 |
SP_PROT_TLS1_1_CLIENT |
传输层安全性 1.1 客户端。 |
SP_PROT_TLS1_1_SERVER |
传输层安全性 1.1 服务器端 |
Microsoft Windows CE 加密服务提供程序签名指纹
Microsoft Windows CE 加密服务提供程序签名指纹被更新 Windows 嵌入式紧凑型 2013年。代码签名证书的有效期的时间段更改如下。
旧的有效性期间
02/15/2017 - 05/09/2018
新期间的有效性
09/06/2018 - 09/06/2019
软件更新信息
下载信息
现可从 Microsoft Windows 嵌入式紧凑型 2013年每月更新 (10 月 2018)。若要下载此更新,请转到Microsoft 在线 OEM或MyOEM。
先决条件
仅当已安装了以前针对该产品发布的所有更新时,才支持此更新。
重启要求
应用此更新后,必须对整个平台执行清理生成。 为此,请使用下列方法之一:
-
在“生成”菜单上,依次选择“清理解决方案” 和“生成解决方案” 。
-
在“生成”菜单上,选择“重新生成解决方案” 。
应用此软件更新后无需重新启动计算机。
更新替代信息
此更新不替代任何其他更新。
参考
了解 Microsoft 用于描述软件更新的术语。