簡介

本文說明在 [更新] 以新增為傳輸層安全性 (TLS) 1.1 和 TLS 1.2 的支援,在 Windows 的內嵌壓縮 7。

在您安裝此更新程式之前,必須安裝此產品的所有先前發行之更新程式。

摘要

啟用 TLS 1.1 和 1.2 TLS

根據預設, TLS 1.1 和 TLS 1.2 會內嵌壓縮 7 時,Windows 為基礎的裝置,會使用瀏覽器設定設定為用戶端時啟用。當 Windows 內嵌時,會停用通訊協定壓縮 7-基礎裝置設定為 web 伺服器。

若要啟用或停用 TLS 1.1 和 TLS 1.2,您可以使用下列的登錄機碼。

TLS 1.1

下列子機碼控制 TLS 1.1 的使用:

作用中計 \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

要停用 TLS 1.1 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。

注意要啟用,並交涉 TLS 1.1,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0

TLS 1.2

下列子機碼控制 TLS 1.2 的使用:

作用中計 \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

要停用 TLS 1.2 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。

注意要啟用,並交涉 TLS 1.2,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0

其他注意事項

  • 通訊協定機碼下的登錄機碼中的DisabledByDefault值不會優先於在包含 Schannel 認證資料的 SCHANNEL_CRED 結構中定義的grbitEnabledProtocols值。

  • 每個要求的註解(RFC),設計實作不允許 SSL2 和 TLS 1.2 同時啟用。

更多的資訊

請閱讀下列章節,取得 TLS 1.1 和 1.2 有關其他詳細資料。

只支援 TLS 1.2 的加密套件

下列的新加入的加密套件只支援 TLS 1.2 的:

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_NULL_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)

grbitEnabledProtocols

(選擇性)此 DWORD 包含位元字串,表示有下列條件的通訊協定:

  • ,透過,由使用這個結構所取得的認證來建立連入連線所支援

下表顯示其他可能的旗標,可包含的成員。

描述

SP_PROT_TLS1_2_CLIENT

傳輸層安全性 1.2 的用戶端。

SP_PROT_TLS1_2_SERVER

傳輸層安全性 1.2 伺服器端

SP_PROT_TLS1_1_CLIENT

傳輸層安全性 1.1 的用戶端。

SP_PROT_TLS1_1_SERVER

傳輸層安全性 1.1 伺服器端



SecBuffer

BufferType

這組的位元旗標會指示緩衝區型別。下表顯示其他可用的旗標的 TLS 1.2。

旗標

描述

SECBUFFER_ALERT

緩衝區中包含警示的訊息。



SecPkgContext_ConnectionInfo

dwProtocol

這會指定可用來建立這個連線的通訊協定。下表會顯示其他有效的常數,請為此成員。

描述

SP_PROT_TLS1_2_CLIENT

傳輸層安全性 1.2 的用戶端。

SP_PROT_TLS1_2_SERVER

傳輸層安全性 1.2 伺服器端

SP_PROT_TLS1_1_CLIENT

傳輸層安全性 1.1 的用戶端。

SP_PROT_TLS1_1_SERVER

傳輸層安全性 1.1 伺服器端



aiCipher

這是這個連線由大量加密加密演算法識別項 (ALG_ID)。下表會顯示其他的有效常數,請為此成員。

描述

CALG_AES_256

AES 256 位元的加密演算法

CALG_AES_128

AES 128 位元的加密演算法

CALG_3DES

3DES 區塊加密演算法



SecPkgContext_SupportedSignatures

結構

這會指定 Schannel 連線所支援的簽章演算法.

語法 (c + +)

typedef struct _SecPkgContext_SupportedSignatures {

  WORD cSignatureAndHashAlgorithms;

  WORD *pSignatureAndHashAlgorithms;

} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;


成員

  • cSignatureAndHashAlgorithms

    這是 pSignatureAndHashAlgorithms 陣列中的項目數。

  • pSignatureAndHashAlgorithms

    這是一個陣列,這個值指定支援的演算法。

    上層位元組可以是其中一個指定的簽章演算法的下列值。

    意義

    0

    匿名的簽章演算法

    1

    RSA 簽章演算法

    2

    DSA 簽章演算法

    3

    Ecdsa 來簽章演算法

    255

    保留


    下層位元組可為下列的值,指定雜湊演算法。

    意義

    0

    1

    MD5 雜湊演算法

    2

    SHA1 雜湊演算法

    3

    SHA 224 雜湊演算法

    4

    Sha-256 雜湊演算法

    5

    SHA 384 的雜湊演算法

    6

    Sha-512 的雜湊演算法

    255

    保留



    Requirements

    Header

    Schannel.h


QueryContextAttributes

這個函式可讓傳輸應用程式查詢安全性封裝的安全性內容的某些屬性。

ulAttribute

這是內容的變數的指標,此緩衝區包含要擷取的屬性。下表顯示可能的值。

描述

SECPKG_ATTR_SUPPORTED_SIGNATURES

這個值會傳回相關的簽章的型別所支援的連線資訊。PBuffer 參數包含變數的指標, SecPkgContext_SupportedSignatures 結構。



UI 範例瀏覽器的登錄設定

下表顯示註冊網際網路的設定及作業的設定,在下列登錄子機碼:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet 設定

名稱

型別

描述

預設值

SecureProtocols

REG_BINARY

00,02,00,00 (僅啟用 TLS 1.1)

00,08,00,00 (僅啟用 TLS 1.2)

您也可以設定這個機碼為 REG_DWORD"0AA8"若要啟用所有通訊協定。

A0,0a 的位元組,00,00 (能讓所有的通訊協定,除了 SSL2)

 

軟體更新資訊

下載資訊

現在使用 microsoft Windows 內嵌壓縮 7 月更新 (年 3 月 2018)。如果要下載更新,請到 [裝置夥伴中心 (DPC)

先決條件

此更新程式也已安裝此產品的所有先前發行的更新時,才支援。

重新啟動需求

套用此更新之後,您必須執行整個平台的清除組建。若要這樣做,請使用下列其中一種方法:

  • 在 [建置] 功能表中,選取 [清除方案,,然後選取 [建置方案

  • 選取 [建置] 功能表上的 [重建方案]。

您不必套用此軟體更新之後,請重新啟動電腦。

更新取代資訊

此更新不會取代任何其他更新。

參考

深入了解 Microsoft 用來描述軟體更新的術語

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×