簡介
本文說明在 [更新] 以新增為傳輸層安全性 (TLS) 1.1 和 TLS 1.2 的支援,在 Windows 的內嵌壓縮 7。
在您安裝此更新程式之前,必須安裝此產品的所有先前發行之更新程式。
摘要
啟用 TLS 1.1 和 1.2 TLS
根據預設, TLS 1.1 和 TLS 1.2 會內嵌壓縮 7 時,Windows 為基礎的裝置,會使用瀏覽器設定設定為用戶端時啟用。當 Windows 內嵌時,會停用通訊協定壓縮 7-基礎裝置設定為 web 伺服器。
若要啟用或停用 TLS 1.1 和 TLS 1.2,您可以使用下列的登錄機碼。
TLS 1.1
下列子機碼控制 TLS 1.1 的使用:
作用中計 \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
要停用 TLS 1.1 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。
注意要啟用,並交涉 TLS 1.1,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0。
TLS 1.2
下列子機碼控制 TLS 1.2 的使用:
作用中計 \Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
要停用 TLS 1.2 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。
注意要啟用,並交涉 TLS 1.2,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0。
其他注意事項
-
通訊協定機碼下的登錄機碼中的DisabledByDefault值不會優先於在包含 Schannel 認證資料的 SCHANNEL_CRED 結構中定義的grbitEnabledProtocols值。
-
每個要求的註解(RFC),設計實作不允許 SSL2 和 TLS 1.2 同時啟用。
更多的資訊
請閱讀下列章節,取得 TLS 1.1 和 1.2 有關其他詳細資料。
只支援 TLS 1.2 的加密套件
下列的新加入的加密套件只支援 TLS 1.2 的:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SCHANNEL_CREDhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498356(v=winembedded.70)
grbitEnabledProtocols
(選擇性)此 DWORD 包含位元字串,表示有下列條件的通訊協定:
-
,透過,由使用這個結構所取得的認證來建立連入連線所支援
下表顯示其他可能的旗標,可包含的成員。
值 |
描述 |
SP_PROT_TLS1_2_CLIENT |
傳輸層安全性 1.2 的用戶端。 |
SP_PROT_TLS1_2_SERVER |
傳輸層安全性 1.2 伺服器端 |
SP_PROT_TLS1_1_CLIENT |
傳輸層安全性 1.1 的用戶端。 |
SP_PROT_TLS1_1_SERVER |
傳輸層安全性 1.1 伺服器端 |
BufferType
這組的位元旗標會指示緩衝區型別。下表顯示其他可用的旗標的 TLS 1.2。
旗標 |
描述 |
SECBUFFER_ALERT |
緩衝區中包含警示的訊息。 |
dwProtocol
這會指定可用來建立這個連線的通訊協定。下表會顯示其他有效的常數,請為此成員。
值 |
描述 |
SP_PROT_TLS1_2_CLIENT |
傳輸層安全性 1.2 的用戶端。 |
SP_PROT_TLS1_2_SERVER |
傳輸層安全性 1.2 伺服器端 |
SP_PROT_TLS1_1_CLIENT |
傳輸層安全性 1.1 的用戶端。 |
SP_PROT_TLS1_1_SERVER |
傳輸層安全性 1.1 伺服器端 |
這是這個連線由大量加密加密演算法識別項 (ALG_ID)。下表會顯示其他的有效常數,請為此成員。
值 |
描述 |
CALG_AES_256 |
AES 256 位元的加密演算法 |
CALG_AES_128 |
AES 128 位元的加密演算法 |
CALG_3DES |
3DES 區塊加密演算法 |
結構
這會指定 Schannel 連線所支援的簽章演算法.
語法 (c + +)
typedef struct _SecPkgContext_SupportedSignatures {
WORD cSignatureAndHashAlgorithms;
WORD *pSignatureAndHashAlgorithms;
} SecPkgContext_SupportedSignatures, *PSecPkgContext_SupportedSignatures;
成員
-
cSignatureAndHashAlgorithms
這是 pSignatureAndHashAlgorithms 陣列中的項目數。 -
pSignatureAndHashAlgorithms
這是一個陣列,這個值指定支援的演算法。
上層位元組可以是其中一個指定的簽章演算法的下列值。值
意義
0
匿名的簽章演算法
1
RSA 簽章演算法
2
DSA 簽章演算法
3
Ecdsa 來簽章演算法
255
保留
下層位元組可為下列的值,指定雜湊演算法。值
意義
0
無
1
MD5 雜湊演算法
2
SHA1 雜湊演算法
3
SHA 224 雜湊演算法
4
Sha-256 雜湊演算法
5
SHA 384 的雜湊演算法
6
Sha-512 的雜湊演算法
255
保留
Requirements
Header
Schannel.h
這個函式可讓傳輸應用程式查詢安全性封裝的安全性內容的某些屬性。
ulAttribute
這是內容的變數的指標,此緩衝區包含要擷取的屬性。下表顯示可能的值。
值 |
描述 |
SECPKG_ATTR_SUPPORTED_SIGNATURES |
這個值會傳回相關的簽章的型別所支援的連線資訊。PBuffer 參數包含變數的指標, SecPkgContext_SupportedSignatures 結構。 |
下表顯示註冊網際網路的設定及作業的設定,在下列登錄子機碼:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet 設定
名稱 |
型別 |
描述 |
預設值 |
SecureProtocols |
REG_BINARY |
00,02,00,00 (僅啟用 TLS 1.1) 00,08,00,00 (僅啟用 TLS 1.2) 您也可以設定這個機碼為 REG_DWORD"0AA8"若要啟用所有通訊協定。 |
A0,0a 的位元組,00,00 (能讓所有的通訊協定,除了 SSL2) |
軟體更新資訊
下載資訊
現在使用 microsoft Windows 內嵌壓縮 7 月更新 (年 3 月 2018)。如果要下載更新,請到 [裝置夥伴中心 (DPC)。
先決條件
此更新程式也已安裝此產品的所有先前發行的更新時,才支援。
重新啟動需求
套用此更新之後,您必須執行整個平台的清除組建。若要這樣做,請使用下列其中一種方法:
-
在 [建置] 功能表中,選取 [清除方案,,然後選取 [建置方案。
-
選取 [建置] 功能表上的 [重建方案]。
您不必套用此軟體更新之後,請重新啟動電腦。
更新取代資訊
此更新不會取代任何其他更新。
參考
深入了解 Microsoft 用來描述軟體更新的術語。