簡介

本文說明在 [更新] 以新增在 Windows 的內嵌壓縮 2013年的傳輸層安全性 (TLS) 1.1 和 TLS 1.2 的支援。

這個更新會新增所需的支援程式碼簽署密碼編譯的二進位碼檔案,使用 SHA256 雜湊值,並更新 Windows CE 密碼編譯服務提供者簽章憑證指紋。

摘要

啟用 TLS 1.1 和 1.2 TLS

根據預設,TLS 1.1 和 1.2 會啟用 Windows 的內嵌壓縮 2013年裝置設定為用戶端使用瀏覽器設定時。當 Windows 內嵌壓縮 2013年裝置設定為 web 伺服器時,會停用通訊協定。

在下列章節中,我們將討論可用來啟用或停用 TLS 1.1 和 TLS 1.2 的登錄機碼。

TLS 1.1

下列子機碼控制 TLS 1.1 的使用:

作用中計\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

要停用 TLS 1.1 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。

注意要啟用,並交涉 TLS 1.1,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0

TLS 1.2

下列子機碼控制 TLS 1.2 的使用:

作用中計\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

要停用 TLS 1.2 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。

注意要啟用,並交涉 TLS 1.2,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0

警告通訊協定機碼下的登錄機碼中的DisabledByDefault值不定義在 Schannel 包含的資料的 SCHANNEL_CRED 結構中的grbitEnabledProtocols值不會高於認證。

注意每個要求的註解(RFC),設計實作不允許 SSL2 和 TLS 1.2 同時啟用。

其他相關資訊

下列章節提供有關 TLS 1.1 和 1.2 其他詳細資料。

只支援 TLS 1.2 的加密套件

下列的新加入的加密套件只支援 TLS 1.2 的:

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_NULL_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

SCHANNEL_CRED

grbitEnabledProtocols

(選擇性)此 DWORD 包含位元字串,表示特定的通訊協定。使用認證時取得使用這個結構所做的連入連線所支援的通訊協定。

下表顯示這個成員可以包含其他可能旗標。

數值

描述

SP_PROT_TLS1_2_CLIENT

傳輸層安全性 1.2 的用戶端。

SP_PROT_TLS1_2_SERVER

傳輸層安全性 1.2 伺服器端

SP_PROT_TLS1_1_CLIENT

傳輸層安全性 1.1 的用戶端。

SP_PROT_TLS1_1_SERVER

傳輸層安全性 1.1 伺服器端

 

SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)

BufferType

這組的位元旗標會指示緩衝區的型別。下表顯示其他可用的旗標的 TLS 1.2:

旗標

描述

SECBUFFER_ALERT

緩衝區中包含警示的訊息。

 

SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)

dwProtocol

這會指定可用來建立這個連線的通訊協定。下表顯示這個成員的其他有效的常數:

數值

描述

SP_PROT_TLS1_2_CLIENT

傳輸層安全性 1.2 的用戶端。

SP_PROT_TLS1_2_SERVER

傳輸層安全性 1.2 伺服器端

SP_PROT_TLS1_1_CLIENT

傳輸層安全性 1.1 的用戶端。

SP_PROT_TLS1_1_SERVER

傳輸層安全性 1.1 伺服器端

 

Microsoft Windows CE 密碼編譯服務提供者簽章憑證指紋

內嵌壓縮 2013 時,Windows 會更新 Microsoft Windows CE 密碼編譯服務提供者簽章憑證指紋。程式碼簽署憑證有效期間會變更,如下所示。

舊有效期間

02/15/2017 - 05/09/2018

新有效期間

09/06/2018 - 09/06/2019

軟體更新資訊

下載資訊

現在使用 microsoft Windows 內嵌壓縮 2013年每月更新 (年 10 月 2018)。要下載此更新程式,請移至線上 Microsoft OEMMyOEM

先決條件

本產品必須已經安裝所有先前發行的更新,才能支援此更新。

重新啟動需求

套用此更新之後,您必須執行整個平台的乾淨組建。 若要解決此問題,請使用下列其中一種方法:

  • [建置] 功能表上,選取 [清除方案],然後選取 [建置方案]

  • [建置] 功能表上,選取 [重建方案]

您不必套用此軟體更新之後,請重新啟動電腦。

更新取代資訊

此更新不會取代任何其他更新。

參考

了解 Microsoft 用來說明軟體更新的術語

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對翻譯品質的滿意度為何?
以下何者是您會在意的事項?

感謝您的意見反應!

×