簡介
本文說明在 [更新] 以新增在 Windows 的內嵌壓縮 2013年的傳輸層安全性 (TLS) 1.1 和 TLS 1.2 的支援。
這個更新會新增所需的支援程式碼簽署密碼編譯的二進位碼檔案,使用 SHA256 雜湊值,並更新 Windows CE 密碼編譯服務提供者簽章憑證指紋。
摘要
啟用 TLS 1.1 和 1.2 TLS
根據預設,TLS 1.1 和 1.2 會啟用 Windows 的內嵌壓縮 2013年裝置設定為用戶端使用瀏覽器設定時。當 Windows 內嵌壓縮 2013年裝置設定為 web 伺服器時,會停用通訊協定。
在下列章節中,我們將討論可用來啟用或停用 TLS 1.1 和 TLS 1.2 的登錄機碼。
TLS 1.1
下列子機碼控制 TLS 1.1 的使用:
作用中計\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
要停用 TLS 1.1 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。
注意要啟用,並交涉 TLS 1.1,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0。
TLS 1.2
下列子機碼控制 TLS 1.2 的使用:
作用中計\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
要停用 TLS 1.2 通訊協定,必須在適當的子機碼,建立已啟用DWORD 項目,然後再將 DWORD 值變更為0。若要重新啟用通訊協定,請將 DWORD 值變更為1。根據預設,此項目不存在登錄中。
注意要啟用,並交涉 TLS 1.2,您必須建立DisabledByDefault DWORD 項目 (用戶端、 伺服器) 的適當子機碼中,然後再將 DWORD 值變更為0。
警告通訊協定機碼下的登錄機碼中的DisabledByDefault值不定義在 Schannel 包含的資料的 SCHANNEL_CRED 結構中的grbitEnabledProtocols值不會高於認證。
注意每個要求的註解(RFC),設計實作不允許 SSL2 和 TLS 1.2 同時啟用。
其他相關資訊
下列章節提供有關 TLS 1.1 和 1.2 其他詳細資料。
只支援 TLS 1.2 的加密套件
下列的新加入的加密套件只支援 TLS 1.2 的:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(選擇性)此 DWORD 包含位元字串,表示特定的通訊協定。使用認證時取得使用這個結構所做的連入連線所支援的通訊協定。
下表顯示這個成員可以包含其他可能旗標。
數值 |
描述 |
SP_PROT_TLS1_2_CLIENT |
傳輸層安全性 1.2 的用戶端。 |
SP_PROT_TLS1_2_SERVER |
傳輸層安全性 1.2 伺服器端 |
SP_PROT_TLS1_1_CLIENT |
傳輸層安全性 1.1 的用戶端。 |
SP_PROT_TLS1_1_SERVER |
傳輸層安全性 1.1 伺服器端 |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
這組的位元旗標會指示緩衝區的型別。下表顯示其他可用的旗標的 TLS 1.2:
旗標 |
描述 |
SECBUFFER_ALERT |
緩衝區中包含警示的訊息。 |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
這會指定可用來建立這個連線的通訊協定。下表顯示這個成員的其他有效的常數:
數值 |
描述 |
SP_PROT_TLS1_2_CLIENT |
傳輸層安全性 1.2 的用戶端。 |
SP_PROT_TLS1_2_SERVER |
傳輸層安全性 1.2 伺服器端 |
SP_PROT_TLS1_1_CLIENT |
傳輸層安全性 1.1 的用戶端。 |
SP_PROT_TLS1_1_SERVER |
傳輸層安全性 1.1 伺服器端 |
Microsoft Windows CE 密碼編譯服務提供者簽章憑證指紋
內嵌壓縮 2013 時,Windows 會更新 Microsoft Windows CE 密碼編譯服務提供者簽章憑證指紋。程式碼簽署憑證有效期間會變更,如下所示。
舊有效期間
02/15/2017 - 05/09/2018
新有效期間
09/06/2018 - 09/06/2019
軟體更新資訊
下載資訊
現在使用 microsoft Windows 內嵌壓縮 2013年每月更新 (年 10 月 2018)。要下載此更新程式,請移至線上 Microsoft OEM或MyOEM。
先決條件
本產品必須已經安裝所有先前發行的更新,才能支援此更新。
重新啟動需求
套用此更新之後,您必須執行整個平台的乾淨組建。 若要解決此問題,請使用下列其中一種方法:
-
在 [建置] 功能表上,選取 [清除方案],然後選取 [建置方案]。
-
在 [建置] 功能表上,選取 [重建方案]。
您不必套用此軟體更新之後,請重新啟動電腦。
更新取代資訊
此更新不會取代任何其他更新。
參考
了解 Microsoft 用來說明軟體更新的術語。