Bearbeiten

Freigeben über


Konfigurieren von TLS 1.2 auf Windows-Clients mit Zugriff auf ein Azure Stack Edge Pro-Gerät

GILT FÜR: Yes for Pro GPU SKUAzure Stack Edge Pro – GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Wenn Sie über einen Windows-Client auf Ihr Azure Stack Edge Pro-Gerät zugreifen, muss auf dem Client TLS 1.2 konfiguriert werden. In diesem Artikel finden Sie Ressourcen und Richtlinien für die Konfiguration von TLS 1.2 auf Ihrem Windows-Client.

Die hier aufgeführten Richtlinien basieren auf Tests, die auf einem Client mit Windows Server 2016 durchgeführt wurden.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf einen Windows Server-Client haben, der eine Verbindung mit Ihrem Azure Stack Edge-Gerät herstellen kann. Der Client sollte Windows Server 2016 R2 oder höher ausführen.

Konfigurieren von TLS 1.2 für die aktuelle PowerShell-Sitzung

Führen Sie die folgenden Schritte aus, um TLS 1.2 auf Ihrem Client zu konfigurieren.

  1. Führen Sie PowerShell als Administrator aus.

  2. Geben Sie Folgendes ein, um TLS 1.2 für die aktuelle PowerShell-Sitzung festzulegen:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    

Konfigurieren von TLS 1.2 auf einem Client

Führen Sie die folgenden Schritte aus, um TLS 1.2 für Ihre Umgebung systemweit festzulegen:

  1. Um TLS 1.2 auf den Clients zu aktivieren, verwenden Sie die Richtlinien in den folgenden Dokumenten:

  2. Konfigurieren Sie Cipher-Sammlungen.

    • Insbesondere Konfigurieren der Reihenfolge der TLS-Verschlüsselungssammlungen

    • Stellen Sie sicher, dass Sie Ihre aktuellen Cipher-Sammlungen aufführen und fehlende Kurven in der folgenden Liste voranstellen:

      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Sie können diese Verschlüsselungssammlungen auch hinzufügen, indem Sie die Registrierungseinstellungen bearbeiten. Die Variable $HklmSoftwarePath sollte auf $HklmSoftwarePath = „HKLM:\SOFTWARE“ festgelegt werden

    New-ItemProperty -Path "$HklmSoftwarePath\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -Name "Functions"  -PropertyType String -Value ("TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384")
    
  3. Legen Sie elliptische Kurven fest. Stellen Sie sicher, dass Sie Ihre aktuellen elliptischen Kurven aufführen und fehlende Kurven in der folgenden Liste voranstellen:

    • P-256
    • P-384

    Sie können diese elliptischen Kurven auch hinzufügen, indem Sie die Registrierungseinstellungen bearbeiten.

    New-ItemProperty -Path "$HklmSoftwarePath\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" -Name "EccCurves" -PropertyType MultiString -Value @("NistP256", "NistP384")
    
  4. Legen Sie die Mindestgröße für den RSA-Schlüsselaustausch auf 2048 fest.

Nächster Schritt