次の方法で共有


SharePoint Server 2016 での TLS 1.1 および TLS 1.2 のサポートの有効化

適用対象:no-img-13 2013yes-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

SharePoint Server 2016 環境で TLS プロトコル バージョン 1.1 および 1.2 を有効にするには、次のそれぞれの場所で更新プログラムをインストールし、構成設定を変更する必要があります。

  1. SharePoint ファーム内の SharePoint サーバー

  2. SharePoint ファーム内の Microsoft SQL Server

  3. SharePoint サイトへのアクセスに使用するクライアント コンピューター

重要

これらの場所でそれぞれ更新しない場合、TLS 1.1 または TLS 1.2 を使用してシステムどうしが接続できないリスクがあります。 その場合、システムは前のセキュリティ プロトコルにフォールバックしますが、前のセキュリティ プロトコルが無効な場合は、システムがまったく接続できなくなる可能性があります。 > 例: SharePoint サーバーが SQL Server データベースへの接続に失敗するか、クライアント コンピューターが SharePoint サイトへの接続に失敗することがあります。

更新処理の概要

次の図は、SharePoint サーバー、SQL Servers、クライアント コンピューター上で TLS 1.1 および TLS 1.2 のサポートを有効にするために必要な 3 つの手順から成る処理を示しています。

SharePoint ファーム内のサーバー、Microsoft SQL Server、およびクライアント コンピューターを更新する 3 つの手順。

手順 1:SharePoint ファーム内の SharePoint サーバーを更新する

この手順に従って SharePoint サーバーを更新します。

SharePoint Server の手順 Windows Server 2012 R2 Windows Server 2016
1.1 - TLS 1.2 のサポートのための ODBC Driver 11 for SQL Server 更新プログラムのインストール
必須
必須
1.2 - TLS 1.2 サポートのための SQL Server 2012 Native Client 更新プログラムのインストール
必須
必須
以下の手順を お勧めします 。 SharePoint Server 2016 にとって直接的に必要ではないものの、SharePoint Server 2016 と統合されるその他のソフトウェアで必要になる場合があります。
1.3 - TLS 1.1 および TLS 1.2 のサポートのための .NET Framework 3.5 更新プログラムのインストール
推奨
推奨
1.4 - .NET Framework 3.5 での強力な暗号化の有効化
推奨
推奨
次の手順は 省略可能です。 組織のセキュリティとコンプライアンス要件に基づき、この手順を実行することもできます。
1.5 - Windows Schannel での以前のバージョンの SSL および TLS の無効化
省略可能
省略可能

1.1 - TLS 1.2 のサポートのための ODBC Driver 11 for SQL Server 更新プログラムのインストール

ODBC Driver 11 for SQL Server は既定で TLS 1.1 も TLS 1.2 もサポートしていません。 TLS 1.2 のサポートのために ODBC Driver 11 for SQL Server 更新プログラムをインストールする必要があります。

1.2 - TLS 1.2 サポートのための SQL Server 2012 Native Client 更新プログラムのインストール

SQL Server 2012 Native Client は既定で TLS 1.1 も TLS 1.2 もサポートしていません。 TLS 1.2 のサポートのために SQL Server 2012 Native Client 更新プログラムをインストールする必要があります。

1.3 - TLS 1.1 および TLS 1.2 のサポートのための .NET Framework 3.5 更新プログラムのインストール

.NET Framework 3.5 では、既定で TLS 1.1 または TLS 1.2 をサポートしていません。

重要

Windows Server 2012 R2 で TLS 1.1 および TLS 1.2 のサポートを追加するには、KB の更新プログラムをインストールし、Windows レジストリ キーを手動で構成する必要があります。

SharePoint Server 2016 は .NET Framework 4.x 上に構築されており, .NET Framework 3.5 は使用しません。 ただし、前提条件コンポーネントや、SharePoint Server 2016 と統合されるサード パーティ製ソフトウェアが .NET Framework 3.5 を使用する場合があります。 TLS 1.2 との互換性向上のため、この更新プログラムをインストールし、構成することをお勧めします。

SystemDefaultTlsVersions レジストリ値は, .NET Framework 3.5 で使用されるセキュリティ プロトコル バージョンの既定値を定義します。 値が 0 に設定されている場合, .NET Framework 3.5 の既定値は SSL 3.0 or TLS 1.0 に設定されます。 値が 1 に設定されている場合, .NET Framework 3.5 はその既定値を Windows Schannel DisabledByDefault レジストリ値から継承します。 値が定義されていない場合は、値が 0 に設定されているものとして動作します。

To enable .NET Framework 3.5 to inherit its security protocol defaults from Windows Schannel

For Windows Server 2012 R2

  1. Windows Server 2012 R2 の .NET Framework 3.5 SP1 更新プログラムをインストールするには、KB 記事「Windows 8.1 および Windows Server 2012 R2 の .NET Framework 3.5 に含まれる TLS システム既定バージョンのサポート」をご覧ください。

  2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows Server 2016

Windows Server 2016 では、レジストリ キーを手動で構成します。

To manually configure the registry keys, do the following:

  1. Notepad.exe から、 net35-tls12-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
  1. net35-tls12-enable.reg ファイルを保存します。

  2. net35-tls12-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

1.4 - .NET Framework 3.5 での強力な暗号化の有効化

SchUseStrongCrypto レジストリ値は、RC4 など、強固でないと見なされる暗号化アルゴリズムを TLS と併用することを制限します。

Microsoft は、Windows レジストリ キーを自動的に構成できる、Windows Server 2012 R2 上の .NET Framework 3.5 用のオプションのセキュリティ更新プログラムをリリースしました。 Windows Server 2016 用の更新プログラムは入手できません。 Windows Server 2016 では Windows レジストリ キーを手動で構成する必要があります。

Windows Server 2012 R2

Windows Server 2016

Windows Server 2016 の .NET Framework 3.5 で強力な暗号化を有効にするには、次の Windows レジストリ キーを構成します。

  1. Notepad.exe から、 net35-strong-crypto-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
  1. net35-strong-crypto-enable.reg ファイルを保存します。

  2. net35-strong-crypto-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

1.5 - Windows Schannel での以前のバージョンの SSL および TLS の無効化

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

重要

SSL 2.0 および SSL 3.0 のプロトコル バージョンはセキュリティ上の重大な脆弱性があるため、無効にすることをお勧めします。 > また、TLS 1.0 と TLS 1.1 を無効にして、最新のプロトコル バージョンのみが使用されるようにすることもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で SSL 2.0 のサポートを無効にするには

  1. Notepad.exe から、 ssl20-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. ssl20-disable.reg ファイルを保存します。

  2. ssl20-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で SSL 3.0 のサポートを無効にするには

  1. Notepad.exe から、 ssl30-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. ssl30-disable.reg ファイルを保存します。

  2. ssl30-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.0 のサポートを無効にするには

  1. Notepad.exe から、 tls10-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. tls10-disable.reg ファイルを保存します。

  2. tls10-disable.reg をダブルクリックします。

  3. Yes をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.1 のサポートを無効にするには

  1. Notepad.exe から、 tls11-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. tls11-disable.reg ファイルを保存します。

  2. tls11-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

手順 2: SharePoint ファーム内の Microsoft SQL Server を更新する

この手順では、SharePoint ファーム内の SQL Server を更新します。

SQL Server の手順を実行します。 Windows Server 2012 R2 Windows Server 2016
2.1 - Microsoft SQL Server での TLS 1.1 および TLS 1.2 のサポートの有効化
必須
必須
以下の手順は 省略可能 です。 組織のセキュリティとコンプライアンス要件に基づき、この手順を実行することもできます。
2.2 - Windows Schannel での以前のバージョンの SSL および TLS の無効化
省略可能
省略可能

2.1 - Microsoft SQL Server での TLS 1.1 および TLS 1.2 のサポートの有効化

SQL Server 2016 より前の SQL Server バージョンでは、既定で TLS 1.1 または TLS 1.2 をサポートしていません。 TLS 1.1 および TLS 1.2 のサポートを追加するには、SQL Server の更新プログラムをインストールする必要があります。

2.2 - Windows Schannel での以前のバージョンの SSL および TLS の無効化

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

重要

SSL 2.0 および SSL 3.0 のプロトコル バージョンはセキュリティ上の重大な脆弱性があるため、無効にすることをお勧めします。 > また、TLS 1.0 と 1.1 を無効にして、最新のプロトコル バージョンのみが使用されるようにすることもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で SSL 2.0 のサポートを無効にするには

  1. Notepad.exe から、 ssl20-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. ssl20-disable.reg ファイルを保存します。

  2. ssl20-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で SSL 3.0 のサポートを無効にするには

  1. Notepad.exe から、 ssl30-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. ssl30-disable.reg ファイルを保存します。

  2. ssl30-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.0 のサポートを無効にするには

  1. Notepad.exe から、 tls10-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. tls10-disable.reg ファイルを保存します。

  2. tls10-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.1 のサポートを無効にするには

  1. Notepad.exe から、 tls11-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. tls11-disable.reg ファイルを保存します。

  2. tls11-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

手順 3:SharePoint サイトへのアクセスに使用するクライアント コンピューターを更新する

この手順に従って、SharePoint サイトにアクセスするクライアント コンピューターを更新します。

クライアント コンピューターの手順 Windows 7 Windows 8.1 Windows 10
3.1 - Windows Schannel での TLS 1.1 および TLS 1.2 の有効化
必須
N/A
該当なし
3.2 - WinHTTP での TLS 1.1 および TLS 1.2 のサポートの有効化
必須
N/A
N/A
3.3 - Internet Explorer での TLS 1.1 および TLS 1.2 のサポートの有効化
必須
N/A
N/A
3.4 - .NET Framework 4.5 以降での強力な暗号化の有効化
必須
必須
必須
3.5 - TLS 1.1 および TLS 1.2 のサポートのための .NET Framework 3.5 更新プログラムのインストール
必須
必須
必須
以下の手順を お勧めします 。 これは SharePoint Server 2016 にとって直接的に必要ではないものの、脆弱な暗号化アルゴリズムの使用を制限して、セキュリティを改善できます。
3.6 - .NET Framework 3.5 での強力な暗号化の有効化
推奨
推奨
推奨
次の手順は 省略可能です。 組織のセキュリティとコンプライアンス要件に基づき、この手順を実行することもできます。
3.7 - Windows Schannel での以前のバージョンの SSL および TLS の無効化
省略可能
省略可能
省略可能

3.1 - Windows Schannel での TLS 1.1 および TLS 1.2 の有効化

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で TLS 1.1 のサポートを有効にするには

  1. Notepad.exe から、 tls11-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
  1. tls11-enable.reg ファイルを保存します。

  2. tls11-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.2 のサポートを有効にするには

  1. Notepad.exe から、 tls12-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
  1. tls12-enable.reg ファイルを保存します。

  2. tls12-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

3.2 - WinHTTP での TLS 1.1 および TLS 1.2 のサポートの有効化

WinHTTP は、その SSL および TLS 暗号化プロトコル バージョンの既定値を Windows Schannel DisabledByDefault レジストリ値から継承しません。 WinHTTP では独自の SSL および TLS 暗号化プロトコル バージョンの既定値を使用しますが、これはオペレーティング システムごとに異なります。 既定値をオーバーライドするには、KB 更新プログラムをインストールし、Windows レジストリ キーを構成する必要があります。

WinHTTP DefaultSecureProtocols レジストリ値は複数値を受け入れるビット フィールドであり、複数の値を合計して単一の値にします。 Windows 電卓プログラム (Calc.exe) をプログラマ モードで使用して、必要に応じて次の 16 進数の値を加算します。

DefaultSecureProtocols 値 説明
0x00000008
既定で SSL 2.0 を有効にします
0x00000020
既定で SSL 3.0 を有効にします
0x00000080
既定で TLS 1.0 を有効にします
0x00000200
既定で TLS 1.1 を有効にします
0x00000800
既定で TLS 1.2 を有効にします

たとえば、既定で TLS 1.0、TLS 1.1、TLS 1.2 を有効にできます。その場合、値 0x00000080、0x00000200、0x00000800 を合計して値 0x00000A80 にします。

WinHTTP KB 更新プログラムをインストールするには、KB の記事「WinHTTP が Windows での既定のセキュリティで保護されたプロトコルとして TLS 1.1 および TLS 1.2 を有効にする更新プログラム」の手順に従います。

WinHTTP で TLS 1.0、TLS 1.1、TLS 1.2 を既定で有効にするには

  1. Notepad.exe から、 winhttp-tls10-tls12-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A80
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A80

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A80
  1. winhttp-tls10-tls12-enable.reg ファイルを保存します。

  2. winhttp-tls10-tls12-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

3.3 - Internet Explorer での TLS 1.1 および TLS 1.2 のサポートの有効化

Internet Explorer 11 より前の Internet Explorer バージョンでは、TLS 1.1 または TLS 1.2 のサポートは既定で有効になっていません。 Internet Explorer 11 以降では、TLS 1.1 および TLS 1.2 のサポートが既定で有効です。

Internet Explorer での TLS 1.1 および TLS 1.2 のサポートを有効にするには

  1. Internet Explorer で、[ツール] > [インターネット オプション]> [Advanced] をクリックするか、Internet Explorer で [設定] メニュー> [Internet Options>Advanced] をクリックします。

  2. [ Security ] セクションで、次のチェック ボックスがオンになっていることを確認します。 オンになっていない場合、次のチェック ボックスをクリックします。

  • TLS 1.1 を使用する

  • TLS 1.2 を使用する

  1. オプションで、前のセキュリティ プロトコル バージョンのサポートを無効にする場合は、次のチェック ボックスをオフにします。
  • SSL 2.0 を使用する

  • SSL 3.0 を使用する

  • TLS 1.0 を使用する

    注:

    TLS 1.0 を無効にすると、新しいセキュリティ プロトコル バージョンをサポートしていないサイトとの互換性の問題が発生する場合があります。 お客様は、実稼働で実施する前にこの変更内容をテストする必要があります。

  1. [OK] をクリックします。

3.4 - .NET Framework 4.5 以降での強力な暗号化の有効化

.NET Framework 4.5 以降は、その SSL および TLS セキュリティ プロトコル バージョンの既定値を Windows Schannel DisabledByDefault レジストリ値から継承しません。 代わりに、独自の SSL および TLS セキュリティ プロトコル バージョンの既定値を使用します。 既定値をオーバーライドするには、Windows レジストリ キーを構成する必要があります。

SchUseStrongCrypto レジストリ値により, .NET Framework 4.5 以降のセキュリティ プロトコル バージョンの既定値が SSL 3.0 または TLS 1.0 から TLS 1.0、TLS 1.1、または TLS 1.2 に変わります。 さらに、RC4 など、強固でないと見なされる暗号化アルゴリズムを TLS と併用することが制限されます。

.NET Framework 4.6 以降のためにコンパイルされているアプリケーションは、実際にはそうでなくても、 SchUseStrongCrypto レジストリ値が 1 に設定されているものとして動作します。 すべての .NET Framework アプリケーションで強力な暗号化を間違いなく使用するには、この Windows レジストリ値を構成する必要があります。

Microsoft は、Windows レジストリ キーを自動的に構成できる .NET Framework 4.5、4.5.1、4.5.2 のオプションのセキュリティ更新プログラムをリリースしました。 .NET Framework 4.6 以降の更新プログラムはありません。 .NET Framework 4.6 以降では、Windows レジストリ キーを手動で構成する必要があります。

For Windows 7 and Windows Server 2008 R2

For Windows Server 2012

For Windows 8.1 and Windows Server 2012 R2

.NET Framework 4.6 以降で強力な暗号化を有効にするには

  1. Notepad.exe から、 net46-strong-crypto-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
  1. net46-strong-crypto-enable.reg ファイルを保存します。

  2. net46-strong-crypto-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

3.5 - TLS 1.1 および TLS 1.2 のサポートのための .NET Framework 3.5 更新プログラムのインストール

.NET Framework 3.5 では、既定で TLS 1.1 または TLS 1.2 をサポートしていません。 TLS 1.1 および TLS 1.2 のサポートを追加するには、このセクションに示すそれぞれのオペレーティング システムに対して KB の更新プログラムをインストールし、Windows レジストリ キーを構成する必要があります。

SystemDefaultTlsVersions レジストリ値は, .NET Framework 3.5 で使用されるセキュリティ プロトコル バージョンの既定値を定義します。 値が 0 に設定されている場合, .NET Framework 3.5 の既定値は SSL 3.0 or TLS 1.0 に設定されます。 値が 1 に設定されている場合, .NET Framework 3.5 はその既定値を Windows Schannel DisabledByDefault レジストリ値から継承します。 値が定義されていない場合は、値が 0 に設定されているものとして動作します。

.NET Framework 3.5 が Windows Schannel から暗号化プロトコルの既定値を継承できるようにするには

For Windows 7 and Windows Server 2008 R2

  1. Windows 7 および Windows Server 2008 R2 の .NET Framework 3.5.1 更新プログラムをインストールするには、KB 記事「Windows 7 SP1 および Server 2008 R2 SP1 の .NET Framework 3.5.1 に含まれる TLS システム既定バージョンのサポート」をご覧ください

  2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows Server 2012

  1. Windows Server 2012 の .NET Framework 3.5 更新プログラムをインストールするには、KB の記事「Windows Server 2012 の .NET Framework 3.5 に含まれる TLS システム既定バージョンのサポート」をご覧ください。

  2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows 8.1 and Windows Server 2012 R2

  1. Windows 8.1 および Windows Server 2012 R2 の .NET Framework 3.5 SP1 更新プログラムをインストールするには、KB 記事「Windows 8.1 および Windows Server 2012 R2 の .NET Framework 3.5 に含まれる TLS システム既定バージョンのサポート」をご覧ください

  2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows 10 (Version 1507)

For Windows 10 (Version 1511)

  1. Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム (2016 年 5 月 10 日) をインストールするには、「Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム (2016 年 5 月 10 日)」をご覧ください。

  2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

Windows 10 (Version 1607) and Windows Server 2016

更新プログラムをインストールする必要はありません。 以下に示すように、Windows レジストリ キーを構成します。

To manually configure the registry keys, do these steps.

  1. Notepad.exe から、 net35-tls12-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
  1. net35-tls12-enable.reg ファイルを保存します。

  2. net35-tls12-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

3.6 - .NET Framework 3.5 での強力な暗号化の有効化

SchUseStrongCrypto レジストリ値は、RC4 など、強固でないと見なされる暗号化アルゴリズムを TLS と併用することを制限します。

Microsoft は、Windows レジストリ キーを自動的に構成できる、Windows 10 より前のオペレーティング システム上の .NET Framework 3.5 用のオプションのセキュリティ更新プログラムをリリースしました。 Windows 10 用の更新プログラムは入手できません。 Windows 10 では Windows レジストリ キーを手動で構成する必要があります。

For Windows 7 and Windows Server 2008 R2

Windows 7 および Windows Server 2008 R2 上の .NET Framework 3.5.1 で強力な暗号化を有効にするには、KB 記事「Windows 7 Service Pack 1 および Windows Server 2008 R2 Service Pack 1 用の .NET Framework 3.5.1 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

For Windows Server 2012

Windows Server 2012 上の .NET Framework 3.5 で強力な暗号化を有効にするには、KB 記事「Windows 8 および Windows Server 2012 用の .NET Framework 3.5 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

For Windows 8.1 and Windows Server 2012 R2

Windows 8.1 および Windows Server 2012 R2 上の .NET Framework 3.5 で強力な暗号化を有効にするには、KB 記事「Windows 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

To enable strong cryptography in .NET Framework 3.5 on Windows 10

  1. Notepad.exe から、 net35-strong-crypto-enable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
  1. net35-strong-crypto-enable.reg ファイルを保存します。

  2. net35-strong-crypto-enable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

3.7 - Windows Schannel での以前のバージョンの SSL および TLS の無効化

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

重要

SSL 2.0 および SSL 3.0 のプロトコル バージョンはセキュリティ上の重大な脆弱性があるため、無効にすることをお勧めします。 > また、TLS 1.0 と TLS 1.1 を無効にして、最新のプロトコル バージョンのみが使用されるようにすることもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で SSL 2.0 のサポートを無効にするには

  1. Notepad.exe から、 ssl20-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. ssl20-disable.reg ファイルを保存します。

  2. ssl20-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で SSL 3.0 のサポートを無効にするには

  1. Notepad.exe から、 ssl30-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. ssl30-disable.reg ファイルを保存します。

  2. ssl30-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.0 のサポートを無効にするには

  1. Notepad.exe から、 tls10-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. tls10-disable.reg ファイルを保存します。

  2. tls10-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.1 のサポートを無効にするには

  1. Notepad.exe から、 tls11-disable.reg という名前のテキスト ファイルを作成します。

  2. 次のテキストをコピーして貼り付けます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. tls11-disable.reg ファイルを保存します。

  2. tls11-disable.reg ファイルをダブルクリックします。

  3. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

  4. コンピューターを再起動して、変更内容を有効にします。