次の方法で共有


トランスポート層セキュリティ (TLS) を管理する

TLS 暗号スイートの順序を構成する

Windows バージョンごとに、異なる TLS 暗号スイートと優先順位がサポートされます。 異なるバージョンの Microsoft Schannel プロバイダーでサポートされている既定の順序については。「TLS/SSL (Schannel SSP) の暗号スイート」を参照してください。

Note

CNG 関数を使用して暗号スイートの一覧を変更することもできます。詳細については、「Schannel 暗号スイートの優先順位付け」を参照してください。

TLS 暗号スイートの順序の変更は、次回の起動時に有効になります。 再起動またはシャットダウンするまで、既存の順序が有効になります。

警告

既定の優先度順序のレジストリ設定の更新はサポートされていません。サービス更新プログラムでリセットされる可能性があります。

グループ ポリシーを使用して TLS 暗号スイートの順序を構成する

[SSL 暗号スイートの順序のグループ ポリシー] の設定を使用して、既定の TLS 暗号スイートの順序を構成できます。

  1. グループ ポリシー管理コンソールから、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL 構成設定] の順に移動します。

  2. [SSL 暗号スイートの順位] をダブルクリックし、[有効] をクリックします。

  3. [SSL 暗号スイート] ボックスを右クリックし、ポップアップ メニューから [すべて選択] を選択します。

    グループ ポリシー設定

  4. 選択したテキストを右クリックし、ポップアップ メニューから [コピー] を選択します。

  5. テキストをテキスト エディター (notepad.exe など) に貼り付け、新しい暗号の順序の一覧で更新します。

    Note

    TLS 暗号スイートの順序の一覧は、厳密なコンマ区切り形式である必要があります。 各暗号スイート文字列は、その右側にコンマ (,) を付けて終わります。

    さらに、暗号スイートの一覧は 1,023 文字に制限されています。

  6. SSL 暗号スイートの一覧を、更新された順序付きリストに置き換えます。

  7. [OK] または [適用] をクリックします。

MDM を使用して TLS 暗号スイートの順序を構成する

Windows 10 ポリシー CSP では、TLS 暗号スイートの構成がサポートされています。 詳細については、暗号/TLS 暗号スイートに関するページを参照してください。

TLS PowerShell コマンドレットを使用して TLS 暗号スイートの順序を構成する

TLS PowerShell モジュールでは、TLS 暗号スイートの順序指定済みリストの取得、暗号スイートの無効化、暗号スイートの有効化がサポートされています。 詳細については、TLS モジュールに関するページを参照してください。

TLS ECC 曲線の順位を構成する

Windows 10 と Windows Server 2016 以降、ECC 曲線の順位は暗号スイートの順序とは別に構成できます。 TLS 暗号スイートの順序の一覧に楕円曲線サフィックスがある場合、有効にすると、新しい楕円曲線の優先順位によってオーバーライドされます。 これにより、組織は グループ ポリシー オブジェクトを使用して、同じ暗号スイートの順序でさまざまなバージョンの Windows を構成できます。

Note

Windows 10 より前は、曲線の優先順位を決定するために、暗号スイートの文字列に楕円曲線が追加されていました。

CertUtil を使用して Windows ECC 曲線を管理する

Windows 10 と Windows Server 2016 以降の Windows では、コマンド ライン ユーティリティの certutil.exe で楕円曲線パラメーターが提供されます。 楕円曲線パラメーターは、bcryptprimitives.dll に格納されています。 管理者は、certutil.exe を使用して、Windows との間で曲線パラメーターの追加と削除を行うことができます。 certutil.exe では、曲線パラメーターをレジストリに安全に格納します。 Windows では、曲線に関連付けられた名前で曲線パラメーターの使用を開始できます。

登録済みの曲線を表示する

次の certutil.exe コマンドを使用して、現在のコンピューターに登録されている曲線の一覧を表示します。

certutil.exe –displayEccCurve

Certutil 曲線の表示

図 1. 登録済みの曲線の一覧を表示するための certutil.exe の出力。

新しい曲線を追加する

組織では、信頼された他のエンティティによって調査された曲線パラメーターを作成して使用できます。 管理者がこれらの新しい曲線を Windows で使用したい場合は、曲線を追加する必要があります。 次の certutil.exe コマンドを使用して、現在のコンピューターに曲線を追加します。

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • curveName 引数は、曲線パラメーターが追加された曲線の名前を表します。
  • curveParameters 引数は、追加する曲線パラメーターを含む証明書のファイル名を表します。
  • curveOid 引数は、追加する曲線パラメーターの OID を含む証明書のファイル名を表します (省略可能)。
  • curveType 引数は、EC 名前付き曲線レジストリの名前付き曲線の 10 進値を表します (省略可能)。

Certutil 曲線の追加

図 2. certutil.exe を使用して曲線を追加する。

以前に追加された曲線を削除する

管理者は、次の certutil.exe コマンドを使用して、以前に追加した曲線を削除できます。

certutil.exe –deleteEccCurve curveName

Windows では、管理者がコンピューターから曲線を削除した後に、名前付き曲線を使用することはできません。

グループ ポリシーを使用して Windows ECC 曲線を管理する

組織は、グループ ポリシーとグループ ポリシーの基本設定のレジストリ拡張を使用して、ドメインに参加しているエンタープライズ コンピューターに曲線パラメーターを配布できます。 曲線を配布するプロセスは次のとおりです。

  1. Windows 10 と Windows Server 2016 では、certutil.exe を使用して、登録済みの新しい名前付き曲線を追加します。

  2. その同じコンピューターから、グループ ポリシー管理コンソール (GPMC) を開き、新しいグループ ポリシー オブジェクトを作成して編集します。

  3. [コンピューターの構成]、[基本設定]、[Windows 設定]、[レジストリ] の順に移動します。 [レジストリ] を右クリックします。 [新規作成] をポイントし、[コレクション項目] を選択します。 曲線の名前と一致するコレクション項目の名前を変更します。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters の下のレジストリ キーごとに、レジストリ コレクション項目を 1 つ作成します。

  4. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] の下にリストされているレジストリ値ごとに、新しいレジストリ項目を追加して、新しく作成されたグループ ポリシー基本設定のレジストリ コレクションを構成します。

  5. 新しい名前付き曲線を受け取るグループ ポリシー レジストリ コレクション項目を含むグループ ポリシー オブジェクトを Windows 10 および Windows Server 2016 コンピューターに展開します。

    グループ ポリシー管理エディターの [基本設定] タブのスクリーンショット。

    図 3. グループ ポリシーの基本設定を使用して曲線を配布する

TLS ECC の順位を管理する

Windows 10 と Windows Server 2016 以降、ECC 曲線の順位グループ ポリシーの設定を使用して、既定の TLS ECC 曲線の順位を構成できます。 組織は、汎用 ECC とこの設定を使用して、信頼された独自の名前付き曲線 (TLS での使用が承認されている) を今後 TLS ハンドシェイクで使用できるように、それらの名前付き曲線をオペレーティング システムに追加して、曲線の優先順位グループ ポリシー設定に追加できます。 新しい曲線の優先順位の一覧は、ポリシー設定の受け取り後、次回の再起動時にアクティブになります。

[EEC Curve Order] (EEC 曲線順序) ダイアログ ボックスのスクリーンショット。

図 4. グループ ポリシーを使用して TLS 曲線の優先順位を管理する