Jak wdrożyć niestandardowe porządkowanie szyfrowania w systemie Windows Server 2016

Ten artykuł zawiera informacje ułatwiające wdrażanie niestandardowego porządkowania zestawu szyfrowania dla kanału Schannel w systemie Windows Server 2016.

Dotyczy: Windows Server 2016
Oryginalny numer KB: 4032720

Podsumowanie

Aby wdrożyć własną kolejność zestawów szyfrowania dla kanału Schannel w systemie Windows, należy określić priorytety zestawów szyfrowania, które są zgodne z protokołem HTTP/2, wyświetlając je jako pierwsze. Zestawy szyfrowania znajdujące się na liście bloków HTTP/2 (RFC 7540) muszą znajdować się w dolnej części listy. Na przykład:

Zestawy szyfrowania w trybie łańcucha bloków (CBC):

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Zestawy szyfrów innych niż PFS (doskonała tajemnica przesyłania dalej):

• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256

Jeśli zestawy szyfrowania, które znajdują się na liście zablokowanych, znajdują się na początku listy, klienci HTTP/2 i przeglądarki mogą nie być w stanie wynegocjować dowolnego pakietu szyfrowania zgodnego z protokołem HTTP/2. Spowoduje to niepowodzenie korzystania z protokołu.

Na przykład w przypadku korzystania z przeglądarki Chrome może zostać wyświetlony błąd ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

Domyślna kolejność w systemie Windows Server 2016 jest zgodna z preferencjami pakietu szyfrowania HTTP/2. Ponadto kolejność ta jest dobra poza http/2, ponieważ preferuje zestawy szyfrowania, które mają najsilniejsze cechy zabezpieczeń. W związku z tym domyślne porządkowanie zapewnia, że protokół HTTP/2 w systemie Windows Server 2016 nie będzie miał żadnych problemów z negocjowaniem pakietu szyfrowania w przeglądarkach i klientach.

Rozwiązanie

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Jeśli wystąpi błąd użycia protokołu, należy tymczasowo wyłączyć protokół HTTP/2 podczas zmiany kolejności zestawów szyfrowania.

Aby włączyć i wyłączyć protokół HTTP/2, wykonaj następujące kroki:

1. Uruchom polecenie regedit (Edytor rejestru).
2. Przejdź do tego podklucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Ustaw wartość typu DWORD EnableHttp2Tls na jedną z następujących wartości:
   • Ustaw wartość 0, aby wyłączyć protokół HTTP/2.
   • Ustaw dla niej wartość 1, aby włączyć protokół HTTP/2.
4. Uruchom ponownie komputer.

Dokumentacja

• Zestawy szyfrowania w protokole TLS/SSL (SSP Schannel)

• Co to jest HTTP/2?