Как развернуть заказ пользовательского набора шифров в Windows Server 2016
В этой статье содержатся сведения о развертывании пользовательского набора шифров для Schannel в Windows Server 2016.
Область применения: Windows Server 2016
Исходный номер базы знаний: 4032720
Итоги
Чтобы развернуть собственный набор шифров для Schannel в Windows, необходимо определить приоритеты наборов шифров, совместимых с HTTP/2, перечислив их в первую очередь. Наборы шифров, которые находятся в списке блокировок HTTP/2 (RFC 7540), должны отображаться в нижней части списка. Например:
Наборы шифров в режиме шифрования блокировок шифров (CBC):
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Наборы шифров, отличные от PFS (идеальная секретность пересылки):
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
Если наборы шифров, которые находятся в списке блокировок, перечислены в верхней части списка, клиенты и браузеры HTTP/2 могут быть не в состоянии согласовать набор шифров, совместимый с HTTP/2. Это приводит к сбою использования протокола.
Например, при использовании Chrome может появиться сообщение об ошибке ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.
Порядок по умолчанию в Windows Server 2016 совместим с предпочтениями набора шифров HTTP/2. Кроме того, этот порядок хорошо подходит за пределами HTTP/2, так как он предпочитает наборы шифров, которые имеют самые сильные характеристики безопасности. Поэтому порядок по умолчанию гарантирует, что http/2 в Windows Server 2016 не будет иметь проблем с согласованием набора шифров с браузерами и клиентами.
Обходное решение
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Если не указать протокол, необходимо временно отключить HTTP/2 при переупорядочении наборов шифров.
Чтобы включить и отключить HTTP/2, выполните следующие действия.
- Запустите regedit (редактор реестра).
- Перейдите к этому подразделу:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
- Задайте значение типа DWORD EnableHttp2Tls следующим образом:
- Установите для него значение 0, чтобы отключить HTTP/2.
- Задайте для него значение 1, чтобы включить HTTP/2.
- Перезагрузите компьютер.