Så här distribuerar du anpassad chiffersvitordning i Windows Server 2016

Den här artikeln innehåller information som hjälper dig att distribuera anpassad chiffersvitordning för Schannel i Windows Server 2016.

Gäller för: Windows Server 2016
Ursprungligt KB-nummer: 4032720

Sammanfattning

Om du vill distribuera din egen chiffersvitordning för Schannel i Windows måste du prioritera chiffersviter som är kompatibla med HTTP/2 genom att ange dessa först. Chiffersviter som finns i http/2-blocklistan (RFC 7540) måste visas längst ned i listan. Till exempel:

Chifferblocklänkning (CBC) läge chiffersviter:

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Chiffersviter som inte är PFS (perfekt framåtsekretess):

• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256

Om chiffersviterna som finns i blocklistan visas överst i listan kanske HTTP/2-klienter och webbläsare inte kan förhandla om någon HTTP/2-kompatibel chiffersvit. Detta resulterar i att protokollet inte används.

När du till exempel använder Chrome kan du få felet ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

Standardordningen i Windows Server 2016 är kompatibel med HTTP/2-chiffersvitinställningar. Dessutom är den här ordningen bra utöver HTTP/2, eftersom den gynnar chiffersviter som har de starkaste säkerhetsegenskaperna. Därför ser standardordningen till att HTTP/2 på Windows Server 2016 inte har några chifferpaketförhandlingsproblem med webbläsare och klienter.

Lösning

Viktigt!

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

Om det inte går att använda protokollet måste du inaktivera HTTP/2 tillfälligt medan du ändrar ordning på chiffersviterna.

Så här aktiverar och inaktiverar du HTTP/2:

1. Starta regedit (Registereditorn).
2. Flytta till den här undernyckeln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Ange DWORD-typvärdet EnableHttp2Tls till något av följande:
   • Ställ in den på 0 för att inaktivera HTTP/2.
   • Ange värdet till 1 för att aktivera HTTP/2.
4. Starta om datorn.

Referenser

• Chiffersviter i TLS/SSL (Schannel SSP)

• Vad är HTTP/2?