Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Volgorde van TLS-coderingssuite configureren
Een coderingssuite is een set cryptografische algoritmen. Verschillende Windows-versies ondersteunen verschillende TLS-coderingssuites en prioriteitsvolgorde. Zie Coderingssuites in TLS/SSL (Schannel SSP) voor de standaardvolgorde die wordt ondersteund door de Microsoft Schannel-provider in verschillende Windows-versies.
Note
U kunt de lijst met coderingssuites ook wijzigen met behulp van CNG-functies. Zie Prioriteit geven aan Schannel Cipher Suites voor meer informatie.
Wijzigingen in de volgorde van de TLS-coderingssuite worden van kracht bij het volgende opstarten. Totdat de bestaande volgorde opnieuw wordt gestart of afgesloten, is de bestaande volgorde van kracht.
Warning
Het bijwerken van de registerinstellingen voor de standaardvolgorde voor prioriteit wordt niet ondersteund en kan opnieuw worden ingesteld met onderhoudsupdates.
Volgorde van TLS-coderingssuite configureren met behulp van Groepsbeleid
U kunt de groepsbeleidsinstellingen voor SSL-coderingssuites gebruiken om de standaardvolgorde voor TLS-coderingssuites te configureren.
Ga in de console Groepsbeleidsbeheer naar Computerconfiguratie>beheersjablonen>netwerk>SSL-configuratie-instellingen.
Dubbelklik op SSL Cipher Suite Order en selecteer vervolgens de optie Ingeschakeld .
Klik met de rechtermuisknop op het vak met SSL-coderingssuites en selecteer Selecteer alles in het snelmenu.
Klik met de rechtermuisknop op de geselecteerde tekst en selecteer Kopiëren in het snelmenu.
Plak de tekst in een teksteditor, zoals notepad.exe en werk deze bij met de nieuwe orderlijst voor coderingspakketten.
Note
De orderlijst met TLS-coderingssuites moet een strikte door komma's gescheiden indeling hebben. Elke coderingssuite-tekenreeks eindigt met een komma rechts ervan. Daarnaast is de lijst met coderingssuites beperkt tot 1023 tekens.
Vervang de lijst in de SSL Cipher Suites door de bijgewerkte geordende lijst.
Selecteer OK of Toepassen.
Order van TLS-coderingssuite configureren met behulp van MDM
De Windows 10 Policy CSP ondersteunt de configuratie van de TLS-coderingssuites. Zie Cryptography/TLSCipherSuites voor meer informatie.
Volgorde van TLS-coderingssuite configureren met behulp van TLS PowerShell-cmdlets
De TLS PowerShell-module ondersteunt het ophalen van de geordende lijst met TLS-coderingssuites, het uitschakelen van een coderingssuite en het inschakelen van een coderingssuite. Zie TLS-module voor meer informatie.
TLS ECC-curvevolgorde configureren
Vanaf Windows 10 en Windows Server 2016 kan de ECC-curvevolgorde onafhankelijk van de volgorde van de coderingssuite worden geconfigureerd. Als de TLS-coderingssuites orderlijst elliptische curven bevat, worden deze overschreven door de nieuwe prioriteitsvolgorde voor elliptische curven, wanneer dit is ingeschakeld. Hierdoor kunnen organisaties een groepsbeleidsobject gebruiken om verschillende versies van Windows Server te configureren met dezelfde volgorde van coderingssuites.
ECC-curven beheren met CertUtil
Vanaf Windows 10 en Windows Server 2016 biedt Windows elliptische curveparameterbeheer via het opdrachtregelprogramma certutil.exe. Elliptische curveparameters worden opgeslagen in de bcryptprimitives.dll. Beheerders kunnen curveparameters aan Windows Server toevoegen en ervan verwijderen met behulp van certutil.exe. Certutil.exe slaat de curveparameters veilig op in het register. Windows Server kan beginnen met het gebruik van de curveparameters op basis van de naam die aan de curve is gekoppeld.
Geregistreerde curven weergeven
Gebruik de volgende certutil.exe opdracht om een lijst met curven weer te geven die zijn geregistreerd voor de huidige computer.
certutil.exe –displayEccCurve
Een nieuwe curve toevoegen
Organisaties kunnen curveparameters maken en gebruiken die door andere vertrouwde entiteiten zijn onderzocht. Beheerders die deze nieuwe curven in Windows willen gebruiken, moeten de curve toevoegen. Gebruik de volgende certutil.exe opdracht om een curve toe te voegen aan de huidige computer:
Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
- Het argument curveName vertegenwoordigt de naam van de curve waaronder de curveparameters zijn toegevoegd.
- Het argument curveParameters vertegenwoordigt de bestandsnaam van een certificaat dat de parameters bevat van de curven die u wilt toevoegen.
- Het argument curveOid vertegenwoordigt een bestandsnaam van een certificaat dat de OID bevat van de curveparameters die u wilt toevoegen (optioneel).
- Het argument curveType vertegenwoordigt een decimale waarde van de benoemde curve uit het EC Benoemde curveregister (optioneel).
Een eerder toegevoegde curve verwijderen
Beheerders kunnen een eerder toegevoegde curve verwijderen met behulp van de volgende certutil.exe opdracht:
certutil.exe –deleteEccCurve curveName
Windows kan geen benoemde curve gebruiken nadat een beheerder de curve van de computer verwijdert.
ECC-curven beheren met groepsbeleid
Organisaties kunnen curveparameters verspreiden naar computers die zijn verbonden met het domein van de onderneming met behulp van Groepsbeleid en de registerextensie Voorkeuren voor groepsbeleid. Het proces voor het distribueren van een curve is:
Gebruik certutil.exe om een nieuwe geregistreerde benoemde curve toe te voegen.
Open op dezelfde computer de Console Groepsbeleidsbeheer (GPMC), maak een nieuw groepsbeleidsobject en bewerk het.
Ga naar Computerconfiguratie |Voorkeuren |Windows-instellingen |Register. Klik met de rechtermuisknop op Register. Beweeg de muisaanwijzer over Nieuw en selecteer Verzamelingsitem. Wijzig de naam van het verzamelingsitem zodat deze overeenkomt met de naam van de curve. U maakt één registerverzamelingsitem voor elke registersleutel onder HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.
Configureer de zojuist gemaakte groepsbeleidsvoorkeurregisterverzameling door een nieuw registeritem toe te voegen voor elke registerwaarde die wordt vermeld onder HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].
Implementeer het groepsbeleidsobject met groepsbeleid registerverzamelingsitemcomputers die de nieuwe benoemde curven moeten ontvangen.
TLS ECC-bestelling beheren
Vanaf Windows 10 en Windows Server 2016 kunnen groepsbeleidsinstellingen voor ECC-curvevolgorde worden gebruikt om de standaard TLS ECC-curvevolgorde te configureren. Organisaties kunnen hun eigen vertrouwde benoemde curven toevoegen aan het besturingssysteem en deze benoemde curven vervolgens toevoegen aan de groepsbeleidsinstelling voor curveprioriteit om ervoor te zorgen dat ze in toekomstige TLS-handshakes worden gebruikt. Nieuwe prioriteitslijsten voor curves worden actief bij de volgende opstart na het ontvangen van de beleidsinstellingen.
