параметри tls

Цей запис не існує в реєстрі за замовчуванням. Значення за замовчуванням - що підтримуються всі чотири методу зіставлення сертифікатів, перераховані нижче.

Якщо серверний додаток вимагає перевірки автентичності клієнта, Schannel автоматично намагається зіставити сертифікат, наданий клієнтським комп'ютером, з обліковим записом користувача. Ви можете перевіряти справжність користувачів, що виконують вхід з сертифікатом клієнта, створюючи зіставлення, що зв'язують ці відомості з обліковим записом користувача Windows. Після створення і включення зіставлення сертифікатів кожен раз, коли клієнт надає сертифікат клієнта, серверний додаток автоматично зіставляє цього користувача з відповідною обліковим записом Windows.

У більшості випадків сертифікат зіставляється з обліковим записом користувача одним з двох наступних способів.

Один сертифікат зіставляється з одним обліковим записом користувача (зіставлення "один до одного").

Кілька сертифікатів зіставляються з одним обліковим записом користувача (зіставлення "багато до одного").

За замовчуванням постачальник Schannel буде використовувати такі чотири методу зіставлення сертифікатів, перераховані в порядку пріоритету.

Зіставлення сертифікатів "служба для користувача" (S4U) Kerberos.

Зіставлення імені учасника-користувача.

Зіставлення "один до одного" (також зване зіставленням "суб'єкт / постачальник").

Зіставлення "багато до одного".

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Ця запис визначає розмір кешу видавця і використовується при зіставленні видавця. Schannel SSP намагається зіставити всіх видавців у ланцюжку сертифікатів клієнта, а не тільки прямого видавця сертифіката клієнта. Коли видавці не зіставляються з обліковим записом, що є типовим випадком, сервер може намагатися повторно зіставляти те ж ім'я видавця, сотні раз в секунду.

Щоб уникнути цього, сервер має негативний кеш, і якщо ім'я видавця не відповідає облікового запису, воно додається в кеш, і Schannel SSP не намагатиметься знову зіставити це ім'я видавця, поки не закінчиться термін дії запису кеша. Ця запис реєстру вказує розмір кеша. Цей запис не існує в реєстрі за замовчуванням. За замовчуванням використовується значення 100.

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Ця запис визначає тривалість інтервалу часу очікування кешу в мілісекундах. Schannel SSP намагається зіставити всіх видавців у ланцюжку сертифікатів клієнта, а не тільки прямого видавця сертифіката клієнта. У разі, коли видавці не відповідають облікового запису, що досить типово, сервер може намагатися повторно зіставляти те ж ім'я видавця, сотні раз в секунду.

Щоб уникнути цього, сервер має негативний кеш, і якщо ім'я видавця не відповідає облікового запису, воно додається в кеш, і Schannel SSP не намагатиметься знову зіставити це ім'я видавця, поки не закінчиться термін дії запису кеша. Цей кеш зберігається для підвищення продуктивності, щоб система не продовжувала спроби зіставити тих же видавців. Цей запис не існує в реєстрі за замовчуванням. Значення за замовчуванням - 10 хвилин.

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Цей підрозділ управляє використанням алгоритмів обміну ключами.

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Щоб відключити алгоритм обміну ключами, створіть запис Enabled у відповідному підрозділі. Цей запис не існує в реєстрі за замовчуванням. Після створення цього запису змініть значення DWORD на 0. При відключенні якого-небудь алгоритму ви забороняєте все комплекти шифрів, що використовують цей алгоритм. Щоб включити алгоритм обміну ключами, змініть значення DWORD на 1.

Таблиця підрозділів KeyExchangeAlgorithm

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Цей підрозділ визначає використання протоколу PCT.

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols

Щоб відключити протокол PCT, створіть запис Enabled у відповідному підрозділі. Цей запис не існує в реєстрі за замовчуванням. Після створення цього запису змініть значення DWORD на 0. Щоб включити протокол, змініть значення DWORD на 1.

Таблиця підрозділів PCT

Ця запис управляє прапором, який використовується при відправленні списку довірених видавців. У разі серверів, які довіряють сотням центрів сертифікації для перевірки автентичності клієнта, існує занадто багато видавців, щоб сервер міг відправляти їх все на клієнтський комп'ютер при запиті перевірки автентичності клієнта. В цьому випадку можна поставити це розділ реєстру, і замість відправки неповного списку Schannel SSP не відправлятиме клієнту ніякої список.

Якщо список довірених видавців не надсилається, це може вплинути на те, що клієнт посилає у відповідь на запит сертифіката клієнта. Наприклад, отримавши запит на перевірку справжності клієнта, Internet Explorer відображає тільки сертифікати клієнта, по ланцюжку пов'язані з одним із центрів сертифікації, відправлених сервером. Якщо сервер не передає список, Internet Explorer відображає всі сертифікати клієнта, встановлені на клієнті.

Це поведінка може бути небажано. Наприклад, коли середовище PKI включає перехресні сертифікати, сертифікати клієнта і сервера не матимуть один і той же кореневої ЦС; таким чином Internet Explorer не може вибрати сертифікат, який пов'язаний з одним з ЦС сервера. Якщо сервер налаштований не відправляти список довірених видавців, Internet Explorer буде відправляти всі сертифікати.

Цей запис не існує в реєстрі за замовчуванням. Значення за замовчуванням - True.

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Ця запис визначає час в мілісекундах, через яке в операційній системі закінчується термін дії записів кеша на стороні сервера. Значення 0 відключає кеш сеансу на стороні сервера і забороняє перепідключення. Якщо для ServerCacheTime задати значення більше встановленого за замовчуванням, Lsass.exe буде споживати додатковий обсяг пам'яті. Кожен елемент кешу сеансу зазвичай вимагає від 2 до 4 КБ пам'яті. Цей запис не існує в реєстрі за замовчуванням.

Застосовні версії. вказані в списку Область застосування на початку цієї статті.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL

Час кешу сервера за замовчуванням. 10:00

Цей підрозділ управляє використанням SSL 2.0.

За замовчуванням на клієнтських комп'ютерах Windows SSL 2.0 відключений.

Застосовні версії. вказані в списку Область застосування на початку цієї статті, за винятком клієнтських версій Windows.

Шлях в реєстрі. HKLM SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols

Щоб відключити протокол SSL 2.0, створіть запис Enabled у відповідному підрозділі. Цей запис не існує в реєстрі за замовчуванням. Після створення цього запису змініть значення DWORD на 0. Щоб включити протокол, змініть значення DWORD на 1.

Таблиця підрозділів SSL 2.0

Системні засоби шифрування: використовувати FIPS-сумісні алгоритми для шифрування, хешування і підписування.

(Це параметр групової політики Параметри безпеки.)

Зміни цього параметра визначають, чи буде Schannel SSP підтримувати протокол TLS як клієнт (або як сервер, якщо є) і чи буде він використовувати тільки наступні алгоритми:

Triple DES для шифрування трафіку TLS;

алгоритм шифрування відкритих ключів RSA для обміну ключами TLS і перевірки автентичності;

алгоритм SHA-1 для хешування TLS.

Клієнт і сервер повинні підтримувати ці алгоритми і TLS для взаємодії за допомогою програми безпечного каналу. Наприклад, якщо цей параметр політики включений, необхідно також налаштувати в Internet Explorer використання TLS (яке відключено за замовчуванням) для підключення за допомогою протоколу HTTPS до сервера з цим параметром.