El artículo describe alguna información de configuración del registro para la implementación de Windows® del protocolo Transport Layer Security (TLS) y el protocolo Secure Sockets Layer (SSL) a través del Schannel Security SupportProvider (SSP).
Nota :se aplica a Windows Server (canal semestral), Windows Server 2019, Windows Server 2016 y Windows 10.
Las siguientes secciones abordan parámetros de configuración de registro específicos:
Métodos de asignación de certificados
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Existen dos métodos para asignar certificados de cliente:
-
Asignaciones uno a uno :estas asignaciones hacen coincidir los certificados de clientes individuales con las cuentas de usuario individuales de forma individual. Cada certificado de cliente se asigna a una cuenta de usuario.
-
Asignaciones de muchos a uno :estas asignaciones hacen coincidir varios certificados con una cuenta de usuario en función de los subcampos de los certificados de cliente.
La configuración de esta entrada en su servidor cada vez que un cliente presenta un certificado de cliente asocia automáticamente a ese usuario con la cuenta de usuario de Windows adecuada.
Cifrados y conjuntos de cifrado
Para configurar estos registros, necesita el orden del conjunto de cifrado TLS, la política de grupo MDM o PowerShell®, y este artículo no cubre la configuración.
ClientCacheTime
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Esta entrada controla el tiempo que tarda el sistema operativo (en milisegundos) en caducar las entradas de caché del lado del cliente. Si el valor es 0 , apaga la conexión segura.
Habilitar OcspStaplingForSni
El Protocolo de estado de certificado en línea (OCSP) es un protocolo utilizado para obtener el estado de revocación de un certificado digital X.509 durante el protocolo de enlace TLS. Al activar esta entrada, el servidor web puede reducir su carga de trabajo.
Ruta de registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Agregue la siguiente clave:"EnableOcspStaplingForSni"=dword:00000001
Para deshabilitar, configure el DWORD valor a 0:"EnableOcspStaplingForSni"=dword:00000000
FIPSAlgorithmPolicy
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\LSA
El Instituto Nacional de Estándares y Tecnología anuncia públicamente los estándares Federal Information Processing (FIPS) desarrollados para su uso en sistemas informáticos por agencias gubernamentales estadounidenses no militares y contratistas gubernamentales. La configuración de esta entrada controla el cumplimiento de FIPS. El valor predeterminado es 0 .
Hashes
La configuración del orden del conjunto de cifrado debe controlar los algoritmos hash TLS/SSL.
Tamaño de caché del emisor
Cuando los emisores no se asignan a una cuenta, el servidor puede intentar asignar el mismo nombre de emisor repetidamente, cientos de veces por segundo. Utilice esta entrada, que controla el tamaño de la memoria caché del emisor, con asignación de emisor. Esta entrada de registro especifica el tamaño de la memoria caché y el valor predeterminado es 100 .
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
IssuerCacheTime
Como IssuerCacheSize evita múltiples intentos de asignar el emisor al servidor, puede limitar la duración del intervalo de tiempo de espera de caché en milisegundos. El valor predeterminado es 10 minutos.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
KeyExchangeAlgorithm:tamaños de clave RSA del cliente
Esta entrada controla el tamaño de la clave RSA del cliente.
Ruta del registro:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS
Si desea especificar una longitud mínima para la clave RSA, debe crear un ClientMinKeyBitLength entrada y asigne la longitud deseada. Si no crea esta entrada, el valor predeterminado es 1024 bits. Sin embargo, si especifica una longitud máxima, cree el ClientMaxKeyBitLength entrada y cambie el valor deseado.
Nota :La configuración del orden de la suite de cifrado debería controlar el uso de algoritmos de intercambio de claves.
KeyExchangeAlgorithm:tamaños de clave Diffie-Hellman
Esta entrada controla los tamaños de clave Diffie-Hellman.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
Tenga en cuenta que las entradas adicionales para especificar un valor de la clave Diffie-Helman son las mismas que las de la clave RSA. Si desea especificar un rango mínimo admitido de clave Diffie-Helman, debe crear un ClientMinKeyBitLength entrada y asigne la longitud de bits deseada que desee. Si no crea esta entrada, el valor predeterminado es 1024 bits. Si especifica un rango de soporte máximo, cree el ClientMaxKeyBitLength entrada y cambie el valor deseado. Finalmente, use el ServerMinKeyBitLength entrada para especificar la longitud del valor predeterminado del servidor TLS. Si no, el valor predeterminado es 2048.
Nota :La configuración del orden de la suite de cifrado debería controlar el uso de algoritmos de intercambio de claves.
Tamaño máximo de caché
Los elementos de caché pueden tener diferentes tamaños. Cuando activas esta entrada, estableces un tamaño máximo de caché. Establecer el valor en 0 desactiva la sesión del lado del servidor y evita la reconexión. Probablemente, al activar esta entrada, obtenga un consumo adicional de memoria en su servidor. El valor predeterminado es 20.000 elementos.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Mensajería:análisis de fragmentos
Cada vez que un cliente intenta conectarse a un servidor con TLS y la conexión es exitosa, el sistema almacena un mensaje de protocolo de enlace en el servidor. Puede establecer un límite de tamaño para el almacenamiento de esos mensajes. Cuando establece el valor en 0x0 , no puede almacenar mensajes de protocolo de enlace, lo que hace que TLS falle. Puede aumentar el tamaño máximo permitido a 2^24-1 bytes.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging
Enviar lista de emisores de confianza
Utilice esta entrada solo si no desea enviar ninguna lista de emisores de confianza al cliente.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
ServerCacheTime
Utilice esta entrada para establecer el tiempo (en milisegundos) que tarda el sistema operativo en caducar las entradas de caché del lado del servidor.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Un valor de 0 desactiva la caché de la sesión del lado del servidor y evita la reconexión. Aumentar ServerCacheTime por encima de los valores predeterminados provoca Lsass.exe consumir memoria. Cada elemento de caché de sesión normalmente requiere de 2 a 4 KB de memoria. El tiempo predeterminado de caché del servidor es de 10 horas.
Si deshabilita la entrada de forma predeterminada mediante el DisabledByDefault entrada y una aplicación SSPI solicita explícitamente usar SSL, TLS o DTLS, podría negociarse.
SSL 2.0
Esta subclave controla el uso de SSL 2.0.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo SSL 2.0, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el valor a 0 . Para deshabilitar SSL 2.0 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .
SSL 3.0
Esta subclave controla el uso de SSL 3.0.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo SSL 3.0, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el valor a 0 . Para deshabilitar SSL 3.0 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .
TLS 1.0
Esta subclave controla el uso de TLS 1.0.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo TLS 1.0, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el DWORD valor a 0 .Para deshabilitar TLS 1.0 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .
TLS 1.1
Esta subclave controla el uso de TLS 1.1.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo TLS 1.1, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el valor a 0 . Para deshabilitar TLS 1.1 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .
TLS 1.2
Esta subclave controla el uso de TLS 1.2.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo TLS 1.2, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el valor a 0. Para deshabilitar TLS 1.2 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .
DTLS 1.0
Esta subclave controla el uso de DTLS 1.0.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo DTLS 1.0, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el valor a 0 . Para deshabilitar DTLS 1.0 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .
DTLS 1.2
Esta subclave controla el uso de DTLS 1.2.
Ruta de registro:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Para habilitar el protocolo DTLS 1.2, cree un Habilitado entrada (en la subclave Cliente o Servidor) y cambie el valor a 1 . Para deshabilitarlo, cambie el valor a 0 . Para deshabilitar DTLS 1.2 de forma predeterminada, cree un DisabledByDefault entrada y cambie el valor a 1 .