Artikel ini menjelaskan beberapa informasi pengaturan registri untuk implementasi Windows® protokol Transport Layer Security (TLS) dan protokol Secure Sockets Layer (SSL) melalui Schannel Security SupportProvider (SSP).
Catatan :Berlaku untuk Windows Server (Saluran Semi-Tahunan), Windows Server 2019, Windows Server 2016, dan Windows 10.
Bagian berikut membahas parameter pengaturan registri tertentu:
CertificateMappingMethods
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Ada dua metode untuk memetakan sertifikat klien:
-
Pemetaan satu-ke-satu :Pemetaan ini mencocokkan sertifikat klien individual dengan akun pengguna individual dengan basis satu-ke-satu. Setiap sertifikat klien dipetakan ke akun pengguna.
-
Pemetaan banyak-ke-satu :Pemetaan ini mencocokkan beberapa sertifikat dengan akun pengguna berdasarkan subbidang di sertifikat klien.
Mengonfigurasi entri ini di server Anda setiap kali klien menyajikan sertifikat klien secara otomatis mengaitkan pengguna tersebut dengan Akun Pengguna Windows yang sesuai.
Sandi dan rangkaian sandi
Untuk mengonfigurasi catatan ini, Anda memerlukan urutan rangkaian sandi TLS, MDM kebijakan grup, atau PowerShell®, dan artikel ini tidak membahas konfigurasi.
ClientCacheTime
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Entri ini mengontrol waktu yang dibutuhkan sistem operasi (dalam milidetik) untuk kedaluwarsa entri cache sisi klien. Jika nilainya 0 , ini akan mematikan koneksi aman.
AktifkanOcspStaplingForSni
Online Certificate Status Protocol (OCSP) adalah protokol yang digunakan untuk memperoleh status pencabutan sertifikat digital X.509 selama handshake TLS. Dengan mengaktifkan entri ini, server web dapat mengurangi beban kerjanya.
Jalur registri:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Tambahkan kunci berikut:"EnableOcspStaplingForSni"=dword:00000001
Untuk menonaktifkan, setel DWORD nilai ke 0:"EnableOcspStaplingForSni"=dword:00000000
FIPSAlgorithmPolicy
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\LSA
Institut Nasional Standar dan Teknologi mengumumkan secara terbuka standar Pemrosesan Informasi Federal (FIPS) yang dikembangkan untuk digunakan dalam sistem komputer oleh lembaga pemerintah Amerika non-militer dan kontraktor pemerintah. Menyetel entri ini mengontrol kepatuhan FIPS. Standarnya adalah 0 .
Hash
Mengonfigurasi urutan cipher suite harus mengontrol algoritme hash TLS/SSL.
IssuerCacheSize
Ketika penerbit tidak memetakan ke akun, server mungkin mencoba memetakan nama penerbit yang sama berulang kali, ratusan kali per detik. Anda menggunakan entri ini, yang mengontrol ukuran cache penerbit, dengan pemetaan penerbit. Entri registri ini menentukan ukuran cache, dan nilai defaultnya adalah 100 .
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
IssuerCacheTime
Sebagai IssuerCacheSize menghindari upaya ganda untuk memetakan penerbit ke server, Anda dapat membatasi panjang interval waktu tunggu cache dalam milidetik. Nilai defaultnya adalah 10 menit.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
KeyExchangeAlgorithm:Ukuran kunci RSA klien
Entri ini mengontrol ukuran kunci RSA klien.
Jalur registri:HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS
Jika Anda ingin menentukan panjang minimum untuk kunci RSA, Anda harus membuatClientMinKeyBitLength entri dan menetapkan panjang yang diinginkan. Jika Anda tidak membuat entri ini, nilai defaultnya adalah 1024 bit. Namun, jika Anda menentukan panjang maksimum, buat ClientMaxKeyBitLength masuk dan ubah nilai yang diinginkan.
Catatan :Konfigurasi urutan cipher suite harus dikontrol menggunakan algoritma pertukaran kunci.
KeyExchangeAlgorithm:Ukuran kunci Diffie-Hellman
Entri ini mengontrol ukuran kunci Diffie-Hellman.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
Perhatikan bahwa entri tambahan untuk menentukan nilai kunci Diffie-Helman sama dengan kunci RSA. Jika Anda ingin menentukan rentang minimum yang didukung dari kunci Diffie-Helman, Anda harus membuat ClientMinKeyBitLength entri dan tetapkan panjang bit keinginan yang Anda inginkan. Jika Anda tidak membuat entri ini, nilai defaultnya adalah 1024 bit. Jika Anda menentukan rentang dukungan maksimum, buatClientMaxKeyBitLength masuk dan ubah nilai yang diinginkan. Terakhir, gunakanServerMinKeyBitLength entri untuk menentukan panjang default server TLS. Jika tidak, nilai defaultnya adalah 2048.
Catatan :Konfigurasi urutan cipher suite harus dikontrol menggunakan algoritma pertukaran kunci.
MaximumCacheSize
Elemen cache dapat memiliki ukuran yang berbeda. Saat Anda mengaktifkan entri ini, Anda menyetel cache ukuran maksimum. Menyetel nilai ke 0 menonaktifkan sesi sisi server dan menghindari koneksi ulang. Mungkin, dengan mengaktifkan entri ini, Anda mendapatkan konsumsi memori tambahan di server Anda. Nilai defaultnya adalah 20.000 elemen.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Pesan:penguraian fragmen
Setiap kali klien mencoba terhubung ke server dengan TLS dan koneksi berhasil, sistem menyimpan pesan jabat tangan di server. Anda dapat mengatur batas ukuran untuk penyimpanan pesan-pesan tersebut. Saat Anda menyetel nilainya ke 0x0 , Anda tidak dapat menyimpan pesan jabat tangan, yang menyebabkan TLS gagal. Anda dapat meningkatkan ukuran maksimum yang diizinkan menjadi 2^24-1 byte.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging
SendTrustedIssuerList
Gunakan entri ini hanya jika Anda tidak ingin mengirim daftar penerbit tepercaya ke klien.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
ServerCacheTime
Gunakan entri ini untuk menyetel waktu (dalam milidetik) yang diperlukan sistem operasi untuk mengakhiri entri cache sisi server.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Nilai 0 menonaktifkan cache sesi sisi server dan mencegah koneksi ulang. Meningkatkan ServerCacheTime di atas nilai default menyebabkan Lsass.exe untuk mengkonsumsi memori. Setiap elemen cache sesi biasanya membutuhkan 2 hingga 4 KB memori. Waktu cache server default adalah 10 jam.
Jika Anda menonaktifkan entri secara default dengan menggunakan DisabledByDefault entri dan aplikasi anSSPI secara eksplisit meminta untuk menggunakan SSL, TLS, atau DTLS, ini mungkin dinegosiasikan.
SSL 2.0
Subkunci ini mengontrol penggunaan SSL 2.0.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol SSL 2.0, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah nilainya menjadi 0 . Nonaktifkan SSL 2.0 secara default, buat DisabledByDefault masuk dan ubah nilainya menjadi 1 .
SSL 3.0
Subkunci ini mengontrol penggunaan SSL 3.0.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol SSL 3.0, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah nilainya menjadi 0 . Nonaktifkan SSL 3.0 secara default, buat DisabledByDefault masuk dan ubah nilainya menjadi 1 .
TLS 1.0
Subkunci ini mengontrol penggunaan TLS 1.0.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol TLS 1.0, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah DWORD nilai ke 0 .Untuk menonaktifkan TLS 1.0 secara default, buat DisabledByDefault masuk dan ubah nilainya menjadi 1 .
TLS 1.1
Subkunci ini mengontrol penggunaan TLS 1.1.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol TLS 1.1, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah nilainya menjadi 0 . Nonaktifkan TLS 1.1 secara default, buat DisabledByDefault masuk dan ubah nilainya menjadi 1 .
TLS 1.2
Subkunci ini mengontrol penggunaan TLS 1.2.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol TLS 1.2, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah nilainya menjadi 0. Nonaktifkan TLS 1.2 secara default, buat DisabledByDefault masuk dan ubah nilainya menjadi 1 .
DTLS 1.0
Subkunci ini mengontrol penggunaan DTLS 1.0.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol DTLS 1.0, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah nilainya menjadi 0 . Nonaktifkan DTLS 1.0 secara default, buat DisabledByDefault masukkan dan ubah nilainya menjadi 1 .
DTLS 1.2
Subkunci ini mengontrol penggunaan DTLS 1.2.
Jalur registri:HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Untuk mengaktifkan protokol DTLS 1.2, buat Enabled entri (di Klien atau Serversubkey) dan ubah nilainya menjadi 1 . Untuk menonaktifkannya, ubah nilainya menjadi 0 . Nonaktifkan DTLS 1.2 secara default, buat DisabledByDefault masukkan dan ubah nilainya menjadi 1 .