Bereitstellen einer benutzerdefinierten Verschlüsselungssuite in Windows Server 2016

  • Artikel

Dieser Artikel enthält Informationen, die Ihnen bei der Bereitstellung der benutzerdefinierten Verschlüsselungssammlungsbestellung für Schannel in Windows Server 2016 helfen.

Gilt für: Windows Server 2016
Ursprüngliche KB-Nummer: 4032720

Übersicht

Um Ihre eigene Chiffre-Suite-Sortierung für Schannel in Windows bereitzustellen, müssen Sie Verschlüsselungssammlungen priorisieren, die mit HTTP/2 kompatibel sind, indem Sie diese zuerst auflisten. Cipher suites that are on the HTTP/2 (RFC 7540) block list must appear at the bottom of your list. Beispiel:

Chiffreblockkette (CBC)-Modus-Verschlüsselungssammlungen:

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Non-PFS (perfekte Forward Secrecy) Verschlüsselungssammlungen:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Wenn die Verschlüsselungssammlungen, die sich in der Blockliste befinden, oben in Ihrer Liste aufgeführt sind, können HTTP/2-Clients und Browser möglicherweise keine HTTP/2-kompatible Verschlüsselungssuite aushandeln. Dies führt dazu, dass das Protokoll nicht verwendet wird.

Wenn Sie Beispielsweise Chrome verwenden, erhalten Sie möglicherweise die Fehlermeldung ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

Die Standardreihenfolge in Windows Server 2016 ist mit der HTTP/2-Verschlüsselungssuite-Einstellung kompatibel. Darüber hinaus ist diese Sortierung gut über HTTP/2 hinaus, da sie Verschlüsselungssammlungen bevorzugt, die die stärksten Sicherheitsmerkmale aufweisen. Daher stellt die Standardreihenfolge sicher, dass HTTP/2 unter Windows Server 2016 keine Verschlüsselungssuite-Aushandlungsprobleme mit Browsern und Clients aufweist.

Problemumgehung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Wenn das Protokoll nicht verwendet wird, müssen Sie HTTP/2 vorübergehend deaktivieren, während Sie die Verschlüsselungssammlungen neu anordnen.

Führen Sie die folgenden Schritte aus, um HTTP/2 zu aktivieren und zu deaktivieren:

  1. Starten Sie regedit (Registrierungs-Editor).
  2. Wechseln sie zu diesem Unterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Legen Sie den DWORD-Typwert EnableHttp2Tls auf einen der folgenden Werte fest:
    • Legen Sie ihn auf 0 fest, um HTTP/2 zu deaktivieren.
    • Legen Sie den Wert auf 1 fest, um HTTP/2 zu aktivieren.
  4. Starten Sie den Computer neu.

References