Gestione di Transport Layer Security (TLS)

Configurazione dell'ordine di pacchetti di crittografia TLS

Versioni di Windows diverse supportano pacchetti di crittografia TLS e ordini di priorità diversi. Vedere Pacchetti di crittografia in TLS/SSL (SSP Schannel) per l'ordine predefinito supportato dal provider Microsoft Schannel in versioni diverse di Windows.

Nota

È inoltre possibile modificare l'elenco dei pacchetti di crittografia usando le funzioni CNG, consultare la sezione Definizione delle priorità dei pacchetti di crittografia Schannel per informazioni dettagliate.

Le modifiche all'ordine di pacchetti di crittografia TLS avranno effetto all'avvio successivo. Fino al riavvio o all'arresto, l'ordine esistente sarà attivo.

Avviso

L'aggiornamento delle impostazioni del registro per l'ordinamento di priorità predefinito non è supportato e può essere reimpostato con gli aggiornamenti di manutenzione.

Configurazione dell'ordine dei pacchetti di crittografia TLS tramite Criteri di gruppo

È possibile usare le impostazioni di Criteri di gruppo ordine pacchetti di crittografia SSL per configurare l'ordine predefinito dei pacchetti di crittografia TLS.

  1. Dalla console Gestione Criteri di gruppo, passare a Configurazione computer>Modelli amministrativi>Rete>Impostazioni configurazione SSL.

  2. Fare doppio clic su Ordine pacchetti di crittografia SSL, quindi fare clic sull'opzione Abilitato.

  3. Fare clic con il pulsante destro del mouse sulla casella Pacchetti di crittografia e selezionare Seleziona tutto dal menu a comparsa.

    Impostazione di Criteri di gruppo

  4. Fare clic con il pulsante destro del mouse sul testo selezionato e selezionare Copia dal menu a comparsa.

  5. Incollare il testo in un editor di testo, ad esempio, notepad.exe e aggiornare con il nuovo elenco di ordini dei pacchetti di crittografia.

    Nota

    L'elenco di ordini dei pacchetti di crittografia TLS deve essere in formato delimitato da virgole. Ogni stringa del pacchetto di crittografia terminerà con una virgola (,) a destra.

    Inoltre, l'elenco dei pacchetti di crittografia è limitato a 1.023 caratteri.

  6. Sostituire l'elenco nei pacchetti di crittografia SSL con l'elenco ordinato aggiornato.

  7. Fare clic su OK o applicare.

Configurazione dell'ordine di pacchetti di crittografia TLS tramite MDM

Il provider di servizi di configurazione dei criteri di Windows 10 supporta la configurazione dei pacchetti di crittografia TLS. Per maggiori informazioni, consultare la sezione Crittografia/pacchetti di crittografia TLS.

Configurazione dell'ordine di pacchetti di crittografia TLS tramite i cmdlet di PowerShell TLS

Il modulo TLS PowerShell supporta l'acquisizione dell'elenco ordinato di pacchetti di crittografia TLS, la disabilitazione di un pacchetto di crittografia e l'abilitazione di un pacchetto di crittografia. Per maggiori informazioni, consultare la sezione Modulo TLS.

Configurazione dell'ordine di curva TLS ECC

A partire da Windows 10 & Windows Server 2016, l'ordine di curva ECC può essere configurato indipendentemente dall'ordine di pacchetti di crittografia. Se l'elenco di ordini di pacchetti di crittografia TLS include suffissi a curva ellittica, questi verranno sostituiti dal nuovo ordine di priorità della curva ellittica, se abilitato. In questo modo, le organizzazioni possono usare un oggetto Criteri di gruppo per configurare versioni diverse di Windows con lo stesso ordine di pacchetti di crittografia.

Nota

Prima di Windows 10, le stringhe dei pacchetti di crittografia sono state aggiunte con la curva ellittica per determinare la priorità della curva.

Gestione delle curve ECC di Windows con CertUtil

A partire da Windows 10 e Windows Server 2016, Windows fornisce la gestione dei parametri della curva ellittica tramite l'utilità della riga di comando certutil.exe. I parametri della curva ellittica vengono archiviati in bcryptprimitives.dll. Usando certutil.exe, gli amministratori possono aggiungere e rimuovere i parametri della curva rispettivamente da e verso Windows. Certutil.exe archivia i parametri della curva in modo sicuro nel registro. Windows può iniziare a usare i parametri della curva in base al nome associato alla curva.

Visualizzazione di curve registrate

Usare il comando certutil.exe seguente per visualizzare un elenco di curve registrate per il computer corrente.

certutil.exe –displayEccCurve

Curve di visualizzazione Certutil

Figura 1 Certutil.exe output per visualizzare l'elenco delle curve registrate.

Aggiunta di una nuova curva

Le organizzazioni possono creare e usare parametri di curva ricercati da altre entità attendibili. Gli amministratori che desiderano usare queste nuove curve in Windows devono aggiungere la curva. Usare il comando certutil.exe seguente per aggiungere una curva al computer corrente:

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]
  • L'argomento curveName rappresenta il nome della curva in cui sono stati aggiunti i parametri della curva.
  • L'argomento curveParameters rappresenta il nome file di un certificato che contiene i parametri delle curve da aggiungere.
  • L'argomento curveOid rappresenta un nome file di un certificato che contiene l'OID dei parametri della curva da aggiungere (facoltativo).
  • L'argomento curveType rappresenta un valore decimale della curva denominata dal registro della curva denominata EC (facoltativo).

Aggiungere curve Certutil

Figura 2 Aggiunta di una curva tramite certutil.exe.

Rimozione di una curva aggiunta in precedenza

Gli amministratori possono rimuovere una curva aggiunta in precedenza usando il comando certutil.exe seguente:

certutil.exe –deleteEccCurve curveName

Windows non può usare una curva denominata dopo che un amministratore rimuove la curva dal computer.

Gestione delle curve ECC di Windows tramite Criteri di gruppo

Le organizzazioni possono distribuire parametri di curva a un computer aziendale, aggiunto a un dominio usando Criteri di gruppo e l'estensione Registro preferenze criteri di gruppo. Il processo di distribuzione di una curva è:

  1. In Windows 10 e Windows Server 2016, usare certutil.exe per aggiungere una nuova curva denominata registrata a Windows.

  2. Dallo stesso computer, aprire la Console di gestione dei criteri di gruppo (GPMC), creare un nuovo oggetto Criteri di gruppo e modificarlo.

  3. Passare a Configurazione computer|Preferenze|Impostazioni Windows|Registro. Fare clic con il pulsante destro del mouse su Registro. Passare il puntatore del mouse su Nuovo e selezionare Elemento raccolta. Rinominare l'elemento della raccolta in modo che corrisponda al nome della curva. Verrà creato un elemento della raccolta del registro per ogni chiave del registro in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters.

  4. Configurare la raccolta del Registro preferenze criteri di gruppo appena creata aggiungendo un nuovo Elemento di registro per ogni valore del registro elencato in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName].

  5. Distribuire l'oggetto Criteri di gruppo contenente l'elemento Raccolta registro criteri di gruppo nei computer Windows 10 e Windows Server 2016 che devono ricevere le nuove curve denominate.

    Screenshot della scheda Preferenze dell'Editor Gestione Criteri di gruppo.

    Figura 3 Uso delle preferenze di Criteri di gruppo per distribuire le curve

Gestione dell'ordine ECC TLS

A partire da Windows 10 e Windows Server 2016, è possibile usare le impostazioni dei criteri di gruppo ordine curve ECC ECC predefinite. Usando ECC generico e questa impostazione, le organizzazioni possono aggiungere le proprie curve denominate attendibili (approvate per l'uso con TLS) al sistema operativo e quindi aggiungere tali curve denominate all'impostazione di Criteri di gruppo per la priorità della curva per assicurarsi che vengano usate negli handshake TLS futuri. I nuovi elenchi di priorità della curva diventano attivi al successivo riavvio, dopo aver ricevuto le impostazioni dei criteri.

Screenshot della finestra di dialogo Ordine curva CEE.

Figura 4 Gestione della priorità della curva TLS con Criteri di gruppo