Windows Server 2016でカスタム暗号スイートの順序をデプロイする方法
この記事では、Schannel のカスタム暗号スイートの順序をWindows Server 2016にデプロイするのに役立つ情報を提供します。
適用対象: Windows Server 2016
元の KB 番号: 4032720
概要
Windows で Schannel 用に独自の暗号スイートの順序をデプロイするには、最初にこれらを一覧表示して、HTTP/2 と互換性のある暗号スイートに優先順位を付ける必要があります。 HTTP/2 (RFC 7540) ブロック リストにある暗号スイートは、一覧の下部に表示する必要があります。 例:
暗号ブロック チェーン (CBC) モードの暗号スイート:
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
非 PFS (完全な前方秘密) 暗号スイート:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
ブロック リストにある暗号スイートが一覧の先頭に一覧表示されている場合、HTTP/2 クライアントとブラウザーは、HTTP/2 互換の暗号スイートをネゴシエートできない可能性があります。 これにより、プロトコルの使用に失敗します。
たとえば、Chrome を使用すると、エラー ERR_SPDY_INADEQUATE_TRANSPORT_SECURITYが表示される場合があります。
Windows Server 2016の既定の順序は、HTTP/2 暗号スイートの基本設定と互換性があります。 さらに、この順序は、最も強力なセキュリティ特性を持つ暗号スイートを優先しているため、HTTP/2 を超えて優れた順序付けになります。 したがって、既定の順序では、Windows Server 2016の HTTP/2 に、ブラウザーとクライアントとの暗号スイート ネゴシエーションの問題がないことを確認します。
回避策
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
プロトコルの使用に失敗した場合は、暗号スイートの順序を変更するときに HTTP/2 を一時的に無効にする必要があります。
HTTP/2 を有効または無効にするには、次の手順に従います。
- regedit (レジストリ エディター) を開始します。
- このサブキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
- DWORD 型の値 EnableHttp2Tls を次のいずれかに設定します。
- HTTP/2 を無効にするには、0 に設定します。
- HTTP/2 を有効にするには、値を 1 に設定します。
- コンピューターを再起動します。
関連情報
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示