暗号化アルゴリズムを実際に使用して、クライアント(Webブラウザー)からサーバーに送信されて戻ってくるデータを保護する場合は、Windowsでサーバーを正しく設定することが重要です。
このページには、WindowsServerで使用する適切な暗号スイートの選択とその設定方法に関する基本的な情報があります。 使用する特定のもののみをアクティブにし、残りは無効にすることをお勧めします。 また、SSL2.0などはデフォルトでオンになっていない場合があることに注意してください。
暗号スイートとSchannel.dllについて
使用する暗号化スイートと使用する暗号化アルゴリズムとプロトコルを変更するために必要なことを行う前に、暗号化スイートを使用して使用するセキュリティプロトコルを決定する方法など、Schannel.dllファイルについて簡単に説明します。 。 これはWindowsのレジストリでセットアップされ、実行するのは難しくありません。 手順は、使用しているオペレーティングシステムとWebサーバーによって多少異なります。
Schannel.dllは何ですか?
簡単に言えば、Schannel.dllはメインのMicrosoftであるライブラリです TLS/ SSLセキュリティプロバイダー。 これはSecureChannelの略で、Windows Server 2003、Windows Server 2008、Windows 7、Windows Server 2008 R2などのMicrosoftWebサーバー、およびWindowsXPやWindowsNTなどの古いサーバーでも使用されます。 以下で違いについて詳しく説明しますが、今のところ、使用するプロトコルを決定するためにSchannel.dllが使用されていることを知っておいてください。
暗号スイートとは何ですか?
暗号スイートは、暗号化アルゴリズムのセットにすぎません。 Schannelプロトコルは、特定の暗号スイートのさまざまなアルゴリズムを使用して、キーを作成し、情報を暗号化します。 一般に、暗号スイートは、次のXNUMXつのタスクのそれぞれに対してXNUMXつのアルゴリズムを指定します。
- 鍵交換 –これらのアルゴリズムは非対称(公開鍵アルゴリズム)であり、少量のデータで良好に機能します。 安全なトランザクションのための共有キーを作成するために必要な情報を保護するために使用されます。
- 一括暗号化 –このタスクは、クライアントとサーバー間で交換されるメッセージを暗号化します。 これらのアルゴリズムは対称的であり、大量のデータが転送される場合でも、非常によく機能する傾向があります。
- メッセージ認証 –これらのアルゴリズムはメッセージを生成します ハッシュ とを保証する署名 整合性 メッセージの。
上記のすべてがALG_ID(アルゴリズム識別子を指定するデータ型)を使用して、オペレーティングシステムに使用する暗号スイートを通知します。 MicrosoftのWebサイトで、Schannel.dllで利用可能なすべての暗号スイートのリストを確認できます。 こちら.
Schannel.dllの暗号スイートの変更
暗号スイートとSchannel.dllについてもう少し理解したところで、実際に使用される暗号化アルゴリズムとプロトコルを変更する方法について説明します。 Schannel.dllが使用するものを変更した場合でも、使用するソフトウェアがプロトコルをサポートしている必要があることに注意してください。 以下は、サーバーとして使用しているさまざまなWindowsオペレーティングシステムのリストです。
- のWindows Serverの標準2012
- のWindows Serverのデータセンター2012
- のWindows Serverのエンタープライズ2008 R2
- のWindows Serverの標準2008 R2
- のWindows Serverのデータセンター2008 R2
- 7のWindowsエンタープライズ
- Windowsの7プロフェッショナル
- のWindows Serverのエンタープライズ2008
- のWindows Serverの標準2008
- のWindows Serverのデータセンター2008
- 2003 Microsoft Windowsのサーバ、Enterprise Editionの(32ビットx86)
- 2003 Microsoft Windowsサーバーの、標準版(32ビットx86)
- Microsoft Windows Server 2003、Web Edition
- マイクロソフトWindows XP Professionalの
- マイクロソフトのWindows XP Home Edition
- Microsoft Windowsのサーバ2000
- Microsoft Windows 2000 アドバンスト サーバー
- Microsoft Windows 2000 Professional エディション
- Microsoft Windows NT サーバー 4.0 スタンダード エディション
- Microsoft Windows NT サーバー 4.0 エンタープライズ エディション
- Microsoft Windows NT ワークステーション 4.0 開発者版
Windows NT 4.0 Service Pack 6、Windows 2000、Windows XP、Windows 2003
まず、Windows 2003およびそれ以前のオペレーティングシステムについて説明します。 異なるプロトコルのオンとオフを切り替えるには、まずRegedt32.exeを使用して次のレジストリキーを見つける必要があります。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL
次に、利用可能なさまざまなサブキーと、変更を加える場所について説明します。 基本的に、以下のいずれかを有効にするには、DWORD値のデータを0xffffffffに設定するか、0x0に設定してその特定のサブキーを無効にします。
- SCHANNELプロトコル –デフォルトでネゴシエートされないプロトコル(システムなど)をシステムが使用できるようにするため TLS 1.1と TLS 1.2)、プロトコルキーの下の次のレジストリキーで、DisabledByDefault値のDWORD値データを0x0に変更します。
- SCHANNELCiphersサブキー – SCHANNELキーの下のCiphersレジストリキーは、DESやRC4などの対称アルゴリズムの使用を制御するために使用されます。 以下は、Ciphersキーの下の有効なレジストリキーです。
- SCHANNEL / Hashesサブキー – SCHANNELキーの下のHashesレジストリキーは、SHA-1やMD5などのハッシュアルゴリズムの使用を制御するために使用されます。 以下は、Hashesキーの下の有効なレジストリキーです。
- SCHANNEL / KeyExchangeAlgorithmsサブキー – SCHANNELキーの下のKeyExchangeAlgorithmsレジストリキーは、RSAなどのキー交換アルゴリズムの使用を制御するために使用されます。 以下は、KeyExchangeAlgorithmsキーの下の有効なレジストリキーです。
情報源: マイクロソフトサポート技術情報
注:Schannel.dllファイルがSCHANNELレジストリキーのすべての変更を認識するために、コンピュータを再起動する必要があります。
Windows 7、Windows Server 2008以降
新しいオペレーティングシステムでは、レジストリの設定が少し異なります。 以下は、特定のプロトコルをオンまたはオフにするために使用するキーです。 以下のいずれかを有効にするには、そのDWORD値のデータをdword:00000001に設定するか、dword:00000000に設定して、その特定のサブキーを無効にします。
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannel]
- 「EventLogging」= dword:00000001
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
- [HKEY_LOCAL_MACHINESYTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
- 「DisabledByDefault」= dword:00000001
Windows Server 2008は、次のプロトコルをサポートしています。
- SSL 2.0
- SSL 3.0
- TLS 1.0
Windows Server 2008 R2およびWindows 7は、次のプロトコルをサポートしています。
- SSL 2.0
- SSL 3.0
- TLS 1.0
- TLS 1.1
- TLS 1.2
情報源: マイクロソフトサポート技術情報
ケーススタディ:有効にする TLS 1.2 IIS 7.5、Server 2008 R2、Windows 7の暗号
デレクシーマンのブログで彼は思いついた 気の利いたPowerShellスクリプト 2010年に、 TLS 1.2暗号– SHA-256ハッシュによるAES-256暗号化。
Schannel.dllの暗号スイート
Schannel.dll内の暗号スイートまたは関連するその他の質問がある場合 SSL証明書 そして、あなたのウェブサイト訪問者のデータが常に安全であることを保証するために、私達に連絡することを躊躇しないでください。 私たちはあなたの質問に答え、正しい方向にあなたを向けるために最善を尽くします。