トランスポート層セキュリティ (TLS) を管理する

TLS 暗号スイートの順序を構成する

暗号スイート は、暗号アルゴリズムのセットです。 Windows バージョンごとに、異なる TLS 暗号スイートと優先順位がサポートされます。 異なるバージョンの Microsoft Schannel プロバイダーでサポートされている既定の順序については。「TLS/SSL (Schannel SSP) の暗号スイート」を参照してください。

TLS 暗号スイートの順序の変更は、次の起動時に有効になります。 再起動またはシャットダウンするまで、既存の順序が有効になります。

グループ ポリシーを使用して TLS 暗号スイートの順序を構成する

SSL 暗号スイートの順序グループ ポリシー設定を使用して、既定の TLS 暗号スイートの順序を構成できます。

1. グループ ポリシー管理コンソールから、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL 構成設定] の順に移動します。

2. [SSL 暗号スイートの順序] をダブルクリックし、[有効] オプションを選択します。

3. [SSL 暗号スイート] ボックスを右クリックし、ポップアップ メニューから [すべて選択] を選択します。

   

4. 選択したテキストを右クリックし、ポップアップ メニューから [コピー] を選択します。

5. テキストをテキスト エディター (notepad.exe など) に貼り付け、新しい暗号の順序の一覧で更新します。

   注

   TLS 暗号スイートの順序の一覧は、厳密なコンマ区切り形式である必要があります。 各暗号スイート文字列は、右側のコンマで終わります。 さらに、暗号スイートの一覧は 1,023 文字に制限されています。

6. SSL 暗号スイートの一覧を、更新された順序付きリストに置き換えます。

7. [ OK] または [ 適用] を選択します。

MDM を使用して TLS 暗号スイートの順序を構成する

Windows 10 ポリシー CSP では、TLS 暗号スイートの構成がサポートされています。 詳細については、「 Cryptography/TLSCipherSuites」を参照してください。

TLS PowerShell コマンドレットを使用して TLS 暗号スイートの順序を構成する

TLS PowerShell モジュールでは、TLS 暗号スイートの順序指定済みリストの取得、暗号スイートの無効化、暗号スイートの有効化がサポートされています。 詳細については、 TLS モジュールを参照してください。

TLS ECC 曲線の順序を構成する

Windows 10 および Windows Server 2016 以降では、ECC 曲線の順序を暗号スイートの順序とは無関係に構成できます。 TLS 暗号スイートの順序の一覧に楕円曲線サフィックスがある場合、有効にすると、新しい楕円曲線の優先順位によってオーバーライドされます。 これにより、組織はグループ ポリシー オブジェクトを使用して、同じ暗号スイートの順序で異なるバージョンの Windows Server を構成できます。

CertUtil を使用して ECC 曲線を管理する

Windows 10 および Windows Server 2016 以降では、Windows はコマンド ライン ユーティリティ certutil.exeを使用して省略曲線パラメーター管理を提供します。 楕円曲線パラメーターは、bcryptprimitives.dll に格納されています。 管理者は、certutil.exeを使用して、Windows Server との間で曲線パラメーターを追加および削除できます。 certutil.exe では、曲線パラメーターをレジストリに安全に格納します。 Windows Server では、曲線に関連付けられた名前で曲線パラメーターの使用を開始できます。

登録済みの曲線を表示する

次の certutil.exe コマンドを使用して、現在のコンピューターに登録されている曲線の一覧を表示します。

certutil.exe –displayEccCurve

新しい曲線を追加する

組織では、信頼された他のエンティティによって調査された曲線パラメーターを作成して使用できます。 管理者がこれらの新しい曲線を Windows で使用したい場合は、曲線を追加する必要があります。 次の certutil.exe コマンドを使用して、現在のコンピューターに曲線を追加します。

Certutil —addEccCurue curveName curveParameters [curveOID] [curveType]

• curveName 引数は、曲線パラメーターが追加された曲線の名前を表します。
• curveParameters 引数は、追加する曲線パラメーターを含む証明書のファイル名を表します。
• curveOid 引数は、追加する曲線パラメーターの OID を含む証明書のファイル名を表します (省略可能)。
• curveType 引数は、EC 名前付き曲線レジストリの名前付き曲線の 10 進値を表します (省略可能)。

以前に追加した曲線を削除する

管理者は、次の certutil.exe コマンドを使用して、以前に追加した曲線を削除できます。

certutil.exe –deleteEccCurve curveName

管理者がコンピューターから曲線を削除した後、Windows では名前付き曲線を使用できません。

グループ ポリシーを使用して ECC 曲線を管理する

組織は、グループ ポリシーとグループ ポリシーの基本設定のレジストリ拡張を使用して、ドメインに参加しているエンタープライズ コンピューターに曲線パラメーターを配布できます。 曲線を配布するプロセスは次のとおりです。

1. certutil.exe を使用して、新しい登録済みの名前付き曲線を追加します。

2. その同じコンピューターから、グループ ポリシー管理コンソール (GPMC) を開き、新しいグループ ポリシー オブジェクトを作成して編集します。

3. [コンピューターの構成]、[基本設定]、[Windows 設定]、[レジストリ] の順に移動します。 [レジストリ] を右クリックします。 [新規作成] をポイントし、[コレクション項目] を選択します。 曲線の名前と一致するコレクション項目の名前を変更します。 レジストリ キーごとに、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParametersの下にレジストリ コレクション項目を 1 つ作成します。

4. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Cryptography\ECCParameters[curveName] の下にリストされているレジストリ値ごとに、新しいレジストリ項目を追加して、新しく作成されたグループ ポリシー基本設定のレジストリ コレクションを構成します。

5. 新しい名前付き曲線を受け取るグループ ポリシー レジストリ コレクション項目コンピューターを含むグループ ポリシー オブジェクトを展開します。

   

TLS ECC の順序を管理する

Windows 10 および Windows Server 2016 以降では、ECC 曲線順序グループ ポリシー設定を使用して、既定の TLS ECC 曲線順序を構成できます。 組織は、独自の信頼された名前付き曲線をオペレーティング システムに追加し、それらの名前付き曲線を曲線優先度グループ ポリシー設定に追加して、将来の TLS ハンドシェイクで使用されるようにすることができます。 新しい曲線の優先順位の一覧は、ポリシー設定の受け取り後、次回の再起動時にアクティブになります。