Windows 11和Windows 2022 TLS/SSL(Schannel SSP)的加密套件

一、TLS/SSL(Schannel SSP)加密套件简介

TLS/SSL(Schannel SSP)加密套件是一组密码编译演算法。TLS/SSL 通讯协定的安全通道SSP 实作会使用加密套件中的演算法来建立金钥和加密资讯。加密套件会为下列每个工作指定一种演算法：

1. 密钥交换 密钥交换演算法可 保护建立共用金钥所需的资讯。这些演算法是非对称的(公开金钥演算法，) 并针对相对少量的资料执行良好。
2. 大量加密 大量加密演算法会加密用户端与伺服器之间交换的讯息。这些演算法是 对称 的，而且适用于大量资料。
3. 讯息验证 讯息验证演算法会产生讯息杂凑和签名，以确保讯息的完整性。
   在旧版Windows中，TLS 加密套件和椭圆曲线是使用单一字串来设定：
   

二、Windows 支持的TLS/SSL协议

Windows 2022和Windows 11开始支持TLS 1.3 客户端和服务器。仍然向下兼容支持TLS 1.0 客户端和服务器。DTLS是从Windows 10版本 1607/Windows Server 2016 Standard 开始支持DTLS 1.2客户端和服务器。

不同的Windows版本支援不同的TLS 加密套件和优先顺序。本文将会比较windows 2022和windows 11加密套件，基本上是一致的：

Microsoft 安全通道还支援下列加密套件，但预设不会启用：

预设会启用下列PSK 加密套件，而且预设会使用Microsoft 安全通道提供者，依此优先顺序执行：

以上就是在工作中整理出的Windows 加密套件的一些资料。

三、Windows关闭低版本TLS协议

如需要单独关闭TLS 1.0和TLS 1.1，可以修改注册表设定：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

修改注册表后，需要重启生效。以上就是工作中遇到的TLS相关的整理汇总的资料，供大家参考。