您可以通过编辑注册表来配置 PSG 的客户端侦听器接受的安全协议和密码套件。如果需要,也可以在 RDS 主机上执行此任务。

允许使用的协议为 tls1.0、tls1.1 和 tls1.2(从低到高排序)。绝不允许使用 SSLv3 和更低版本的旧协议。默认设置为 tls1.2:tls1.1
注: 在 FIPS 模式下,仅 TLS 1.2 (tls1.2) 处于启用状态。

以下是默认密码列表: 

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"
注: 在 FIPS 模式下,仅 GCM 密码套件处于启用状态 ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

过程

  1. 在连接代理实例或 RDS 主机上,打开注册表编辑器,然后导航到 HKLM\Software\Teradici\SecurityGateway
  2. 添加或编辑 REG_SZ 注册表值 SSLProtocol 以指定协议列表。
    例如, 
    tls1.2:tls1.1
  3. 添加或编辑 REG_SZ 注册表值 SSLCipherList 以指定密码套件列表。
    例如, 
    ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  4. 添加或编辑 REG_SZ 注册表值 SSLDisableAES128,以筛选用于协商 128 位 AES 加密密钥的密码套件。如果未定义,则该值将默认为 0,这意味着将不会应用筛选器。要排除这些密码套件,请通过将该注册表值设置为 1 来启用筛选器。
  5. 添加或编辑 REG_SZ 注册表值 SSLDisableRSACipher,以筛选将使用 RSA 进行密钥交换的密码套件。如果未定义,则该值将默认为 1,这意味着将从列表中筛选出这些密码套件。如果需要包含这些密码套件,请通过将该注册表值设置为 0 来关闭筛选器。