Sie können die Sicherheitsprotokolle und Verschlüsselungs-Suites konfigurieren, die der Listener auf der PSG-Client-Seite akzeptiert, indem Sie die Registrierung bearbeiten. Diese Aufgabe kann, falls erforderlich, auch auf einem RDS-Host durchgeführt werden.
Die zulässigen Protokolle sind (mit steigender Sicherheit) TLS 1.0, TLS 1.1 und TLS 1.2. Ältere Protokolle wie z. B. SSLv3 und frühere Versionen sind niemals zulässig. Die Standardeinstellung lautet
tls1.2:tls1.1
.
Hinweis: Im FIPS-Modus ist nur TLS 1.2 aktiviert (tls1.2).
Die folgende Verschlüsselungsliste wird standardmäßig verwendet:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"
Hinweis: Im FIPS-Modus sind nur GCM-Verschlüsselungs-Suites aktiviert (
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
).
Prozedur
- Öffnen Sie auf der Verbindungs-Broker-Instanz oder dem RDS-Host einen Registrierungs-Editor und navigieren Sie zu HKLM\Software\Teradici\SecurityGateway.
- Fügen Sie den REG_SZ-Registrierungswert
SSLProtocol
hinzu oder bearbeiten Sie diesen, um eine Liste mit Protokollen anzugeben.
- Fügen Sie den REG_SZ-Registrierungswert
SSLCipherList
hinzu oder bearbeiten Sie diesen, um eine Liste mit Verschlüsselungs-Suites anzugeben.
Beispiel:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
- Fügen Sie den REG_SZ-Registrierungswert
SSLDisableAES128
hinzu oder bearbeiten Sie ihn, um Verschlüsselungs-Suites zu filtern, die einen 128-Bit-AES-Verschlüsselungsschlüssel aushandeln. Ist der Wert nicht definiert, wird er standardmäßig auf 0 festgelegt, was bedeutet, dass der Filter nicht angewendet wird. Um diese Verschlüsselungs-Suites auszuschließen, schalten Sie den Filter ein, indem Sie den Registrierungswert auf 1 setzen.
- Fügen Sie den REG_SZ-Registrierungswert
SSLDisableRSACipher
hinzu oder bearbeiten Sie ihn, um Verschlüsselungs-Suites zu filtern, die RSA für den Schlüsselaustausch verwenden. Ist der Wert nicht definiert, wird er standardmäßig auf 1 festgelegt, was bedeutet, dass diese Verschlüsselungs-Suites aus der Liste gefiltert werden. Wenn es notwendig ist, sie einzubeziehen, schalten Sie den Filter aus, indem Sie den Registrierungswert auf 0 setzen.