Vous pouvez configurer les protocoles de sécurité et les suites de chiffrement que l'écouteur côté client de PSG accepte en modifiant le registre. Si nécessaire, cette tâche peut également être exécutée sur un hôte RDS.

Les protocoles autorisés sont, du plus faible au plus élevé, tls1.0, tls1.1 et tls1.2. Les protocoles plus anciens, tels que SSLv3 et version antérieure, ne sont jamais autorisés. Le paramètre par défaut est tls1.2:tls1.1.
Note : En mode FIPS, seul TLS 1.2 est activé (TLS 1.2).

La liste de chiffrements suivante est celle par défaut :

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"
Note : En mode FIPS, seules les suites de chiffrement GCM sont activées ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256).

Procédure

  1. Sur l'instance du routeur de connexions ou sur l'hôte RDS, ouvrez un éditeur de registre et accédez à HKLM\Software\Teradici\SecurityGateway.
  2. Ajoutez ou modifiez la valeur du registre REG_SZ SSLProtocol pour spécifier une liste de protocoles.
    Par exemple,
    tls1.2:tls1.1
  3. Ajoutez ou modifiez la valeur du registre REG_SZ SSLCipherList pour spécifier une liste de suites de chiffrement.
    Par exemple,
    ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  4. Ajoutez ou modifiez la valeur de Registre REG_SZ SSLDisableAES128 pour filtrer les suites de chiffrement qui négocient une clé de chiffrement AES 128 bits. Si elle n'est pas définie, la valeur par défaut est de 0. De cette façon, le filtre n'est pas appliqué. Pour exclure ces suites de chiffrement, activez le filtre en définissant la valeur de Registre sur 1.
  5. Ajoutez ou modifiez la valeur de Registre REG_SZ SSLDisableRSACipher pour filtrer les suites de chiffrement qui utilisent RSA pour l'échange de clés. Si elle n'est pas définie, la valeur par défaut est de 1. De cette façon, ces suites de chiffrement sont filtrées de la liste. S'il est nécessaire de les inclure, désactivez le filtre en définissant la valeur de Registre sur 0.