レジストリを編集すると、PSG のクライアントサイド リスナーによって承認されるセキュリティ プロトコルと暗号化スイートを設定できます。必要な場合、このタスクを RDS ホスト上で実行することもできます。

許可されるプロトコルは、低いものから高いものの順序で、tls1.0、tls1.1、tls1.2 です。SSLv3 以前のような古いプロトコルは許可されません。デフォルトの設定は tls1.2:tls1.1 です。
注: FIPS モードでは、TLS 1.2 のみが有効です (tls 1.2)。

デフォルトの暗号化方式リストを次に示します。 

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"
注: FIPS モードの場合、GCM 暗号化スイートのみが有効になります ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

手順

  1. コネクション ブローカー インスタンスまたは RDS ホストで、レジストリ エディタを開き、HKLM\Software\Teradici\SecurityGateway に移動します。
  2. REG_SZ レジストリ値 SSLProtocol を追加または編集して、プロトコルのリストを指定します。
    次に例を示します。 
    tls1.2:tls1.1
  3. REG_SZ レジストリ値 SSLCipherList を追加または編集して、暗号化スイートのリストを指定します。
    次に例を示します。 
    ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  4. 128 ビット AES 暗号化キーをネゴシエートする暗号スイートをフィルタリングするには、REG_SZ レジストリ値 SSLDisableAES128 を追加または編集します。値が定義されていない場合、デフォルトの値 [0] が使用され、フィルタは適用されません。これらの暗号化スイートを除外するには、レジストリ値を [1] に設定して、フィルタを有効にします。
  5. キー交換に RSA を使用する暗号スイートをフィルタリングするには、REG_SZ レジストリ値 SSLDisableRSACipher を追加または編集します。値が定義されていない場合、デフォルトの値 [1] が使用され、これらの暗号化スイートがリストから除外されます。これらを含める必要がある場合は、レジストリ値を [0] に設定して、フィルタを無効にします。