PSG(PCoIP 보안 게이트웨이)의 보안 프로토콜 및 암호 그룹 구성

레지스트리를 편집하면 PSG의 클라이언트 측 수신기에서 수락되는 보안 프로토콜 및 암호 그룹을 구성할 수 있습니다. 필요한 경우 이 작업은 RDS 호스트에서도 수행할 수 있습니다.

허용되는 프로토콜은 낮은 것에서 높은 것 순으로 TLS1.0, TLS1.1 및 TLS1.2입니다. SSLv3 이하와 같이 오래된 프로토콜은 허용되지 않습니다. 기본 설정은 tls1.2:tls1.1입니다.

참고: FIPS 모드에서는 TLS 1.2만 사용하도록 설정됩니다(tls1.2).

다음과 같은 암호 목록이 기본값입니다.

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"

참고: FIPS 모드에서는 GCM 암호 제품군만 사용하도록 설정됩니다( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256).

프로시저

연결 브로커 인스턴스 또는 RDS 호스트에서 레지스트리 편집기를 열고 HKLM\Software\Teradici\SecurityGateway로 이동합니다.
프로토콜의 목록을 지정하려면 REG_SZ 레지스트리 값 SSLProtocol을 추가하거나 편집합니다.
예를 들면 다음과 같습니다.
```
tls1.2:tls1.1
```
암호 그룹의 목록을 지정하려면 REG_SZ 레지스트리 값 SSLCipherList를 추가하거나 편집합니다.
예를 들면 다음과 같습니다.
```
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
```
REG_SZ 레지스트리 값 SSLDisableAES128을 추가하거나 편집하여 128비트 AES 암호화 키를 협상하는 암호 제품군을 필터링합니다. 정의되지 않은 경우 기본적으로 값은 필터가 적용되지 않음을 의미하는 0으로 설정됩니다. 이러한 암호 제품군을 제외하려면 레지스트리 값을 1로 설정하여 필터를 켭니다.
REG_SZ 레지스트리 값 SSLDisableRSACipher를 추가하거나 편집하여 키 교환에 RSA를 사용하는 암호 제품군을 필터링합니다. 정의되지 않은 경우 기본적으로 1로 설정됩니다. 이 경우 목록에서 이러한 암호 제품군이 필터링됩니다. 이를 포함해야 하는 경우 레지스트리 값을 0으로 설정하여 필터를 해제합니다.