您可以透過編輯登錄,以設定 PSG 的用戶端接聽程式可接受的安全性通訊協定及加密套件。如有需要,也可在 RDS 主機上執行此工作。

允許的通訊協定如下 (從低到高):TLS 1.0、TLS 1.1 和 TLS 1.2。絕不允許較舊的通訊協定,例如 SSLv3 和更早的通訊協定。預設設定為 tls1.2:tls1.1
備註: 在 FIPS 模式中,僅會啟用 TLS 1.2 (tls1.2)。

下列是預設的加密清單: 

ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:@STRENGTH"
備註: 在 FIPS 模式中,僅會啟用 GCM 加密套件 ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

程序

  1. 在連線代理執行個體或 RDS 主機上,開啟登錄編輯程式,並導覽至 HKLM\Software\Teradici\SecurityGateway
  2. 新增或編輯 REG_SZ 登錄值 SSLProtocol 以指定通訊協定清單。
    例如, 
    tls1.2:tls1.1
  3. 新增或編輯 REG_SZ 登錄值 SSLCipherList 以指定加密套件清單。
    例如, 
    ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
  4. 新增或編輯 REG_SZ 登錄值 SSLDisableAES128,以篩選交涉 128 位元 AES 加密金鑰的加密套件。如果未定義,該值會預設為 0,表示將不會套用篩選器。若要排除這些加密套件,請將登錄值設定為 1 來開啟篩選器。
  5. 新增或編輯 REG_SZ 登錄值 SSLDisableRSACipher,以篩選使用 RSA 進行金鑰交換的加密套件。如果未定義,該值會預設為 1,表示將從清單篩選這些加密套件。如果需要包含它們,請將登錄值設定為 0 來關閉篩選器。