SSL režimu jádra

Protokol SSL režimu jádra byl zaveden v systému Windows Server 2003 s aktualizací Service Pack 1 (SP1) s omezenou podporou. Pro počítače se systémem Windows Server 2003 s aktualizací SP1 musí být klíč registru nastavený tak, aby povolil protokol SSL jádra. Pro počítače se systémem Windows Server 2008 a Windows Vista je k dispozici plná podpora režimu jádra pro protokol SSL.

Následující části popisují podporu PROTOKOLU SSL v režimu jádra:

  • Režimy jádra SSL v systému Windows Server 2003 s aktualizací SP1
  • Protokol SSL režimu jádra v systémech Windows Server 2008 a Windows Vista

Režimy jádra SSL v systému Windows Server 2003 s aktualizací SP1

V systému Windows Server 2003 s aktualizací SP1 poskytuje rozhraní HTTP Server API možnost spuštění zabezpečení SSL v režimu jádra (výchozí je ssl uživatelského režimu). Funkce režimu jádra zlepšuje výkon PROTOKOLU SSL přesunutím operací šifrování a dešifrování do jádra, čímž se sníží počet přechodů mezi režimem jádra a uživatelským režimem.

Následující funkce nejsou podporovány při spuštění PROTOKOLU SSL v režimu jádra:

  • Klientské certifikáty
  • Šifry RC2
  • Protokol PCT 1.0
  • Změny konfigurace certifikátu serveru vyžadují restartování služby HTTP.
  • Podpora hromadného šifrování a snižování zátěže

Konfigurace ssl režimu jádra

Protokol SSL režimu jádra je řízen EnableKernelSSL hodnotou registru a je povolen nastavením hodnoty 1. Povolení protokolu SSL režimu jádra zakáže ssl uživatelského režimu a vyžaduje, aby se služba HTTP restartovala. Klíč registru EnableKernelSSL se nachází na adrese:

HKEY_LOCAL_MACHINE\\CurrentControlSet\Services\parametry HTTP\\EnableKernelSSL

Protokol SSL režimu jádra v systémech Windows Server 2008 a Windows Vista

Pro počítače se systémem Windows Server 2008 a Windows Vista má rozhraní HTTP Server API vylepšené funkce SSL.

Podporují se následující nové funkce:

  • Úplná podpora klientských certifikátů v režimu jádra SSL
  • Protokol SSL režimu jádra pro všechny transakce HTTP SSL
  • Podpora hromadného šifrování a snižování zátěže
  • Protokol PCT 1.0
  • Šifry RC2
  • Zvýšení výkonu oproti ssl v uživatelském režimu

Konfigurace

Protokol SSL režimu jádra je konfigurovatelný prostřednictvím dvou hodnot registru pod klíčem parametrů HTTP umístěným v:

HKEY_LOCAL_MACHINE
   System
      CurrentControlSet
         Services
            HTTP
               Parameters
                  EnableSslCloseNotify
                  DisableSslCertChainCacheOnlyUrlRetrieval

Uživatel musí mít oprávnění správce nebo místního systému k úpravě hodnot registru a zobrazení nebo úpravě souborů protokolu a složky, která je obsahuje.

Informace o konfiguraci v hodnotách registru se načtou při spuštění ovladače rozhraní API serveru HTTP. V důsledku toho je nutné, aby se při změně nastavení ovladač zastavil a restartoval, aby se přečetly nové hodnoty. Toho lze dosáhnout pomocí následujících příkazů konzoly:

net stop http

net start http

Následující tabulka uvádí hodnoty konfigurace registru.

Hodnota registru Popis
EnableKernelSSL Windows Server 2008 a Windows Vista: Tato hodnota registru je zastaralá.
EnableSslCloseNotify Hodnota DWORD nastavená na hodnotu TRUE pro povolení oznámení o zavření nebo FALSE zakázat požadavek na zavření oznámení. Oznámení o zavření je ve výchozím nastavení zakázané.
Po povolení oznámení o zavření protokolu TCP je klientská aplikace nutná k odeslání zprávy s oznámením o zavření protokolu TCP. Rozhraní API serveru HTTP odešle také oznámení o zavření připojení.
Pokud je povoleno upozorňovat na zavření a klient odešle zprávu s oznámením o zavření, rozhraní API serveru HTTP znovu použije relaci SSL pro budoucí připojení k klientovi. Pokud klient neodesílá oznámení o zavření, rozhraní API serveru HTTP nebude u budoucích připojení znovu používat stejnou relaci SSL. Proto se na novém připojení aktivuje úplné handshake SSL, čímž se sníží výkon.
Poznámka: Povolení oznámení o zavření pomáhá zmírnit útoky na zkrácení požadavků a odpovědí HTTPS.
Když je upozornění na zavření zakázané, rozhraní API serveru HTTP znovu použije relaci SSL pro budoucí připojení.
DisableSslCertChainCacheOnlyUrlRetrieval Hodnota DWORD nastavená na hodnotu TRUE, která umožňuje rozhraní API serveru HTTP načíst zprostředkující certifikáty z internetu nebo místního úložiště, nebo FALSE k načtení zprostředkujících certifikátů pouze z místního úložiště. Výchozí hodnota registru je FALSE.
Ve výchozím nastavení rozhraní API serveru HTTP sestaví řetěz klientských certifikátů načtením zprostředkujících certifikátů z úložiště zprostředkující certifikační autority v rámci účtu místního počítače. Nastavení této hodnoty na TRUE umožňuje rozhraní API serveru HTTP načíst zprostředkující certifikáty nejen z místního úložiště, ale také zprostředkující certifikační autority na internetu.