Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokol SSL režimu jádra byl zaveden v systému Windows Server 2003 s aktualizací Service Pack 1 (SP1) s omezenou podporou. Pro počítače se systémem Windows Server 2003 s aktualizací SP1 musí být klíč registru nastavený tak, aby povolil protokol SSL jádra. Pro počítače se systémem Windows Server 2008 a Windows Vista je k dispozici plná podpora režimu jádra pro protokol SSL.
Následující části popisují podporu PROTOKOLU SSL v režimu jádra:
- Režimy jádra SSL v systému Windows Server 2003 s aktualizací SP1
- Protokol SSL režimu jádra v systémech Windows Server 2008 a Windows Vista
Režimy jádra SSL v systému Windows Server 2003 s aktualizací SP1
V systému Windows Server 2003 s aktualizací SP1 poskytuje rozhraní HTTP Server API možnost spuštění zabezpečení SSL v režimu jádra (výchozí je ssl uživatelského režimu). Funkce režimu jádra zlepšuje výkon PROTOKOLU SSL přesunutím operací šifrování a dešifrování do jádra, čímž se sníží počet přechodů mezi režimem jádra a uživatelským režimem.
Následující funkce nejsou podporovány při spuštění PROTOKOLU SSL v režimu jádra:
- Klientské certifikáty
- Šifry RC2
- Protokol PCT 1.0
- Změny konfigurace certifikátu serveru vyžadují restartování služby HTTP.
- Podpora hromadného šifrování a snižování zátěže
Konfigurace ssl režimu jádra
Protokol SSL režimu jádra je řízen EnableKernelSSL hodnotou registru a je povolen nastavením hodnoty 1. Povolení protokolu SSL režimu jádra zakáže ssl uživatelského režimu a vyžaduje, aby se služba HTTP restartovala. Klíč registru EnableKernelSSL se nachází na adrese:
HKEY_LOCAL_MACHINE\\CurrentControlSet\Services\parametry HTTP\\EnableKernelSSL
Protokol SSL režimu jádra v systémech Windows Server 2008 a Windows Vista
Pro počítače se systémem Windows Server 2008 a Windows Vista má rozhraní HTTP Server API vylepšené funkce SSL.
Podporují se následující nové funkce:
- Úplná podpora klientských certifikátů v režimu jádra SSL
- Protokol SSL režimu jádra pro všechny transakce HTTP SSL
- Podpora hromadného šifrování a snižování zátěže
- Protokol PCT 1.0
- Šifry RC2
- Zvýšení výkonu oproti ssl v uživatelském režimu
Konfigurace
Protokol SSL režimu jádra je konfigurovatelný prostřednictvím dvou hodnot registru pod klíčem parametrů HTTP umístěným v:
HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
HTTP
Parameters
EnableSslCloseNotify
DisableSslCertChainCacheOnlyUrlRetrieval
Uživatel musí mít oprávnění správce nebo místního systému k úpravě hodnot registru a zobrazení nebo úpravě souborů protokolu a složky, která je obsahuje.
Informace o konfiguraci v hodnotách registru se načtou při spuštění ovladače rozhraní API serveru HTTP. V důsledku toho je nutné, aby se při změně nastavení ovladač zastavil a restartoval, aby se přečetly nové hodnoty. Toho lze dosáhnout pomocí následujících příkazů konzoly:
net stop http
net start http
Následující tabulka uvádí hodnoty konfigurace registru.
| Hodnota registru | Popis |
|---|---|
| EnableKernelSSL |
Windows Server 2008 a Windows Vista: Tato hodnota registru je zastaralá. |
| EnableSslCloseNotify | Hodnota DWORD nastavená na hodnotu TRUE pro povolení oznámení o zavření nebo FALSE zakázat požadavek na zavření oznámení. Oznámení o zavření je ve výchozím nastavení zakázané. Po povolení oznámení o zavření protokolu TCP je klientská aplikace nutná k odeslání zprávy s oznámením o zavření protokolu TCP. Rozhraní API serveru HTTP odešle také oznámení o zavření připojení. Pokud je povoleno upozorňovat na zavření a klient odešle zprávu s oznámením o zavření, rozhraní API serveru HTTP znovu použije relaci SSL pro budoucí připojení k klientovi. Pokud klient neodesílá oznámení o zavření, rozhraní API serveru HTTP nebude u budoucích připojení znovu používat stejnou relaci SSL. Proto se na novém připojení aktivuje úplné handshake SSL, čímž se sníží výkon. Poznámka: Povolení oznámení o zavření pomáhá zmírnit útoky na zkrácení požadavků a odpovědí HTTPS. Když je upozornění na zavření zakázané, rozhraní API serveru HTTP znovu použije relaci SSL pro budoucí připojení. |
| DisableSslCertChainCacheOnlyUrlRetrieval | Hodnota DWORD nastavená na hodnotu TRUE, která umožňuje rozhraní API serveru HTTP načíst zprostředkující certifikáty z internetu nebo místního úložiště, nebo FALSE k načtení zprostředkujících certifikátů pouze z místního úložiště. Výchozí hodnota registru je FALSE. Ve výchozím nastavení rozhraní API serveru HTTP sestaví řetěz klientských certifikátů načtením zprostředkujících certifikátů z úložiště zprostředkující certifikační autority v rámci účtu místního počítače. Nastavení této hodnoty na TRUE umožňuje rozhraní API serveru HTTP načíst zprostředkující certifikáty nejen z místního úložiště, ale také zprostředkující certifikační autority na internetu. |