SSL в режиме ядра

SSL в режиме ядра в Windows Server 2003 с пакетом обновления 1 (SP1) с ограниченной поддержкой. Для компьютеров под управлением Windows Server 2003 с пакетом обновления 1 (SP1) необходимо задать для включения SSL ядра. Для компьютеров, работающих в Windows Server 2008 и Windows Vista, предоставляется полная поддержка режима ядра для SSL.

В следующих разделах описана поддержка SSL в режиме ядра:

  • SSL режимов ядра в Windows Server 2003 с пакетом обновления 1 (SP1)
  • SSL в режиме ядра в Windows Server 2008 и Windows Vista

SSL режимов ядра в Windows Server 2003 с пакетом обновления 1 (SP1)

В Windows Server 2003 с пакетом обновления 1 (SP1) API HTTP-сервера предоставляет возможность выполнения безопасности SSL в режиме ядра (SSL в пользовательском режиме — по умолчанию). Функция режима ядра повышает производительность SSL путем перемещения операций шифрования и расшифровки в ядро, что снижает количество переходов между режимом ядра и пользовательским режимом.

Следующие функции не поддерживаются при запуске SSL в режиме ядра:

  • Сертификаты клиента
  • Шифры RC2
  • Протокол РСТ 1.0
  • Изменение конфигурации сертификата сервера требует перезапуска службы HTTP
  • Поддержка массового шифрования и разгрузки

Настройка SSL режима ядра

Ssl режима ядра управляется значением EnableKernelSSL реестра и включается путем установки значения 1. Включение SSL в режиме ядра отключит SSL в пользовательском режиме и требует, чтобы служба HTTP была перезапущена для принятия в силу. В разделе реестра EnableKernelSSL находится следующий раздел реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\параметры HTTP\\EnableKernelSSL

SSL в режиме ядра в Windows Server 2008 и Windows Vista

Для компьютеров, работающих в Windows Server 2008 и Windows Vista, API HTTP-сервера включает расширенные функции SSL.

Поддерживаются следующие новые функции:

  • Полная поддержка сертификата клиента в SSL в режиме ядра
  • SSL в режиме ядра для всех транзакций SSL HTTP
  • Поддержка массового шифрования и разгрузки
  • Протокол РСТ 1.0
  • Шифры RC2
  • Повышение производительности по протоколу SSL в пользовательском режиме

Конфигурация

SSL режима ядра можно настроить с помощью двух значений реестра в разделе параметров HTTP, расположенном по адресу:

HKEY_LOCAL_MACHINE
   System
      CurrentControlSet
         Services
            HTTP
               Parameters
                  EnableSslCloseNotify
                  DisableSslCertChainCacheOnlyUrlRetrieval

Пользователь должен иметь права администратора или локальной системы для изменения значений реестра и просмотра или изменения файлов журнала и папки, содержащей их.

Сведения о конфигурации в значениях реестра считываются при запуске драйвера API HTTP Server. В результате, если параметры изменяются, драйвер должен быть остановлен и перезапущен для чтения новых значений. Это можно сделать с помощью следующих команд консоли:

net stop http

net start http

В следующей таблице перечислены значения конфигурации реестра.

Значение реестра Описание
EnableKernelSSL Windows Server 2008 и Windows Vista: это значение реестра устарело.
EnableSslCloseNotify Значение DWORD, которое имеет значение TRUE, чтобы включить уведомление о закрытии или FALSE, чтобы отключить требование о закрытии уведомления. По умолчанию уведомление о закрытии отключено.
Если включено уведомление о закрытии, клиентское приложение необходимо отправить сообщение о закрытии уведомления перед закрытием TCP-подключений. API HTTP-сервера также отправляет уведомление о закрытии перед закрытием подключения.
Если включено уведомление о закрытии, и клиент отправляет сообщение о закрытии, API HTTP-сервера будет повторно использовать сеанс SSL для будущих подключений к клиенту. Если клиент не отправляет уведомление о закрытии, API HTTP-сервера не будет повторно использовать тот же сеанс SSL для будущих подключений. Таким образом, полное подтверждение SSL активируется при новом подключении, тем самым снижая производительность.
Примечание. Включение близкого уведомления помогает устранить атаки усечения запросов и ответов HTTPS.
При отключении уведомления о закрытии API HTTP-сервера повторно использует сеанс SSL для будущих подключений.
DisableSslCertChainCacheOnlyUrlRetrieval Значение DWORD, которое имеет значение TRUE для получения промежуточных сертификатов из Интернета или локального хранилища или false только для получения промежуточных сертификатов из локального хранилища. Значение реестра по умолчанию — FALSE.
По умолчанию API HTTP-сервера создает цепочку сертификатов клиента, извлекая промежуточные сертификаты из хранилища промежуточного центра сертификации под учетной записью локального компьютера. При задании этого значения значение true API HTTP-сервера позволяет получать промежуточные сертификаты не только из локального хранилища, но и из промежуточного центра сертификации в Интернете.