(0) exportieren Drucken
Alle erweitern

Neues in TLS/SSL (Schannel SSP)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: März 2012

Betrifft: Windows 8, Windows Server 2012

In diesem Thema für IT-Spezialisten werden die Änderungen an der Funktionalität im Schannel Security Support Provider (SSP) beschrieben. Hierzu gehören TLS (Transport Layer Security), SSL (Secure Sockets Layer) und die DTLS-Authentifizierungsprotokolle (Datagram Transport Layer Security) für Windows Server 2012 und Windows 8.

Schannel ist ein Security Support Provider (SSP), der die standardmäßigen Internetauthentifizierungsprotokolle SSL, TLS und DTLS implementiert.

Die Security Support Provider-Schnittstelle (Security Support Provider Interface, SSPI) ist eine API, die von Windows-Systemen verwendet wird, um sicherheitsbezogene Funktionen wie Authentifizierungen durchzuführen. Die SSPI dienst als gemeinsame Schnittstelle für mehrere SSPs (Security Support Providers), einschließlich des Schannel SSP.

Weitere Informationen zur Microsoft-Implementierung von TLS und SSL im Schannel SSP finden Sie in der technischen Referenz zu TLS/SSL (2003).

Im Folgenden wird beschrieben, welche Änderungen an der Schannel SSP-Funktionalität zwischen Windows Server 2008 R2 und Windows 7 vorgenommen wurden.

Das SNI-Feature stellt eine Erweiterung der Protokolle SSL und TLS dar und ermöglicht die richtige Identifizierung des Servers, wenn zahlreiche virtuelle Images auf einem einzelnen Server ausgeführt werden. Um die Sicherheit der Kommunikation zwischen einem Clientcomputer und einem Server herzustellen, fordert der Clientcomputer ein digitales Zertifikat beim Server an. Nachdem der Server auf die Anforderung geantwortet und das Zertifikat gesendet hat, prüft der Clientcomputer es, verwendet es zur Verschlüsselung der Kommunikation und fährt mit dem normalen Austausch von Anforderungen und Antworten fort. Bei virtuellen Hostszenarien werden jedoch mehrere Domänen, von denen jede über ein eigenes Zertifikat verfügt, auf einem Server gehostet. In diesem Fall kann der Server nicht im Voraus wissen, welches Zertifikat er an den Clientcomputer senden muss. Dank SNI kann der Clientcomputer die Zieldomäne zu einem früheren Zeitpunkt im Protokoll informieren, damit der Server das richtige Zertifikat auswählen kann.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Die folgende zusätzliche Funktionalität:

  • Sie können mehrere SSL-Websites mit einer einzelnen IP- und Portkombination hosten.

  • Der Speicherbedarf wird reduziert, wenn mehrere SSL-Websites auf einem einzelnen Webserver gehostet werden.

  • Mehr Benutzer können gleichzeitig die Verbindung zu SSL-Websites herstellen.

  • Sie können Endbenutzern über die Benutzeroberfläche des Computers Hinweise zur Auswahl des richtigen Zertifikats während eines Clientauthentifizierungsprozesses geben.

Worin bestehen die Unterschiede?

Schannel SSP unterhält einen speicherinternen Cache der Clientverbindungsstatus, die für Clients zulässig sind. Dadurch erhalten Clientcomputer die Möglichkeit, die Verbindung mit dem SSL-Server bei Folgeaufrufen schnell wieder aufzubauen, ohne einen vollständigen SSL-Handshake durchführen zu müssen. Durch effiziente Verwendung der Zertifikatverwaltung können im Vergleich zu vorherigen Betriebssystemversionen mehr Websites auf einem einzelnen Computer unter Windows Server 2012 gehostet werden.

Die Zertifikatauswahl durch den Endbenutzer wurde verbessert, indem Ihnen die Möglichkeit gegeben wird, eine Liste der Namen möglicher Zertifikataussteller zu erstellen, die Endbenutzern Anhaltspunkte bei der Auswahl liefert. Diese Liste kann mit einer Gruppenrichtlinie konfiguriert werden.

Das DTLS-Protokoll in der Version 1.0 wurde Schannel Security Support Provider hinzugefügt. Das DTLS-Protokoll sorgt bei der Kommunikation mit Datagrammprotokollen für Datenschutz. Das Protokoll ermöglicht es Client/Server-Anwendungen, so zu kommunizieren, dass Lauschangriffe, Manipulationen oder Nachrichtenfälschung vermieden werden. Das DTLS-Protokoll basiert auf dem TLS-Protokoll (Transport Layer Security) und bietet gleichwertige Sicherheitsgarantien. Daher wird die Notwendigkeit der Verwendung von IPsec oder der Erstellung eines benutzerdefinierten Sicherheitsprotokolls für die Anwendungsschicht verringert.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Datagramme werden häufig beim Medienstreaming eingesetzt, beispielsweise bei Spielen oder sicheren Videokonferenzen. Indem Sie das DTLS-Protokoll dem Schannel-Provider hinzufügen, können Sie das gewohnte Windows SSPI-Modell zur Sicherung der Kommunikation zwischen Clientcomputern und -servern nutzen. Zum Konzept von DTLS gehört es, TLS so ähnlich wie möglich zu sein, um einerseits weitere Sicherheitsvorkehrungen zu minimieren und andererseits den Umfang der Code- und Infrastrukturwiederverwendung zu maximieren.

Worin bestehen die Unterschiede?

Anwendungen, die DTLS über UDP nutzen, können das SSPI-Modell in Windows Server 2012 und Windows 8 verwenden. Bestimmte Verschlüsselungssammlungen sind für die Konfiguration verfügbar, die der Konfiguration von TLS ähnelt. Schannel nutzt weiterhin den CNG-Kryptografieanbieter, der die in Windows Vista eingeführte FIPS 140-Zertifizierung nutzt.

Im Schannel SSP für Windows Server 2012 und Windows 8 gibt es keine veralteten Features oder Funktionen.

In der Tabelle sind weitere Ressourcen für die Bewertung von Schannel Security Support Provider, TLS und SSL aufgeführt.

 

Art der Inhalte Referenzen

Produktbewertung

Übersicht über TLS/SSL (Schannel SSP)

Communityressourcen

Sicherheitsmodell für die private Cloud – Wrapperfunktion

Verwandte Technologien

Active Directory-Zertifikatdienste: Übersicht

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft