Cách bật TLS 1.1, 1.2 trong IIS 7.5

26

Chúng tôi muốn hỗ trợ các trình duyệt web sử dụng TLS 1.1 và 1.2, được Microsoft triển khai rõ ràng, nhưng bị tắt theo mặc định.

Vì vậy, tôi đã tìm kiếm trên Google và phát hiện ra một số trang mà mọi người dường như đang theo dõi:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Tuy nhiên! Nó dường như không làm việc cho tôi. Tôi đã đặt cả hai DWORD cho DisconnectByDefault và Đã bật cho TLS 1.1 và 1.2. Tôi có thể xác nhận khách hàng của mình đang cố gắng giao tiếp với TLS 1.2, nhưng máy chủ chỉ phản hồi với 1.0. Tôi đã khởi động lại IIS, nhưng nó không thay đổi tình hình.

Microsoft chỉ ra: "CẢNH BÁO: Giá trị DisconnectByDefault trong các khóa đăng ký theo khóa Giao thức không được ưu tiên so với giá trị grbitEnablesProt Protocol được xác định trong cấu trúc SCHANNEL_CRED chứa dữ liệu cho thông tin xác thực Schannel."

Chà, điều đó rất mơ hồ với tôi. Tôi không thể tìm thấy bất cứ nơi nào mà SCHANNEL_CRED được xác định hoặc đặt, tất cả tôi có thể xác định rằng đó là cấu trúc được xác định trong thư viện Microsoft. Đó là dự đoán duy nhất của tôi về lý do tại sao điều này không hoạt động, nhưng tôi không thể tìm thấy đủ thông tin về nó để xác định xem đó có phải là vấn đề thực sự hay không.

windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 
Sam Ruither
nguồn
2
Tôi ghét hỏi rõ ràng, nhưng bạn đã khởi động lại máy chủ sau khi thay đổi sổ đăng ký?
Mã hóa Gorilla
Hừm. Trong Trình quản lý IIS, tôi đã nhấp vào "Khởi động lại" trong 'Tác vụ'.
Sam Ruither
Như @ShaneMadden đã chỉ ra, những thay đổi này sâu hơn IIS, vì vậy bạn cần khởi động lại hệ thống để đảm bảo tất cả các thay đổi được áp dụng.
Mã hóa Gorilla

Câu trả lời:

48

Khởi động lại. Thay đổi cài đặt Schannel không có hiệu lực cho đến khi hệ thống được khởi động lại.

Shane Madden
nguồn
7

Cách dễ nhất để thực hiện các thay đổi trong giao thức và mật mã Microsoft SChannel (bao gồm cả thứ tự mật mã) là sử dụng IIS Crypto , một công cụ hoàn toàn miễn phí có thể được tải xuống mà không cần bất kỳ yêu cầu đăng ký phiền phức nào.

Công cụ này thao tác các khóa đăng ký dưới vỏ bọc tuy nhiên nó hoạt động theo cách được kiểm soát, chứng minh và an toàn. Chúng tôi sử dụng nó thường xuyên.

Điều đáng chú ý là nó có thể giúp ích trong các tình huống tự động hóa vì nó có phiên bản dòng lệnh bên cạnh phiên bản GUI.

Ngoài ra còn có một blog thảo luận về một số thay đổi và lý do tại sao chúng đã được thực hiện. Công cụ có xu hướng được cập nhật khi có vấn đề về SSL.

CarlR
nguồn
0

Kích hoạt TLS 1.1 và 1.2 yêu cầu khởi động lại. Vô hiệu hóa RC4 và DH là trực tiếp mà không cần khởi động lại máy chủ hoặc dịch vụ.

Nếu tôi nhớ chính xác, vô hiệu hóa SSLv2 và SSLv3 cũng có hiệu quả ngay lập tức.

người dùng3193469
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.