วิธีเปิดใช้งาน TLS 1.1, 1.2 ใน IIS 7.5

26

เราต้องการสนับสนุนเว็บเบราว์เซอร์ที่ใช้ TLS 1.1 และ 1.2 ซึ่งมีการใช้งานโดย Microsoft แต่ถูกปิดใช้งานตามค่าเริ่มต้น

ดังนั้นฉันจึงไปค้นหาบน Google และค้นพบบางหน้าทุกคนที่ดูเหมือนจะติดตาม

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

แต่! ดูเหมือนจะใช้งานไม่ได้สำหรับฉัน ฉันได้ตั้งค่าทั้งสองค่า DWORD สำหรับ DisabledByDefault และ Enabled สำหรับ TLS 1.1 และ 1.2 ฉันสามารถยืนยันว่าลูกค้ากำลังพยายามสื่อสารกับ TLS 1.2 แต่เซิร์ฟเวอร์ตอบกลับด้วย 1.0 เท่านั้น ฉันรีสตาร์ท IIS แต่ไม่ได้เปลี่ยนสถานการณ์

Microsoft ชี้ให้เห็น: "คำเตือน: ค่า DisabledByDefault ในรีจิสตรีคีย์ภายใต้คีย์โพรโทคอลไม่ได้มาก่อนค่า grbitEnabledProtocols ที่กำหนดไว้ในโครงสร้าง SCHANNEL_CRED ที่ประกอบด้วยข้อมูลสำหรับข้อมูลประจำตัว Schannel"

นั่นเป็นสิ่งที่คลุมเครือสำหรับฉัน ฉันไม่พบที่ใดก็ตามที่ SCHANNEL_CRED กำหนดหรือตั้งค่าทั้งหมดที่ฉันสามารถระบุได้ว่ามันเป็นโครงสร้างที่กำหนดไว้ในไลบรารีของ Microsoft นั่นเป็นเพียงการคาดเดาของฉันว่าทำไมสิ่งนี้ถึงใช้งานไม่ได้ แต่ฉันไม่สามารถหาข้อมูลได้เพียงพอที่จะพิจารณาว่าเป็นปัญหาจริงหรือไม่

windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 
Sam Rueby
แหล่งที่มา
2
ฉันเกลียดที่จะถามคำถามที่ชัดเจน แต่คุณรีบูตเซิร์ฟเวอร์หลังจากเปลี่ยนรีจิสทรีหรือไม่
เข้ารหัส Gorilla
อืมม ในตัวจัดการ IIS ฉันคลิก "รีสตาร์ท" ภายใต้ 'การกระทำ'
Sam Rueby
ตามที่ระบุไว้ @ShaneMadden การเปลี่ยนแปลงเหล่านี้จะลึกกว่า IIS ดังนั้นคุณต้องรีสตาร์ทระบบเพื่อให้แน่ใจว่าการเปลี่ยนแปลงทั้งหมดจะถูกนำไปใช้
เข้ารหัส Gorilla

คำตอบ:

7

วิธีที่ง่ายที่สุดในการเปลี่ยนแปลงใน Microsoft SChannel protocol และ ciphers (รวมถึงการสั่งรหัส) คือการใช้IIS Cryptoซึ่งเป็นเครื่องมือฟรีที่สามารถดาวน์โหลดได้โดยไม่ต้องมีข้อกำหนดการลงทะเบียนที่น่ารำคาญใด ๆ

เครื่องมือนี้จัดการกับรีจิสตรีคีย์ภายใต้ฝาปิด แต่จะทำในลักษณะที่ควบคุมได้รับการพิสูจน์และปลอดภัย เราใช้เป็นประจำ

นอกจากนี้ยังเป็นที่น่าสังเกตว่าสามารถช่วยในสถานการณ์จำลองการทำงานอัตโนมัติเนื่องจากมีเวอร์ชันบรรทัดคำสั่งเพิ่มเติมนอกเหนือจากเวอร์ชัน GUI

นอกจากนี้ยังมีบล็อกที่พูดถึงการเปลี่ยนแปลงบางอย่างและสาเหตุที่เกิดขึ้น เครื่องมือมีแนวโน้มที่จะได้รับการปรับปรุงให้ทันสมัยเมื่อปัญหา SSL เกิดขึ้น

CarlR
แหล่งที่มา
0

การเปิดใช้งาน TLS 1.1 และ 1.2 ต้องเริ่มต้นใหม่ การปิดใช้งาน RC4 และ DH โดยตรงโดยไม่ต้องรีสตาร์ทเซิร์ฟเวอร์หรือบริการ

หากฉันจำอย่างถูกต้องการปิดใช้งาน SSLv2 และ SSLv3 ก็มีผลเช่นกัน

user3193469
แหล่งที่มา
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

หากต้องการเปิดใช้งานโปรโตคอลให้เปลี่ยนค่า DWORD เป็น 0xffffffff

VasekB
แหล่งที่มา
การเปิดใช้งานโปรโตคอลคือ 0xffffffff หรือ 1
Ravindran Keshavan
ลิงก์ในคำตอบนี้บอกว่าค่าจะต้องเป็น 1 มันไม่ได้พูดถึง fff ... ทุกที่
Todd ที่ Todd
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.