Як включити TLS 1.1, 1.2 в IIS 7.5


26

Ми хочемо підтримувати веб-браузери, що використовують TLS 1.1 та 1.2, які, очевидно, реалізовані Microsoft, але вимкнено за замовчуванням.

Тож я пішов шукати в Google і виявив деякі сторінки, на які, схоже, слідкують:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Однак! Здається, це не працює для мене. Я встановив обидва значення DWORD для DisabledByDefault та Enabled для TLS 1.1 та 1.2. Я можу підтвердити, що мій клієнт намагається спілкуватися з TLS 1.2, але сервер відповідає лише з 1.0. Я перезапустив IIS, але це не змінило ситуації.

Microsoft зазначає: "ПОПЕРЕДЖЕННЯ. Значення DisabledByDefault в ключах реєстру під клавішею Protocols не має переваги над значенням grbitEnabledProtocols, яке визначено в структурі SCHANNEL_CRED, що містить дані для облікових даних Schannel."

Ну, це мені дуже розпливчасто. Я не можу знайти ніде, де визначено або встановлено SCHANNEL_CRED, я все можу визначити, що це структура, визначена в бібліотеці Microsoft. Це моя єдина здогадка, чому це не працює, але я не можу знайти достатньо інформації про це, щоб визначити, чи це справжня проблема.


2
Я ненавиджу запитувати очевидне, але ви перезавантажили сервер після зміни реєстру?
Кодування Горілла

Хммм. У IIS Manager я натиснув "Перезапустити" у розділі "Дії".
Сем Рюбі

Як вказував @ShaneMadden, ці зміни глибші, ніж IIS, тому вам потрібно перезапустити систему, щоб переконатися, що всі зміни застосовані.
Кодування Gorilla

Відповіді:


48

Перезавантажте. Зміни в налаштуваннях Schannel не набувають чинності, поки система не перезавантажиться.


7

Найпростіший спосіб внести зміни в протоколи та шифри Microsoft SChannel (включаючи впорядкування шифрів) - це використовувати IIS Crypto, який є абсолютно безкоштовним інструментом, який можна завантажити без будь-яких прикрих вимог до реєстрації.

Інструмент маніпулює ключами реєстру під кришками, однак це робить контрольованим, перевіреним та безпечним способом. Ми використовуємо його регулярно.

Варто також зазначити, що він може допомогти в сценаріях автоматизації, оскільки має версію командного рядка, крім версії GUI.

Також є блог, в якому обговорюються деякі зміни та чому вони були внесені. Інструмент, як правило, оновлюється, коли виникають проблеми з SSL.


0

Увімкнення TLS 1.1 та 1.2 вимагає перезавантаження. Відключення RC4 та DH відбувається безпосередньо без перезавантаження сервера чи служб.

Якщо я правильно пам'ятаю, вимкнення SSLv2 та SSLv3 також було негайно ефективним.


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.