Come abilitare TLS 1.1, 1.2 in IIS 7.5

26

Vogliamo supportare i browser Web che utilizzano TLS 1.1 e 1.2, che è stato apparentemente implementato da Microsoft, ma è disattivato per impostazione predefinita.

Quindi sono andato a cercare su Google e ho scoperto alcune pagine che tutti sembrano seguire:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Tuttavia! Non sembra funzionare per me. Ho impostato entrambi i vaule DWORD per DisabledByDefault e Enabled per TLS 1.1 e 1.2. Posso confermare che il mio client sta tentando di comunicare con TLS 1.2, ma il server risponde solo con 1.0. Ho riavviato IIS, ma non ha modificato la situazione.

Microsoft sottolinea: "ATTENZIONE: il valore DisabledByDefault nelle chiavi del Registro di sistema nella chiave Protocolli non ha la precedenza sul valore grbitEnabledProtocols definito nella struttura SCHANNEL_CRED che contiene i dati per una credenziale Schannel."

Beh, è ​​molto vago per me. Non riesco a trovare da nessuna parte dove SCHANNEL_CRED è definito o impostato, tutto ciò che posso determinare è una struttura definita in una libreria Microsoft. Questa è la mia unica ipotesi sul perché questo non funziona, ma non riesco a trovare abbastanza informazioni su di esso per determinare se è il vero problema.

windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 
Sam Rueby
fonte
2
Odio chiedere l'ovvio, ma hai riavviato il server dopo aver modificato il registro?
Coding Gorilla,
Hmmm. In Gestione IIS, ho fatto clic su "Riavvia" in "Azioni".
Sam Rueby,
Come indicato da @ShaneMadden, queste modifiche sono più profonde di IIS, quindi è necessario riavviare il sistema per assicurarsi che tutte le modifiche vengano applicate.
Coding Gorilla,

Risposte:

48

Reboot. Le modifiche alle impostazioni Schannel non hanno effetto fino al riavvio del sistema.

Shane Madden
fonte
7

Il modo più semplice per apportare modifiche ai protocolli e alle cifre di Microsoft SChannel (incluso l'ordinamento delle cifre) è utilizzare IIS Crypto che è uno strumento completamente gratuito che può essere scaricato senza alcun tipo di fastidiosi requisiti di registrazione.

Lo strumento manipola le chiavi di registro sotto le copertine, tuttavia lo fa in modo controllato, provato e sicuro. Lo usiamo regolarmente.

Vale anche la pena notare che può aiutare negli scenari di automazione in quanto ha una versione da riga di comando oltre a una versione della GUI.

C'è anche un blog che discute alcune delle modifiche e perché sono state apportate. Lo strumento tende ad essere aggiornato quando sorgono problemi SSL.

CarlR
fonte
0

L'abilitazione di TLS 1.1 e 1.2 richiede un riavvio. La disabilitazione di RC4 e DH è direttamente senza riavviare il server o i servizi.

Se ricordo bene, anche disabilitare SSLv2 e SSLv3 è stato immediatamente efficace.

user3193469
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.