Как включить TLS 1.1, 1.2 в IIS 7.5


26

Мы хотим поддерживать веб-браузеры, использующие TLS 1.1 и 1.2, которые, по-видимому, были реализованы Microsoft, но по умолчанию отключены.

Поэтому я отправился на поиск в Google и обнаружил, что некоторые страницы, похоже, следят за каждым:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Тем не мение! Похоже, это не работает для меня. Я установил оба параметра DWORD для DisabledByDefault и Enabled для TLS 1.1 и 1.2. Я могу подтвердить, что мой клиент пытается связаться с TLS 1.2, но сервер отвечает только 1.0. Я перезапустил IIS, но это не изменило ситуацию.

Microsoft отмечает: «ПРЕДУПРЕЖДЕНИЕ. Значение DisabledByDefault в разделах реестра в разделе« Протоколы »не имеет приоритета над значением grbitEnabledProtocols, которое определено в структуре SCHANNEL_CRED, содержащей данные для учетных данных Schannel».

Ну, это очень расплывчато для меня. Я не могу найти где-нибудь, где SCHANNEL_CRED определен или установлен, все, что я могу определить, что это структура, определенная в библиотеке Microsoft. Это мое единственное предположение, почему это не работает, но я не могу найти достаточно информации, чтобы определить, является ли это истинной проблемой.


2
Ненавижу спрашивать очевидное, но перезагрузили ли вы сервер после изменения реестра?
Кодирование гориллы

Хммм. В диспетчере IIS я нажал «Перезагрузить» в разделе «Действия».
Сэм Рюби

Как указывало @ShaneMadden, эти изменения глубже, чем IIS, поэтому вам необходимо перезапустить систему, чтобы убедиться, что все изменения применены.
Кодирование гориллы

Ответы:


48

Перезагружать. Изменения в настройках Schannel не вступают в силу до перезагрузки системы.


7

Самый простой способ внести изменения в протоколы и шифры Microsoft SChannel (включая упорядочение шифров) - это использовать IIS Crypto, который является абсолютно бесплатным инструментом, который можно загрузить без каких-либо раздражающих требований регистрации.

Инструмент манипулирует ключами реестра под крышками, однако это происходит контролируемым, проверенным и безопасным способом. Мы используем это регулярно.

Стоит также отметить, что он может помочь в сценариях автоматизации, поскольку он имеет версию для командной строки в дополнение к версии с графическим интерфейсом.

Существует также блог, в котором обсуждаются некоторые изменения и почему они были сделаны. Инструмент имеет тенденцию быть в курсе, когда возникают проблемы с SSL.


0

Включение TLS 1.1 и 1.2 требует перезагрузки. Отключение RC4 и DH напрямую без перезапуска сервера или служб.

Если я правильно помню, отключение SSLv2 и SSLv3 также было мгновенно эффективным.


Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.