IIS 7.5'te TLS 1.1, 1.2 nasıl etkinleştirilir

26

Görünüşe göre Microsoft tarafından uygulanan, ancak varsayılan olarak kapalı olan TLS 1.1 ve 1.2 kullanan web tarayıcılarını desteklemek istiyoruz.

Böylece Google’ı aramaya başladım ve herkesin takip ettiği gibi bazı sayfalar keşfettim:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Ancak! Benim için çalışıyor gibi görünmüyor. DisabledByDefault için hem DWORD hem de TLS 1.1 ve 1.2 için Enabled ayarlarım. Müşterimin TLS 1.2 ile iletişim kurmaya çalıştığını doğrulayabilirim, ancak sunucu yalnızca 1.0 ile yanıt veriyor. IIS'yi yeniden başlattım, ancak durumu değiştirmedi.

Microsoft dikkat çekiyor: "UYARI: Protokoller anahtarının altındaki kayıt defteri anahtarlarındaki DisabledByDefault değeri, Schannel kimlik bilgisi verilerini içeren SCHANNEL_CRED yapısında tanımlanan grbitEnabledProtocols değerinden öncelikli değildir."

Bu benim için çok belirsiz. SCHANNEL_CRED'in tanımlandığı veya ayarlandığı hiçbir yerde bulamıyorum, tek bir Microsoft kütüphanesinde tanımlanmış bir yapı olduğunu belirleyebiliyorum. Bu neden işe yaramadığına dair tek tahminim, ancak bunun gerçek bir sorun olup olmadığını belirlemek için yeterli bilgi bulamıyorum.

windows-server-2008  ssl  windows-server-2008-r2  iis-7.5  tls 
Sam Rueby
kaynak
2
Açıkça sormak istemem ama kayıt defterini değiştirdikten sonra sunucuyu yeniden başlattınız mı?
Gorilla
Hmmm. IIS Yöneticisi'nde 'Eylemler' altında "Yeniden Başlat" ı tıklattım.
Sam Rueby,
@ShaneMadden'in belirttiği gibi, bu değişiklikler IIS'den daha derinde olduğundan, tüm değişikliklerin uygulandığından emin olmak için sistemi yeniden başlatmanız gerekiyor.
Gorilla

Yanıtlar:

48

Yeniden Başlatma. Schannel ayarlarında yapılan değişiklikler, sistem yeniden başlatılıncaya kadar geçerli olmaz.

Shane Madden
kaynak
7

Microsoft SChannel protokollerinde ve şifrelerinde değişiklik yapmanın en kolay yolu (şifre siparişi dahil), herhangi bir can sıkıcı kayıt gereksinimi olmadan indirilebilen tamamen ücretsiz bir araç olan IIS Crypto kullanmaktır .

Araç, kapakların altındaki kayıt defteri anahtarlarını değiştirir ancak bunu kontrollü, kanıtlanmış ve güvenli bir şekilde yapar. Düzenli kullanıyoruz.

Bir GUI sürümüne ek olarak bir komut satırı sürümüne sahip olduğundan otomasyon senaryolarında yardımcı olabileceğine dikkat çekmek önemlidir.

Bazı değişikliklerin ve neden yapıldıklarının tartışıldığı bir blog da var. Araç, SSL sorunları ortaya çıktığında güncel tutulma eğilimindedir.

CarlR
kaynak
0

TLS 1.1 ve 1.2’yi etkinleştirmek için yeniden başlatma gerekir. RC4 ve DH'yi devre dışı bırakmak doğrudan sunucuyu veya hizmetleri yeniden başlatmadan gerçekleşir.

Doğru hatırlıyorsam, SSLv2 ve SSLv3'ü devre dışı bırakmak da anında etkili oldu.

user3193469
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.