Как включить TLS 1.1, 1.2 в IIS 7.5

26

Мы хотим поддерживать веб-браузеры, использующие TLS 1.1 и 1.2, которые, по-видимому, были реализованы Microsoft, но по умолчанию отключены.

Поэтому я отправился на поиск в Google и обнаружил, что некоторые страницы, похоже, следят за каждым:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Тем не мение! Похоже, это не работает для меня. Я установил оба параметра DWORD для DisabledByDefault и Enabled для TLS 1.1 и 1.2. Я могу подтвердить, что мой клиент пытается связаться с TLS 1.2, но сервер отвечает только 1.0. Я перезапустил IIS, но это не изменило ситуацию.

Microsoft отмечает: «ПРЕДУПРЕЖДЕНИЕ. Значение DisabledByDefault в разделах реестра в разделе« Протоколы »не имеет приоритета над значением grbitEnabledProtocols, которое определено в структуре SCHANNEL_CRED, содержащей данные для учетных данных Schannel».

Ну, это очень расплывчато для меня. Я не могу найти где-нибудь, где SCHANNEL_CRED определен или установлен, все, что я могу определить, что это структура, определенная в библиотеке Microsoft. Это мое единственное предположение, почему это не работает, но я не могу найти достаточно информации, чтобы определить, является ли это истинной проблемой.

windows-server-2008 ssl windows-server-2008-r2 iis-7.5 tls Сэм Рюби
источник
2
Ненавижу спрашивать очевидное, но перезагрузили ли вы сервер после изменения реестра?
Кодирование гориллы
Хммм. В диспетчере IIS я нажал «Перезагрузить» в разделе «Действия».
Сэм Рюби
Как указывало @ShaneMadden, эти изменения глубже, чем IIS, поэтому вам необходимо перезапустить систему, чтобы убедиться, что все изменения применены.
Кодирование гориллы

Ответы:

48

Перезагружать. Изменения в настройках Schannel не вступают в силу до перезагрузки системы.

Шейн Мэдден
источник
7

Самый простой способ внести изменения в протоколы и шифры Microsoft SChannel (включая упорядочение шифров) - это использовать IIS Crypto, который является абсолютно бесплатным инструментом, который можно загрузить без каких-либо раздражающих требований регистрации.

Инструмент манипулирует ключами реестра под крышками, однако это происходит контролируемым, проверенным и безопасным способом. Мы используем это регулярно.

Стоит также отметить, что он может помочь в сценариях автоматизации, поскольку он имеет версию для командной строки в дополнение к версии с графическим интерфейсом.

Существует также блог, в котором обсуждаются некоторые изменения и почему они были сделаны. Инструмент имеет тенденцию быть в курсе, когда возникают проблемы с SSL.

CarlR
источник
0

Включение TLS 1.1 и 1.2 требует перезагрузки. Отключение RC4 и DH напрямую без перезапуска сервера или служб.

Если я правильно помню, отключение SSLv2 и SSLv3 также было мгновенно эффективным.

user3193469
источник
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

Чтобы включить протокол, измените значение DWORD на 0xffffffff.

VasekB
источник
включить протокол 0xffffffff или 1?
Равиндран Кешаван
Эта ссылка в этом ответе говорит, что значение должно быть 1, в нем не упоминается fff ... везде
Тодд