Jak włączyć TLS 1.1, 1.2 w IIS 7.5

26

Chcemy wspierać przeglądarki wykorzystujące TLS 1.1 i 1.2, które najwyraźniej zostały zaimplementowane przez Microsoft, ale domyślnie są wyłączone.

Więc zacząłem szukać w Google i odkryłem niektóre strony, które wszyscy obserwują:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Jednak! Wydaje się, że to nie działa dla mnie. Ustawiłem zarówno wartości DWORD dla DisabledByDefault, jak i Enabled dla TLS 1.1 i 1.2. Mogę potwierdzić, że mój klient próbuje komunikować się z TLS 1.2, ale serwer odpowiada tylko 1.0. Zrestartowałem IIS, ale to nie zmieniło sytuacji.

Microsoft zwraca uwagę: „OSTRZEŻENIE: Wartość DisabledByDefault w kluczach rejestru pod kluczem Protocols nie ma pierwszeństwa przed wartością grbitEnabledProtocols zdefiniowaną w strukturze SCHANNEL_CRED, która zawiera dane dla poświadczenia Schannel.”

To dla mnie bardzo niejasne. Nie mogę znaleźć nigdzie, gdzie SCHANNEL_CRED jest zdefiniowany lub ustawiony, wszystko, co mogę ustalić, to struktura zdefiniowana w bibliotece Microsoft. To tylko moje przypuszczenie, dlaczego to nie działa, ale nie mogę znaleźć wystarczającej ilości informacji, aby ustalić, czy to prawdziwy problem.

Sam Rueby
źródło
2
Nie chcę pytać o to, co oczywiste, ale czy zrestartowałeś serwer po zmianie rejestru?
Kodowanie Gorilla,
Hmmm. W Menedżerze IIS kliknąłem „Uruchom ponownie” w „Akcjach”.
Sam Rueby,
Jak wskazał @ShaneMadden, zmiany te są głębsze niż IIS, więc musisz ponownie uruchomić system, aby upewnić się, że wszystkie zmiany zostały zastosowane.
Kodowanie Gorilla

Odpowiedzi:

48

Restart. Zmiany ustawień Schannel nie są uwzględniane, dopóki system nie zostanie ponownie uruchomiony.

Shane Madden
źródło
7

Najłatwiejszym sposobem wprowadzania zmian w protokołach i szyfrach Microsoft SChannel (w tym porządkowaniu szyfrów) jest użycie IIS Crypto, które jest całkowicie darmowym narzędziem, które można pobrać bez żadnych irytujących wymagań rejestracyjnych.

Narzędzie manipuluje kluczami rejestru pod osłonami, jednak robi to w kontrolowany, sprawdzony i bezpieczny sposób. Używamy go regularnie.

Warto również zauważyć, że może to pomóc w scenariuszach automatyzacji, ponieważ oprócz wersji GUI ma wersję wiersza poleceń.

Istnieje również blog, który omawia niektóre zmiany i powody ich wprowadzenia. Narzędzie zwykle jest aktualizowane, gdy pojawią się problemy z SSL.

CarlR
źródło
0

Włączenie TLS 1.1 i 1.2 wymaga ponownego uruchomienia. Wyłączenie RC4 i DH odbywa się bezpośrednio bez ponownego uruchamiania serwera lub usług.

Jeśli dobrze pamiętam, wyłączenie SSLv2 i SSLv3 było również natychmiast skuteczne.

użytkownik3193469
źródło
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

Aby włączyć protokół, zmień wartość DWORD na 0xffffffff.

VasekB
źródło
włączyć protokół to 0xffffffff lub 1?
Ravindran Keshavan
Ten link w tej odpowiedzi mówi, że wartość musi wynosić 1, nie wspomina o fff ... nigdzie
Todd