Cara mengaktifkan TLS 1.1, 1.2 di IIS 7.5

26

Kami ingin mendukung browser web yang menggunakan TLS 1.1 dan 1.2, yang tampaknya telah diterapkan oleh Microsoft, tetapi dimatikan secara default.

Jadi saya pergi mencari di Google dan menemukan beberapa halaman yang tampaknya semua orang ikuti:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Namun! Tampaknya tidak berfungsi untuk saya. Saya telah menetapkan kedua vaules DWORD untuk DisabledByDefault dan Diaktifkan untuk TLS 1.1 dan 1.2. Saya dapat mengonfirmasi bahwa klien saya berusaha berkomunikasi dengan TLS 1.2, tetapi server hanya merespons dengan 1.0. Saya sudah memulai kembali IIS, tetapi itu tidak mengubah situasi.

Microsoft menunjukkan: "PERINGATAN: Nilai DisabledByDefault di kunci registri di bawah kunci Protokol tidak diutamakan daripada nilai grbitEnabledProtocols yang ditentukan dalam struktur SCHANNEL_CRED yang berisi data untuk kredensial Schannel."

Ya, itu sangat tidak jelas bagi saya. Saya tidak dapat menemukan di mana pun SCHANNEL_CRED didefinisikan atau ditetapkan, yang dapat saya tentukan adalah struktur yang didefinisikan dalam perpustakaan Microsoft. Itulah satu-satunya dugaan saya mengapa ini tidak berhasil, namun saya tidak dapat menemukan informasi yang cukup tentang itu untuk menentukan apakah itu masalah sebenarnya.

Sam Rueby
sumber
2
Saya benci menanyakan yang sudah jelas, tetapi apakah Anda me-reboot server setelah mengubah registri?
Coding Gorilla
Hmmm. Di IIS Manager, saya mengklik "Restart" di bawah 'Actions'.
Sam Rueby
Seperti yang ditunjukkan @ShaneMadden, perubahan ini lebih dalam dari IIS, jadi Anda harus memulai ulang sistem untuk memastikan semua perubahan diterapkan.
Coding Gorilla

Jawaban:

48

Mulai ulang. Perubahan pada pengaturan Schannel tidak berlaku sampai sistem di-boot ulang.

Shane Madden
sumber
7

Cara termudah untuk membuat perubahan pada protokol dan cipher Microsoft SChannel (termasuk pemesanan cipher) adalah dengan menggunakan IIS Crypto yang merupakan alat gratis yang dapat diunduh tanpa persyaratan registrasi yang mengganggu.

Alat ini memanipulasi kunci registri di bawah penutup namun melakukannya dengan cara yang terkendali, terbukti dan aman. Kami menggunakannya secara teratur.

Perlu juga dicatat bahwa ini dapat membantu dalam skenario otomatisasi karena memiliki versi baris perintah di samping versi GUI.

Ada juga blog yang membahas beberapa perubahan dan mengapa mereka dibuat. Alat ini cenderung terus diperbarui ketika masalah SSL muncul.

CarlR
sumber
0

Mengaktifkan TLS 1.1 dan 1.2 membutuhkan reboot. Menonaktifkan RC4 dan DH secara langsung tanpa me-restart server atau layanan.

Jika saya ingat dengan benar, menonaktifkan SSLv2 dan SSLv3 juga langsung efektif.

pengguna3193469
sumber
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

Untuk mengaktifkan protokol, ubah nilai DWORD ke 0xffffffff.

VasekB
sumber
mengaktifkan protokol 0xffffffff atau 1?
Ravindran Keshavan
Tautan pada jawaban ini mengatakan nilainya harus 1, tidak menyebutkan fff ... di mana saja
Todd