it-swarm.com.de

So aktivieren Sie TLS 1.1, 1.2 in IIS 7.5

Wir möchten Webbrowser mit TLS 1.1 und 1.2 unterstützen, die anscheinend von Microsoft implementiert wurden, aber standardmäßig deaktiviert sind.

Also habe ich bei Google gesucht und einige Seiten entdeckt, denen jeder zu folgen scheint:

http://support.Microsoft.com/kb/2450

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Jedoch! Es scheint nicht für mich zu funktionieren. Ich habe sowohl DWORD-Vaules für DisabledByDefault als auch Enabled für TLS 1.1 und 1.2 festgelegt. Ich kann bestätigen, dass mein Client versucht, mit TLS 1.2 zu kommunizieren, der Server antwortet jedoch nur mit 1.0. Ich habe IIS neu gestartet, aber es hat die Situation nicht geändert.

Microsoft weist darauf hin: "WARNUNG: Der DisabledByDefault-Wert in den Registrierungsschlüsseln unter dem Protokollschlüssel hat keinen Vorrang vor dem grbitEnabledProtocols-Wert, der in der SCHANNEL_CRED-Struktur definiert ist, die die Daten für einen Schannel-Berechtigungsnachweis enthält."

Das ist sehr vage für mich. Ich kann nirgendwo finden, wo SCHANNEL_CRED definiert oder festgelegt ist. Ich kann nur feststellen, dass es sich um eine in einer Microsoft-Bibliothek definierte Struktur handelt. Das ist meine einzige Vermutung, warum dies nicht funktioniert, aber ich kann nicht genug Informationen darüber finden, um festzustellen, ob es das wahre Problem ist.

29
Sam Rueby

Starten Sie neu. Änderungen an den Schannel-Einstellungen werden erst nach einem Neustart des Systems wirksam.

50
Shane Madden

Der einfachste Weg, Änderungen an Microsoft SChannel-Protokollen und -Verschlüsselungen (einschließlich der Reihenfolge der Verschlüsselung) vorzunehmen, ist die Verwendung von IIS Crypto , einem völlig kostenlosen Tool, das ohne lästige Registrierungsanforderungen heruntergeladen werden kann.

Das Tool manipuliert die Registrierungsschlüssel unter der Abdeckung, jedoch auf kontrollierte, bewährte und sichere Weise. Wir benutzen es regelmäßig.

Es ist auch erwähnenswert, dass es in Automatisierungsszenarien hilfreich sein kann, da es zusätzlich zu einer GUI-Version eine Befehlszeilenversion gibt.

Es gibt auch ein Blog , in dem einige der Änderungen und deren Gründe erläutert werden. Das Tool wird in der Regel auf dem neuesten Stand gehalten, wenn SSL-Probleme auftreten.

11
CarlR

Das Aktivieren von TLS 1.1 und 1.2 erfordert einen Neustart. Das Deaktivieren von RC4 und DH erfolgt direkt ohne Neustart des Servers oder der Dienste.

Wenn ich mich richtig erinnere, war das Deaktivieren von SSLv2 und SSLv3 auch sofort wirksam.

0
user3193469