So aktivieren Sie TLS 1.1, 1.2 in IIS 7.5

26

Wir möchten Webbrowser unterstützen, die TLS 1.1 und 1.2 verwenden, das anscheinend von Microsoft implementiert wurde, aber standardmäßig deaktiviert ist.

Also suchte ich bei Google und entdeckte einige Seiten, denen anscheinend alle folgen:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

Jedoch! Es scheint nicht für mich zu funktionieren. Ich habe beide DWORD-Vaules für DisabledByDefault und Enabled für TLS 1.1 und 1.2 festgelegt. Ich kann bestätigen, dass mein Client versucht, mit TLS 1.2 zu kommunizieren, aber der Server antwortet nur mit 1.0. Ich habe IIS neu gestartet, aber es hat die Situation nicht geändert.

Microsoft weist darauf hin: "WARNUNG: Der Wert DisabledByDefault in den Registrierungsschlüsseln unter dem Schlüssel Protocols hat keinen Vorrang vor dem Wert grbitEnabledProtocols, der in der Struktur SCHANNEL_CRED definiert ist, die die Daten für einen Schannel-Berechtigungsnachweis enthält."

Nun, das ist sehr vage für mich. Ich kann nirgendwo finden, wo SCHANNEL_CRED definiert oder festgelegt ist. Ich kann nur feststellen, dass es sich um eine in einer Microsoft-Bibliothek definierte Struktur handelt. Das ist meine einzige Vermutung, warum dies nicht funktioniert, aber ich kann nicht genug Informationen finden, um festzustellen, ob es das wahre Problem ist.

windows-server-2008 ssl windows-server-2008-r2 iis-7.5 tls Sam Rueby
quelle
2
Ich hasse es, das Offensichtliche zu fragen, aber haben Sie den Server nach einer Änderung der Registrierung neu gestartet?
Codierung Gorilla
Hmmm. Im IIS-Manager habe ich unter "Aktionen" auf "Neu starten" geklickt.
Sam Rueby
Wie von @ShaneMadden angegeben, sind diese Änderungen tiefer als bei IIS. Sie müssen daher das System neu starten, um sicherzustellen, dass alle Änderungen übernommen werden.
Codierung Gorilla

Antworten:

48

Starten Sie neu. Änderungen an den Schannel-Einstellungen werden erst nach einem Neustart des Systems wirksam.

Shane Madden
quelle
7

Die einfachste Möglichkeit, Änderungen an Microsoft SChannel-Protokollen und -Verschlüsselungen (einschließlich der Verschlüsselungsreihenfolge) vorzunehmen, ist die Verwendung von IIS Crypto , einem völlig kostenlosen Tool, das ohne lästige Registrierungsanforderungen heruntergeladen werden kann.

Das Tool manipuliert die Registrierungsschlüssel unter der Abdeckung auf kontrollierte, bewährte und sichere Weise. Wir benutzen es regelmäßig.

Es ist auch erwähnenswert, dass es in Automatisierungsszenarien hilfreich sein kann, da es zusätzlich zu einer GUI-Version eine Befehlszeilenversion gibt.

Es gibt auch einen Blog , in dem einige Änderungen und deren Gründe erläutert werden. Das Tool wird in der Regel auf dem neuesten Stand gehalten, wenn SSL-Probleme auftreten.

CarlR
quelle
0

Das Aktivieren von TLS 1.1 und 1.2 erfordert einen Neustart. Das Deaktivieren von RC4 und DH erfolgt direkt, ohne den Server oder die Dienste neu zu starten.

Wenn ich mich richtig erinnere, war das Deaktivieren von SSLv2 und SSLv3 auch sofort wirksam.

user3193469
quelle
-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

Ändern Sie den DWORD-Wert in 0xffffffff, um das Protokoll zu aktivieren.

VasekB
quelle
Protokoll zu aktivieren ist 0xffffffff oder 1?
Ravindran Keshavan
Dieser Link zu dieser Antwort besagt, dass der Wert 1 sein muss, er erwähnt fff nirgendwo
Todd