如何在 IIS 7.5 中启用 TLS 1.1、1.2

tag-icon tag-icon windows-server-2008 ssl windows-server-2008-r2 iis-7.5
如何在 IIS 7.5 中启用 TLS 1.1、1.2

我们希望支持使用 TLS 1.1 和 1.2 的网络浏览器,该协议显然已由微软实现,但默认情况下是关闭的。

因此我使用 Google 进行搜索,发现了一些似乎每个人都在关注的页面:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

但是!它似乎对我不起作用。我已为 TLS 1.1 和 1.2 设置了 DisabledByDefault 和 Enabled 的 DWORD 值。我可以确认我的客户端正在尝试与 TLS 1.2 通信,但服务器仅响应 1.0。我已重新启动 IIS,但情况并未改变。

微软指出:“警告:Protocols 项下的注册表项中的 DisabledByDefault 值不优先于包含 Schannel 凭证数据的 SCHANNEL_CRED 结构中定义的 grbitEnabledProtocols 值。”

嗯,这对我来说很模糊。我找不到任何定义或设置 SCHANNEL_CRED 的地方,我只能确定它是 Microsoft 库中定义的结构。这是我对此不起作用的唯一猜测,但我找不到足够的信息来确定这是否是真正的问题。

答案1

重新启动。对 Schannel 设置的更改只有在系统重新启动后才会生效。

答案2

更改 Microsoft SChannel 协议和密码(包括密码排序)的最简单方法是使用IIS 加密这是一个完全免费的工具,无需任何烦人的注册要求即可下载。

该工具在幕后操纵注册表项,但它以受控、经过验证且安全的方式进行。我们经常使用它。

还值得注意的是,它除了有 GUI 版本之外,还有一个命令行版本,可以帮助实现自动化场景。

还有一个博客讨论了一些变化以及做出这些变化的原因。当出现 SSL 问题时,该工具往往会保持最新状态。

答案3

启用 TLS 1.1 和 1.2 需要重启。禁用 RC4 和 DH 无需重启服务器或服务。

如果我没记错的话,禁用 SSLv2 和 SSLv3 也是立即有效的。

答案4

https://technet.microsoft.com/en-us/library/dn786418.aspx

要启用该协议,请将 DWORD 值更改为 0xffffffff。

相关内容