我有一台 TMG 2010 (Forefront 威胁管理器网关 2010) 位于 Windows Server 2003 R2 上,我通过它发布了几个网站。其中一个网站位于 Windows Server 2012 R2 上。我知道 Server 2003 R2 附带 TLS 1.0,而 Server 2012 R2 附带 TLS 1.2。当我从内部网络(不通过 TMG)打开网站时,Google Chrome 显示连接使用 TLS 1.2。但是,当我从外部网络(通过 TMG)打开已发布的网站时,Google Chrome 说连接使用 TLS 1.0。
我怎样才能让访问者不使用 TMG 的 TLS 实现,而是使用发布网站所在的 Windows 服务器版本?提前致谢。
答案1
您可以进行一系列注册表设置,包括为 TMG 2010 启用 TLS 1.1 和 1.2,根据http://www.isaserver.org/articles-tutorials/configuration-security/improving-ssl-security-forefront-threat-management-gateway-tmg-2010-published-web-sites.html
对于支持新协议(如传输层安全性 (TLS) v1.1 和 v1.2)的现代客户端,启用这些协议也是一个好主意。为此,请打开注册表并导航到 HKLM\System\CurrentControlSet\Control\SecurityProviders\SChannel\Protocols,然后创建两个名为 TLS 1.1 和 TLS 1.2 的新键。在每个键下创建名为 Client 和 Server 的新键。在 TLS 1.1 和 TLS 1.2 下的每个 Client 和 Server 键内,创建名为 DisabledByDefault 的 DWORD 值,设置为 0,Enabled 设置为 1。重新启动 TMG 防火墙以使此更改生效。
该页面的其余部分看起来是任何当前 TMG 部署的强制性工作。