我有一个 IIS 站点,我想强制使用 TLS 1.2。我不希望使用 TLS 1 的客户端能够连接到该站点。
我想在网站级别执行此操作,因为其他网站应该可以使用旧版本。
谢谢
答案1
无法将服务器上的单个站点更改为仅支持 TLS 1.2。如文档所述,IIS 使用 SCHANNEL 进行管理这里.2012r2及以下版本不支持每个站点配置。
如果您确实必须做这样的事情,最简单的方法是使用 SSL 代理,它允许较低级别的入站并可以创建出站 TLS 1.2 连接。此中继可用于您的较低级别站点,并且可以直接访问您的安全站点。
答案2
选项1: 对于 Windows Server 2019(包含最新更新)上的 IIS,Microsoft 添加了根据每个站点证书绑定禁用此功能的功能:https://docs.microsoft.com/en-us/security/disable-legacy-tls。在 IIS 中您网站的“站点绑定”中,选择“禁用旧式 TLS”选项。
选项 2: 您还可以使用IIS 加密(免费),这是一个方便的工具,用于设置系统范围的 SCHANNEL 设置,并采用最佳实践。它适用于大多数版本的 Windows Server。这将影响 IIS 和计算机上运行的所有其他客户端/服务器服务,但您可以为客户端和服务器设置单独的 TLS 版本支持设置。