IIS 7.5에서 TLS 1.1, 1.2를 활성화하는 방법 Microsoft가 분명히 구현했지만 기본적으로

Microsoft가 분명히 구현했지만 기본적으로 꺼져있는 TLS 1.1 및 1.2를 사용하는 웹 브라우저를 지원하려고합니다.

그래서 나는 구글에서 검색을했고 모두가 다음과 같은 페이지를 발견했습니다.

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

하나! 그것은 나를 위해 작동하지 않는 것 같습니다. DisabledByDefault에 대해 DWORD 값을 설정하고 TLS 1.1 및 1.2에 대해 Enabled를 설정했습니다. 클라이언트가 TLS 1.2와 통신을 시도하고 있음을 확인할 수 있지만 서버는 1.0으로 만 응답합니다. IIS를 다시 시작했지만 상황이 바뀌지 않았습니다.

Microsoft는 “경고 : 프로토콜 키 아래의 레지스트리 키에있는 DisabledByDefault 값은 Schannel 자격 증명에 대한 데이터가 포함 된 SCHANNEL_CRED 구조에 정의 된 grbitEnabledProtocols 값보다 우선하지 않습니다.”

글쎄, 그것은 매우 모호하다. SCHANNEL_CRED가 정의되거나 설정된 곳을 찾을 수 없으며 그것이 Microsoft 라이브러리에 정의 된 구조임을 확인할 수 있습니다. 이것이 왜 작동하지 않는지에 대한 유일한 추측이지만, 그것이 진짜 문제인지 여부를 판단하기에 충분한 정보를 찾을 수 없습니다.



답변

재부팅하십시오. 시스템이 재부팅 될 때까지 Schannel 설정에 대한 변경 사항이 적용되지 않습니다.


답변

Microsoft SChannel 프로토콜 및 암호 (암호 순서 포함)를 변경하는 가장 쉬운 방법 은 성가신 등록 요구 사항없이 다운로드 할 수있는 완전 무료 도구 인 IIS Crypto 를 사용 하는 것입니다.

이 도구는 덮개 아래의 레지스트리 키를 조작하지만 제어되고 입증되고 안전한 방식으로 수행됩니다. 우리는 정기적으로 사용합니다.

GUI 버전 외에도 명령 행 버전이 있으므로 자동화 시나리오에서 도움이 될 수 있습니다.

또한 일부 변경 사항과 변경된 이유를 설명 하는 블로그 도 있습니다 . SSL 문제가 발생하면이 도구는 최신 상태로 유지됩니다.


답변

TLS 1.1 및 1.2를 활성화하려면 재부팅해야합니다. 서버 나 서비스를 다시 시작하지 않고 RC4 및 DH를 비활성화 할 수 있습니다.

올바르게 기억한다면 SSLv2와 SSLv3를 비활성화하는 것도 즉시 효과적이었습니다.