將 IIS 7.5 配置為符合 FIPS 140.2

我需要將 IIS 7.5 (Server 2008 R2) 配置為符合 FIPS 140.2。

具體來說，這涉及禁用除 TLS 1.0 之外的所有 SSL 協議。

我設置了以下系統資料庫​​項：

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

根據此 KB設置為 Enabled(DWORD) = 0 ，但SSL Labs 的檢查器顯示“SSL 2.0+ 升級支持”已啟用。（除此之外的所有內容和 TLS 1.0 都不可用，所以我們正在取得進展）。它還顯示“FIPS 就緒 - 否” - 大概是因為 SSL 2.0+ 升級支持仍處於啟用狀態。

serversniff.net說 SSL 2.0 已關閉，並且沒有說明 SSL 2.0+ 升級支持。這可能是 SSL Labs 的檢查器異常嗎？

這意味著伺服器支持 SSLv2 握手，即使它本身可能不支持 SSLv2。本質上它是一種優化。客戶端可以使用 SSLv2 握手來指示支持較新的協議。

http://sourceforge.net/mailarchive/forum.php?thread_name=20100629171623.43012oj4b2hgrzi8%40webmail.mxes.net&forum_name=ssllabs-discuss

引用自：https://serverfault.com/questions/148142