Windows-Server-2008

如何在 IIS 7.5 中啟用 TLS 1.1、1.2

  • August 26, 2020

我們希望支持使用 TLS 1.1 和 1.2 的 Web 瀏覽器,這顯然是由 Microsoft 實現的,但預設情況下是關閉的。

所以我在Google上搜尋並發現了一些似乎每個人都在關注的頁面:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

然而!它似乎對我不起作用。我已經為 DisabledByDefault 和 TLS 1.1 和 1.2 設置了 DWORD 值。我可以確認我的客戶端正在嘗試與 TLS 1.2 通信,但伺服器僅響應 1.0。我已經重新啟動了 IIS,但它並沒有改變這種情況。

Microsoft 指出:“警告:Protocols 項下系統資料庫項中的 DisabledByDefault 值不優先於包含 Schannel 憑據數據的 SCHANNEL_CRED 結構中定義的 grbitEnabledProtocols 值。”

嗯,這對我來說很模糊。我找不到定義或設置 SCHANNEL_CRED 的任何地方,我只能確定它是 Microsoft 庫中定義的結構。這是我對為什麼這不起作用的唯一猜測,但我找不到足夠的資訊來確定它是否是真正的問題。

重啟。在系統重新啟動之前,對 Schannel 設置的更改不會生效。

更改 Microsoft SChannel 協議和密碼(包括密碼排序)的最簡單方法是使用IIS Crypto,這是一個完全免費的工具,無需任何煩人的註冊要求即可下載。

該工具在幕後操縱系統資料庫項,但是它以受控、經過驗證和安全的方式進行操作。我們經常使用它。

還值得注意的是,它可以在自動化場景中提供幫助,因為它除了 GUI 版本之外還有命令行版本。

還有一個部落格討論了一些更改以及進行更改的原因。當出現 SSL 問題時,該工具往往會保持最新狀態。

引用自:https://serverfault.com/questions/314874