IIS 7.5 में TLS 1.1, 1.2 को कैसे सक्षम करें


26

हम टीएलएस 1.1 और 1.2 का उपयोग करने वाले वेब ब्राउज़रों का समर्थन करना चाहते हैं, जिसे स्पष्ट रूप से Microsoft द्वारा लागू किया गया है, लेकिन डिफ़ॉल्ट रूप से बंद कर दिया गया है।

इसलिए मैंने Google पर खोज की और कुछ ऐसे पेज खोजे, जिन पर सभी को लगता है:

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

तथापि! यह मेरे लिए काम नहीं करता है। मैंने DWORD vaules को DisabledByDefault और TLS 1.1 और 1.2 के लिए Enabled किया है। मैं पुष्टि कर सकता हूं कि मेरा ग्राहक टीएलएस 1.2 के साथ संवाद करने का प्रयास कर रहा है, लेकिन सर्वर केवल 1.0 के साथ प्रतिक्रिया करता है। मैंने IIS पुनः आरंभ किया है, लेकिन इसने स्थिति को नहीं बदला।

Microsoft इंगित करता है: "चेतावनी: प्रोटोकॉल कुंजी के तहत रजिस्ट्री कुंजियों में DisabledByDefault मान, जो SCHANEL_CR संरचना में एक Schannel क्रेडेंशियल के लिए डेटा शामिल है में grbitEnabledProtocols मान पर पूर्ववर्तीता नहीं लेता है।"

खैर, यह मेरे लिए बहुत अस्पष्ट है। मुझे कहीं भी नहीं मिल रहा है जहां SCHANNEL_CRED परिभाषित या सेट है, सभी मैं यह निर्धारित कर सकता हूं कि यह एक Microsoft लाइब्रेरी में परिभाषित संरचना है। यह मेरा एकमात्र अनुमान है कि यह क्यों काम नहीं करता है, फिर भी मुझे यह निर्धारित करने के लिए पर्याप्त जानकारी नहीं मिल सकती है कि क्या यह वास्तविक समस्या है।


2
मुझे स्पष्ट रूप से पूछने से नफरत है, लेकिन क्या आपने रजिस्ट्री को बदलने के बाद सर्वर को रिबूट किया है?
गोरिल्ला

हममम। IIS प्रबंधक में, मैंने 'क्रियाएँ' के अंतर्गत "पुनरारंभ करें" पर क्लिक किया।
सैम रूबी

जैसा कि @ShaneMadden ने संकेत दिया है, ये परिवर्तन IIS से अधिक गहरे हैं, इसलिए आपको यह सुनिश्चित करने के लिए सिस्टम को पुनरारंभ करने की आवश्यकता है कि सभी परिवर्तन लागू हैं।
गोरिल्ला

जवाबों:


48

रीबूट। जब तक सिस्टम रिबूट नहीं किया जाता है, तब तक Schannel सेटिंग्स में परिवर्तन प्रभावी नहीं होता है।


7

Microsoft SChannel प्रोटोकॉल और सिफर (सिफर ऑर्डर सहित) में बदलाव करने का सबसे आसान तरीका IIS क्रिप्टो का उपयोग करना है जो कि पूरी तरह से मुफ्त टूल है जिसे बिना किसी प्रकार के कष्टप्रद पंजीकरण आवश्यकताओं के डाउनलोड किया जा सकता है।

टूल कवर के तहत रजिस्ट्री कुंजियों में हेरफेर करता है, हालांकि यह नियंत्रित, सिद्ध और सुरक्षित तरीके से करता है। हम इसका नियमित उपयोग करते हैं।

यह भी ध्यान देने योग्य है कि यह स्वचालन परिदृश्यों में मदद कर सकता है क्योंकि इसमें GUI संस्करण के अलावा कमांड लाइन संस्करण भी है।

एक ब्लॉग भी है जो कुछ परिवर्तनों पर चर्चा करता है और उन्हें क्यों बनाया गया है। SSL समस्या आने पर टूल को अद्यतित रखा जाता है।


0

टीएलएस 1.1 और 1.2 को सक्षम करने के लिए रिबूट की आवश्यकता होती है। आरसी 4 और डीएच को अक्षम करना सीधे सर्वर या सेवाओं को पुनरारंभ किए बिना है।

अगर मुझे सही से याद है, तो SSLv2 और SSLv3 को निष्क्रिय करना भी तुरंत प्रभावी था।


-1

https://technet.microsoft.com/en-us/library/dn786418.aspx

प्रोटोकॉल को सक्षम करने के लिए, DWORD मान को 0xffffffff में बदलें।


प्रोटोकॉल को सक्षम करने के लिए 0xffffffff या 1 है?
रविंद्रन केशवन

इस उत्तर पर यह लिंक कहता है कि मान 1 होना चाहिए, यह fff का उल्लेख नहीं करता है ... कहीं भी
टॉड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.