IIS 7.5でTLS 1.1、1.2を有効にする方法
マイクロソフトによって明らかに実装されているが、デフォルトではオフになっているTLS 1.1および1.2を使用するWebブラウザーをサポートする必要があります。
そこで、Googleで検索してみたところ、誰もがフォローしているように見えるページがいくつか見つかりました。
http://support.Microsoft.com/kb/2450
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
しかしながら!うまくいかないようです。 DisabledByDefaultとTLS 1.1および1.2のEnabledの両方にDWORD値を設定しました。クライアントがTLS 1.2と通信しようとしていることを確認できますが、サーバーは1.0でのみ応答します。 IISを再起動しましたが、状況は変わりませんでした。
Microsoftは次のように指摘しています。「警告:Protocolsキーの下のレジストリキーのDisabledByDefault値は、Schannel資格情報のデータを含むSCHANNEL_CRED構造体で定義されているgrbitEnabledProtocols値よりも優先されません。」
まあ、それは私には非常にあいまいです。 SCHANNEL_CREDが定義または設定されている場所はどこにもありません。Microsoftライブラリで定義されている構造であると判断できました。これが機能しない理由の唯一の推測ですが、それが真の問題であるかどうかを判断するための十分な情報が見つかりません。
リブート。 Schannel設定の変更は、システムを再起動するまで有効になりません。
Microsoft SChannelプロトコルと暗号(暗号の順序を含む)を変更する最も簡単な方法は、 IIS Crypto を使用することです。これは、迷惑な登録要件なしでダウンロードできる完全に無料のツールです。
このツールはレジストリキーを内部で操作しますが、制御された実績のある安全な方法で操作します。常用しています。
GUIバージョンに加えてコマンドラインバージョンもあるので、自動化シナリオで役立つことにも注意してください。
blog もあり、変更の一部とその理由について説明しています。 SSLの問題が発生した場合、ツールは最新の状態に保たれる傾向があります。
TLS 1.1および1.2を有効にするには、再起動が必要です。 RC4およびDHの無効化は、サーバーまたはサービスを再起動せずに直接行います。
私が正しく覚えていれば、SSLv2とSSLv3を無効にすることも即座に効果的でした。