У нас есть система, которая должна предоставлять как базу данных, так и веб-службы. Мы хотим максимально заблокировать настройки безопасности TLS. Он работает под управлением MS SQL 2008 на Windows Server 2008 R2.
Я знаю, что SQL Server 2008 не поддерживает протокол выше TLS 1.0. Однако я все же хотел бы, чтобы веб-служба отклоняла входящие попытки согласования TLS 1.0. Лучшее, что я могу сказать, похоже, оба управляются одними и теми же ключами реестра SCHANNEL.
Есть ли способ отдельно управлять согласованием TLS для MSSQL и IIS в одной системе, чтобы MSSQL мог использовать TLS 1.0, но IIS был вынужден использовать только TLS 1.1 / 1.2?
Это обычное раздражение, которое не ограничивается SQL, но может также возникнуть, если вашим веб-серверам необходимо подключиться к третьим сторонам, которые не поддерживают TLS 1.1 или 1.2 (веб-службы и т. Д.). Мы можем обойти это с помощью балансировщика нагрузки (MS ARR) перед веб-серверами. Узел ARR заблокировал конфигурацию SSL для поддержки только TLS 1.1 и 1.2, но TLS 1.0 по-прежнему включен на фактических веб-узлах. Сайты кластера ARR в DMZ и прокси к веб-серверам в другой зоне.
Все серверы Windows используют поставщика безопасности SCHANNEL. Единственный способ, которым вы могли бы обойти это, - это если бы хотя бы один из ваших продуктов предоставлял собственных поставщиков безопасности. Ни IIS, ни MSSSQL этого не делают. Я не видел ни одного такого продукта Microsoft.
Я предлагаю вам перекусить и разделить это на два сервера. Если физическое оборудование вызывает беспокойство, посмотрите на настройку Hyperv и двух виртуальных машин.
В противном случае вы можете обнаружить, что настройка какого-либо обратного прокси - скажем, Apache - может помочь вам.