Назад | Перейти на главную страницу

Настройка IIS7 только для TLS 1.0

Мне было поручено настроить сервер IIS7 для приема HTTPS-соединений TLS 1.0. только.

Я составил следующий список наборов шифров, которые, как я понял, - это TLS 1.0.

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

Я поместил этот список в поле следующей политики: Конфигурация компьютера | Административные шаблоны | Сеть | Настройки конфигурации SSL | Заказ SSL Cipher Suite

Этого достаточно? Есть ли какой-либо из пакетов в моем списке не TLS 1.0? Существуют ли какие-либо другие наборы TLS 1.0, поддерживаемые IIS7, которых нет в списке?

Сервер, кстати, это Windows Server 2008 R2.

Спасибо

Компания под названием Nartac Software делает бесплатный IIS Crypto инструмент настройки, который можно использовать для включения / отключения протоколов и наборов шифров в IIS в Windows 2003, 2008 и 2012. Он также поставляется с шаблонами для настройки IIS в соответствии с FIPS 140.2, интегрируется с Qualys SSL анализатор сайтов для тестирования общедоступных URL-адресов и список других инструментов проверки, которые можно использовать для проверки внутренних сайтов.

Вы выполните аналогичную процедуру для http://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html за исключением того, что вы отключите не только SSL 2.0

http://support.microsoft.com/kb/187498 также есть информация

Проверь это Ограничить веб-сайт определенным протоколом шифрования. То же отлично работает для IIS 7 / 7.5.

Ограничение наборов шифров - неправильный метод, поскольку они также могут быть согласованы клиентом SSLv3, что приведет к SSLv3. Лучше всего следовать статье, на которую указал Роберт (http://support.microsoft.com/kb/187498) и установите соответствующие ключи реестра. Все остальное подвержено ошибкам.

Список всех поддерживаемых шифров в win2008. Это могло быть хорошим началом.