Мне было поручено настроить сервер IIS7 для приема HTTPS-соединений TLS 1.0. только.
Я составил следующий список наборов шифров, которые, как я понял, - это TLS 1.0.
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Я поместил этот список в поле следующей политики: Конфигурация компьютера | Административные шаблоны | Сеть | Настройки конфигурации SSL | Заказ SSL Cipher Suite
Этого достаточно? Есть ли какой-либо из пакетов в моем списке не TLS 1.0? Существуют ли какие-либо другие наборы TLS 1.0, поддерживаемые IIS7, которых нет в списке?
Сервер, кстати, это Windows Server 2008 R2.
Спасибо
Компания под названием Nartac Software делает бесплатный IIS Crypto инструмент настройки, который можно использовать для включения / отключения протоколов и наборов шифров в IIS в Windows 2003, 2008 и 2012. Он также поставляется с шаблонами для настройки IIS в соответствии с FIPS 140.2, интегрируется с Qualys SSL анализатор сайтов для тестирования общедоступных URL-адресов и список других инструментов проверки, которые можно использовать для проверки внутренних сайтов.
Вы выполните аналогичную процедуру для http://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html за исключением того, что вы отключите не только SSL 2.0
http://support.microsoft.com/kb/187498 также есть информация
Проверь это Ограничить веб-сайт определенным протоколом шифрования. То же отлично работает для IIS 7 / 7.5.
Ограничение наборов шифров - неправильный метод, поскольку они также могут быть согласованы клиентом SSLv3, что приведет к SSLv3. Лучше всего следовать статье, на которую указал Роберт (http://support.microsoft.com/kb/187498) и установите соответствующие ключи реестра. Все остальное подвержено ошибкам.
Список всех поддерживаемых шифров в win2008. Это могло быть хорошим началом.