В процессе настройки веб-сайта HTTPS и в соответствии с передовой практикой я сначала отключил ssl v3 (с этим нет проблем), а затем отключил старые небезопасные шифры и включил только:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
Однако после этого я больше не могу входить в систему через удаленный рабочий стол. Возможно какая-то несовместимость шифров? Клиент RD находится на Windows XP, сервер - на Windows 2012 R2. Как я могу это решить? Я не хочу повторно включать старые небезопасные шифры для IIS.
заранее спасибо
В дополнение к включению TLS 1.0 вам также необходимо включить 3DES, если вам абсолютно необходимо RDP к серверу от клиента XP.
Это неправильный ответ, правильный ответ - использовать современную, безопасную и поддерживаемую клиентскую ОС; в настоящее время Windows 7 или новее.
Никто не должен использовать Windows XP сегодня, за исключением очень исключительных обстоятельств, когда машина должна быть закрыта. Вы, конечно же, НЕ должны использовать его для администрирования веб-сервера !!
Более старые версии RDP не поддерживают ничего выше TLS 1.0. Есть патч для Windows 7 и Windows Server 2008 R2 Вот. Windows 2012 поддерживает этот OOTB. TLS 1.1 и TLS 1.2 включены по умолчанию в выпусках Windows 8.1 после выпуска. Windows XP - EOL, патча нет. Поэтому, если вы отключите TLS 1.0 на стороне сервера, вы не сможете подключиться к клиенту Windows XP.