У меня возникли проблемы с запуском протокола TLS 1.2 на одной из наших машин с Windows Server 2012. Я проверил это с помощью ssllabs.com от Qualys, а также протестировал с помощью сценария PowerShell и инструмента Linux «cipherscan».
На сервере размещен один сервер Exchange 2013 SP1 (CU4) с IIS 8.0. Используемый сертификат выпущен нашей компанией CA. Другой Windows Server 2012 с той же установкой Exchange 2013 SP1 (CU4) отлично работает с тем же сертификатом.
Как я мог исследовать, Windows Server 2012 по умолчанию использует TLS 1.2. Однако этот параметр можно настроить с помощью реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"
Microsoft также упоминает, что этот параметр локальной групповой политики может помочь:
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
Поскольку этот параметр должен быть установлен внутри операционной системы, Microsoft также рекомендует включить использование TLS 1.2 в параметрах обозревателя Internet Explorer.
Я попробовал все эти 3 варианта, но ни один из них не помог мне. Просто чтобы прояснить это. Сервер (а не только служба IIS) несколько раз перезагружался после включения каждой из настроек.
Большинство руководств и скриптов (например, PowerShell) просто устанавливают соответствующие ключи в реестре. Не знаю, что еще можно попробовать.
Я надеюсь, что кто-то понял, где это включить.
Еще один вариант включения SSL / TLS на вашем Windows Server - использовать SSL-шифрование для обновления ключей реестра.
Кроме того, у вас есть возможность управлять набором шифров (шифры, хэши и обмен ключами).