Назад | Перейти на главную страницу

Можно ли принудительно использовать TLS 1.2 на сайте IIS

У меня есть сайт IIS, на котором я хочу принудительно использовать TLS 1.2. Я не хочу, чтобы клиент, использующий TLS 1, мог подключиться к сайту.

Я хочу сделать это на уровне сайта, так как есть другие сайты, которые должны работать со старой версией.

Спасибо

Опция 1: Для IIS в Windows Server 2019 (с последними обновлениями) Microsoft добавила возможность отключить это для привязки сертификата для каждого сайта: https://docs.microsoft.com/en-us/security/disable-legacy-tls. В разделе «Привязки сайтов» вашего сайта в IIS выберите параметр «Отключить устаревший TLS».

Вариант 2: Вы также можете использовать IIS Crypto (бесплатно), который представляет собой удобный инструмент для настройки общесистемных параметров SCHANNEL с учетом передовых методов. Он будет работать на большинстве версий Windows Server. Это повлияет на IIS и все другие службы клиент / сервер, запущенные на компьютере, но вы можете установить отдельные параметры поддержки версии TLS для клиента и сервера.

Невозможно изменить только один сайт на сервере для поддержки только TLS 1.2. IIS управляется с помощью SCHANNEL, как описано в документации. Вот. 2012r2 и ниже не поддерживает конфигурацию сайта.

Если вам абсолютно необходимо сделать что-то подобное, самый простой способ - это прокси-сервер SSL, который разрешает входящие соединения нижнего уровня и может создавать исходящие соединения TLS 1.2. Этот ретранслятор можно использовать для сайтов нижнего уровня, и к вашему защищенному сайту можно получить прямой доступ.