Uma outra opção para ativar o SSL / TLS no Windows Server é usar SSL crypto para atualizar as chaves do Registro.
Além disso, você tem a possibilidade de gerenciar o conjunto de criptografia (Cifras, Hashes e Trocas de Chaves).
Eu tenho alguns problemas para obter o protocolo TLS 1.2 em execução em uma de nossas máquinas Windows Server 2012. Eu verifiquei isso usando ssllabs.com pela Qualys e também testei com um script powershell e a ferramenta de linux "cipherscan".
O servidor hospeda um servidor Exchange 2013 SP1 (CU4), com o IIS 8.0. O certificado utilizado é emitido pela nossa empresa CA. Outro Windows Server 2012 com a mesma instalação do Exchange 2013 SP1 (CU4) funciona perfeitamente com o mesmo certificado.
Como eu pude pesquisar, o Windows Server 2012 usa o TLS 1.2 por padrão. No entanto, esta configuração pode ser configurada usando o registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"
A Microsoft também menciona que essa configuração de política de grupo local pode ajudar:
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
Como essa configuração deve ser definida dentro do sistema operacional A Microsoft também recomenda ativar o uso do TLS 1.2 nas Opções da Internet do Internet Explorer.
Eu tentei todas essas 3 opções, mas nenhuma funcionou para mim. Só para deixar isso claro. O servidor (não apenas o Serviço do IIS) foi reinicializado nos horários do servidor depois de ativar cada uma das configurações.
A maioria dos guias e scripts (por exemplo, powershell) apenas define as chaves correspondentes no registro. Eu não sei exatamente o que mais eu poderia tentar.
Espero que alguém tenha a pista de onde ativar isso.
Uma outra opção para ativar o SSL / TLS no Windows Server é usar SSL crypto para atualizar as chaves do Registro.
Além disso, você tem a possibilidade de gerenciar o conjunto de criptografia (Cifras, Hashes e Trocas de Chaves).