Habilite o TLS 1.2 no Windows Server 2012 executando o Exchange 2013 via IIS 8.0

5

Eu tenho alguns problemas para obter o protocolo TLS 1.2 em execução em uma de nossas máquinas Windows Server 2012. Eu verifiquei isso usando ssllabs.com pela Qualys e também testei com um script powershell e a ferramenta de linux "cipherscan".

O servidor hospeda um servidor Exchange 2013 SP1 (CU4), com o IIS 8.0. O certificado utilizado é emitido pela nossa empresa CA. Outro Windows Server 2012 com a mesma instalação do Exchange 2013 SP1 (CU4) funciona perfeitamente com o mesmo certificado.

Como eu pude pesquisar, o Windows Server 2012 usa o TLS 1.2 por padrão. No entanto, esta configuração pode ser configurada usando o registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"

A Microsoft também menciona que essa configuração de política de grupo local pode ajudar:

System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing

Como essa configuração deve ser definida dentro do sistema operacional A Microsoft também recomenda ativar o uso do TLS 1.2 nas Opções da Internet do Internet Explorer.

Eu tentei todas essas 3 opções, mas nenhuma funcionou para mim. Só para deixar isso claro. O servidor (não apenas o Serviço do IIS) foi reinicializado nos horários do servidor depois de ativar cada uma das configurações.

A maioria dos guias e scripts (por exemplo, powershell) apenas define as chaves correspondentes no registro. Eu não sei exatamente o que mais eu poderia tentar.

Espero que alguém tenha a pista de onde ativar isso.

    
por Kevin 16.02.2015 / 13:51

1 resposta

0

Uma outra opção para ativar o SSL / TLS no Windows Server é usar SSL crypto para atualizar as chaves do Registro.

Além disso, você tem a possibilidade de gerenciar o conjunto de criptografia (Cifras, Hashes e Trocas de Chaves).

link

    
por 21.07.2017 / 16:18