Вопрос или проблема
У меня возникли проблемы с запуском протокола TLS 1.2 на одном из наших серверов Windows Server 2012. Я проверил это с помощью ssllabs.com от Qualys и также протестировал с помощью скрипта PowerShell и инструмента для Linux “cipherscan”.
Сервер хостит один Exchange 2013 SP1 (CU4) сервер с IIS 8.0. Используемый сертификат выдан нашим корпоративным центром сертификации. Другой сервер Windows Server 2012 с такой же установкой Exchange 2013 SP1 (CU4) работает без проблем с тем же сертификатом.
Насколько я смог исследовать, Windows Server 2012 по умолчанию использует TLS 1.2. Однако эту настройку можно настроить с помощью реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DWORD "DisabledByDefault" Значение "0x00000000"
DWORD "Enabled" Значение "0x00000001" или "0xffffffff"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DWORD "DisabledByDefault" Значение "0x00000000"
DWORD "Enabled" Значение "0x00000001" или "0xffffffff"
Microsoft также упоминает, что эта локальная политика группы может помочь:
Системная криптография: Использовать алгоритмы, соответствующие стандарту FIPS, для шифрования, хеширования и подписывания
Поскольку эта настройка должна быть установлена внутри операционной системы, Microsoft также рекомендует включить использование TLS 1.2 в параметрах интернета Internet Explorer.
Я попробовал все эти 3 варианта, но ни один из них не сработал для меня. Просто чтобы прояснить: сервер (не только служба IIS) перезагружался несколько раз после включения каждой из настроек.
Большинство руководств и скриптов (например, PowerShell) просто устанавливают соответствующие ключи в реестре. Я не знаю, что еще я мог бы попробовать.
Надеюсь, что кто-то знает, где включить это.
Еще одним вариантом включения SSL/TLS на вашем сервере Windows является использование SSL crypto для обновления ключей реестра.
Кроме того, у вас есть возможность управлять набором шифров (шифры, хеши и обмен ключами).
Ответ или решение
Включение TLS 1.2 на Windows Server 2012 с Exchange 2013 через IIS 8.0
Для решения проблемы активации протокола TLS 1.2 на вашем сервере Windows Server 2012 с установленным Exchange 2013 SP1 (CU4) и IIS 8.0, необходимо выполнить несколько шагов, включая изменения в реестре и дополнительные проверки настроек.
1. Проверка настроек в реестре
Убедитесь, что вы правильно настроили следующие параметры в реестре:
-
Откройте редактор реестра (
regedit
). -
Перейдите к следующему пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- Убедитесь, что существует параметр:
DisabledByDefault
– установлен в0x00000000
Enabled
– установлен в0x00000001
или0xffffffff
- Убедитесь, что существует параметр:
-
Затем перейдите к следующему пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- Убедитесь, что существуют те же параметры:
DisabledByDefault
– установлен в0x00000000
Enabled
– установлен в0x00000001
или0xffffffff
- Убедитесь, что существуют те же параметры:
После изменения параметров обязательно перезагрузите сервер.
2. Настройка групповой политики
Как вы уже упомянули, важно проверить и, при необходимости, изменить следующие параметры локальной групповой политики:
- Перейдите к
Локальные политики
->Настройки безопасности
. - Найдите и убедитесь, что параметр
Система шифрования: Использовать алгоритмы FIPS, совместимые с требованиями для шифрования, хеширования и подписи
стоит в нужном положении.
3. Настройки Internet Explorer
Несмотря на то, что это может показаться несущественным, рекомендуется проверить настройки протоколов TLS в Internet Explorer:
- Откройте Internet Options (Параметры Интернета).
- Перейдите во вкладку
Advanced
(Дополнительно) и убедитесь, что опцииUse TLS 1.2
включены.
4. Использование IIS Crypto
Если предыдущие шаги не привели к желаемому результату, рассмотрите возможность использования приложения IISCrypto от Nartac Software. Это утилита значительно упрощает настройку криптографических протоколов и шифровальных наборов. Она автоматически устанавливает необходимые параметры в реестре и связывает их с IIS.
- Скачайте и установите IIS Crypto здесь.
- Запустите программу и убедитесь, что TLS 1.2 активирован в ее интерфейсе.
- Примените изменения и перезагрузите сервер.
5. Проверка шифровальных наборов
После выполнения вышеперечисленных действий убедитесь, что на сервере активированы необходимые шифровальные наборы. Они должны поддерживать протокол TLS 1.2. Для этого используйте утилиты, такие как ssllabs.com или cipherscan, для проверки доступных протоколов и шифров на вашем сервере.
Заключение
Убедитесь, что все настройки корректно применены, и проведите тщательное тестирование подключения TLS на сервере. Если вы продолжаете сталкиваться с проблемами, подумайте о временной роли резервного сервера, чтобы проверить конфигурации, или обратитесь за помощью к ИТ-специалисту. Убедитесь также, что операционная система и Exchange Server обновлены до последних версий, что может решить некоторые несовместимости.