Вопрос или проблема
Мне нужно включить TLS 1.2 на Windows Server 2012. Я проверил это с помощью ssllabs.com от Qualys, скрипта PowerShell и инструмента cipherscan для Linux.
Сервер хостит Exchange Server 2013 SP1 (CU4) с IIS 8.0. Сертификат выдан нашим корпоративным центром сертификации. Другой Windows Server 2012 с Exchange 2013 SP1 (CU4) работает с тем же сертификатом.
Windows Server 2012 по умолчанию использует TLS 1.2. Эту настройку можно изменить с помощью реестра:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client!DisabledByDefault
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server!DisabledByDefault
Microsoft также рекомендует включить использование TLS 1.2 в Internet Explorer.
Я пробовал эти варианты, но ни один из них не сработал.
Надеюсь, что кто-то подскажет, где это можно включить.
Еще одним вариантом включения SSL/TLS на вашем Windows Server является использование SSL crypto для обновления ключей реестра.
Кроме того, у вас есть возможность управлять набором шифров (шифры, хэши и обмен ключами).
Ответ или решение
Чтобы включить TLS 1.2 на Windows Server 2012 с установленным Exchange Server 2013 и IIS 8.0, следуйте приведенным ниже пошаговым инструкциям. Если предыдущие попытки не увенчались успехом, возможно, вам необходимо проверить дополнительные параметры конфигурации.
Шаг 1: Проверка наличия обновлений
Перед тем как начать, убедитесь, что ваша система имеет установленные все необходимые обновления. Для Windows Server 2012 может понадобиться обновление до уровня, поддерживающего TLS 1.2. Следите за тем, чтобы установить последние обновления безопасности и пакеты обслуживания, особенно для Exchange Server.
Шаг 2: Регистрация ключей реестра
Вы уже упомянули о необходимых ключах реестра. Пожалуйста, убедитесь, что вы корректно добавили и настроили следующие ключи:
-
Откройте редактор реестра (regedit).
-
Перейдите к следующему пути:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
-
Проверьте наличие следующего параметра:
- DisabledByDefault: Установите значение в
0
. - Enabled: Создайте новый параметр DWORD, если его нет, и установите значение в
1
.
- DisabledByDefault: Установите значение в
-
Перейдите по этому же пути для сервера:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
-
Настройте аналогичные параметры:
- DisabledByDefault: Установите значение в
0
. - Enabled: Установите значение в
1
.
- DisabledByDefault: Установите значение в
После изменения реестра рекомендуется перезагрузить сервер для применения изменений.
Шаг 3: Убедитесь, что нет других конфликтов
Проверьте, не отключены ли другие протоколы SSL/TLS, а также наличие конфликтующих настроек в реестре, которые могут помешать работе TLS 1.2. Особое внимание уделите следующим ключам:
- TLS 1.0 и TLS 1.1: Если у вас есть старые конфигурации, ограничивающие использование новых протоколов, отключите их, установив значение Enabled в
0
и DisabledByDefault в1
.
Шаг 4: Использование IIS Crypto
Рекомендуется использовать инструмент IISCrypto от Nartac Software для управления шифровыми наборами (cipher suites). Этот инструмент позволяет вам:
- Включать и отключать протоколы.
- Настраивать порядок шифрования и обеспечивать безопасность каналов.
- Скачайте и установите IISCrypto с официального сайта.
- Запустите программу с правами администратора.
- На вкладке Protocols убедитесь, что отмечены только TLS 1.2.
- На вкладке Cipher Suites установите порядок шифрования, который включает только безопасные шифры. Убедитесь, что шифры, поддерживающие TLS 1.2, имеют высший приоритет.
- Примените изменения и перезагрузите сервер.
Шаг 5: Настройка Internet Explorer
Кроме того, как рекомендует Microsoft, проверьте настройки Internet Explorer:
- Откройте Internet Explorer.
- Перейдите в Настройки -> Свойства обозревателя.
- На вкладке Дополнительно прокрутите до раздела Безопасность.
- Убедитесь, что отмечена опция Использовать TLS 1.2.
- Примените изменения и перезапустите браузер.
Шаг 6: Тестирование конфигурации
После всех изменений обязательно выполните тестирование:
- Используйте сервисы, такие как SSL Labs (Qualys), для проверки вашей конфигурации.
- Запустите командлет PowerShell для проверки доступности TLS 1.2:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Это поможет убедиться, что система теперь использует TLS 1.2 по умолчанию.
Заключение
Следуя вышеперечисленным шагам, вы должны успешно активировать поддержку TLS 1.2 на вашем Windows Server 2012 с Exchange Server 2013 и IIS 8.0. Убедитесь, что все настройки применены корректно и проведите тестирование для подтверждения работоспособности.