Включите TLS 1.2 в Windows Server 2012 с установленным Exchange 2013 и IIS 8.0.

Вопрос или проблема

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client!DisabledByDefault
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server!DisabledByDefault

Ответ или решение

Чтобы включить TLS 1.2 на Windows Server 2012 с установленным Exchange Server 2013 и IIS 8.0, следуйте приведенным ниже пошаговым инструкциям. Если предыдущие попытки не увенчались успехом, возможно, вам необходимо проверить дополнительные параметры конфигурации.

Шаг 1: Проверка наличия обновлений

Перед тем как начать, убедитесь, что ваша система имеет установленные все необходимые обновления. Для Windows Server 2012 может понадобиться обновление до уровня, поддерживающего TLS 1.2. Следите за тем, чтобы установить последние обновления безопасности и пакеты обслуживания, особенно для Exchange Server.

Шаг 2: Регистрация ключей реестра

Вы уже упомянули о необходимых ключах реестра. Пожалуйста, убедитесь, что вы корректно добавили и настроили следующие ключи:

1. Откройте редактор реестра (regedit).

2. Перейдите к следующему пути:

   HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

3. Проверьте наличие следующего параметра:

   • DisabledByDefault: Установите значение в 0.
   • Enabled: Создайте новый параметр DWORD, если его нет, и установите значение в 1.

4. Перейдите по этому же пути для сервера:

   HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

5. Настройте аналогичные параметры:

   • DisabledByDefault: Установите значение в 0.
   • Enabled: Установите значение в 1.

После изменения реестра рекомендуется перезагрузить сервер для применения изменений.

Шаг 3: Убедитесь, что нет других конфликтов

Проверьте, не отключены ли другие протоколы SSL/TLS, а также наличие конфликтующих настроек в реестре, которые могут помешать работе TLS 1.2. Особое внимание уделите следующим ключам:

• TLS 1.0 и TLS 1.1: Если у вас есть старые конфигурации, ограничивающие использование новых протоколов, отключите их, установив значение Enabled в 0 и DisabledByDefault в 1.

Шаг 4: Использование IIS Crypto

Рекомендуется использовать инструмент IISCrypto от Nartac Software для управления шифровыми наборами (cipher suites). Этот инструмент позволяет вам:

• Включать и отключать протоколы.
• Настраивать порядок шифрования и обеспечивать безопасность каналов.

1. Скачайте и установите IISCrypto с официального сайта.
2. Запустите программу с правами администратора.
3. На вкладке Protocols убедитесь, что отмечены только TLS 1.2.
4. На вкладке Cipher Suites установите порядок шифрования, который включает только безопасные шифры. Убедитесь, что шифры, поддерживающие TLS 1.2, имеют высший приоритет.
5. Примените изменения и перезагрузите сервер.

Шаг 5: Настройка Internet Explorer

Кроме того, как рекомендует Microsoft, проверьте настройки Internet Explorer:

1. Откройте Internet Explorer.
2. Перейдите в Настройки -> Свойства обозревателя.
3. На вкладке Дополнительно прокрутите до раздела Безопасность.
4. Убедитесь, что отмечена опция Использовать TLS 1.2.
5. Примените изменения и перезапустите браузер.

Шаг 6: Тестирование конфигурации

После всех изменений обязательно выполните тестирование:

• Используйте сервисы, такие как SSL Labs (Qualys), для проверки вашей конфигурации.
• Запустите командлет PowerShell для проверки доступности TLS 1.2:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Это поможет убедиться, что система теперь использует TLS 1.2 по умолчанию.

Заключение

Следуя вышеперечисленным шагам, вы должны успешно активировать поддержку TLS 1.2 на вашем Windows Server 2012 с Exchange Server 2013 и IIS 8.0. Убедитесь, что все настройки применены корректно и проведите тестирование для подтверждения работоспособности.