202110281532https 連線 - 強制使用 TLS 1.2 連線 - IIS

從早期無感的關閉舊版 SSL 2.0/3.0 到開始對資安要求變嚴,就繼續要求關閉 TLS 1.0/1.1 但是有些舊作業系統的服務、SOAP 一但強制改為 TLS 1.2 就會出現一些無法連線問題,簡單紀錄一下處理的過程。

註:TLS是傳輸層安全協議(Transport Layer Security)的縮寫,當使用電子郵件系統服務時,依靠它提供資料加密和完整性保護。TLS 1.0及TLS 1.1已被證實具有安全風險,為確保連線機制的安全性,包含蘋果、微軟以及Google等自2018年陸續停止支援TLS 1.0及 TLS 1.1協定。停用TLS 1.0/1.1後,若您使用的瀏覽器不支援TLS 1.2,可能會看到「無法顯示此網頁」的錯誤畫面,建議適當升級瀏覽器版本。

參考說明:https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16508 
.NET Framework 的傳輸層安全性 (TLS) 最佳做法 https://docs.microsoft.com/zh-tw/dotnet/framework/network-programming/tls?WT.mc_id=DOP-MVP-37580 

那怎麼知道瀏覽器是怎麼跟伺服器用哪種連線呢?
如果你是使用 Google Chrome ,可以瀏覽該網站的時後按下 F12,然後點選 Security 頁籤,就可以看到憑證狀態、SSL/TLS 版本與加密的方式,並且可能會給予建議,像底下圖片例子就建議拿掉過時的 AES-256-CBC 啟用 AES-GCM-based cipher suite.

20211028_06.png - 2021

 

 

方法一:Server 主機端強制使用 Strong Crypto

將底下 Registry code 內容,使用記事本存入到檔名 StrongCrypto.reg,接著執行他就會讓電腦以較強的 StrongCrypto 方式執行,預設可能是 TLS 1.2

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoft.NETFrameworkv2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoft.NETFrameworkv4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

參考:https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

然後重新啟動 IIS 站台

 

方法二:修改主機端 .net Framework 版本,並使其使用較新版本

我的例子原本是使用 Framework 4.5 然後改用 4.6.1

20211028_02.png - 2021
20211028_03.png - 2021

接著修改 web.config,確認 targetFramework 版本與 增加 httpRuntime targetFramework 這一行,如果本來就存在就檢視/修改版本

<system.web>
<compilation debug="true" targetFramework="4.6.1"/>
<httpRuntime targetFramework="4.6.1"/>
</system.web>

然後重新發行

 

方法三:安裝 IISCrypto,以軟體的方式來設定修改 Registry 

20211028_04.png - 2021

https://www.nartac.com/Products/IISCrypto/Download

20211028_05.png - 2021

~END

回應
Google Search
Google
累積 | 今日
loading......
平均分數:0 顆星
投票人數:0
我要評分:
Google