close

日前處理了幼華高中一個案子,台北市教育局要求網站都要增加SSL。

目前學校一台主機是2008 R2 要增加SSL ,但憑證上去了卻還是顯示不安全,後來查了資料才知道是TLS的問題。 因為2008R2沒有支援到 TLS 1.2 以上的版本。

所以2008R 要更新 Service Pack 1 ,並要確定是否有更新到 KB3140245、KB4019276  ,如果沒有更新到,要連到微軟去下載更新

KB3140245:http://www.catalog.update.microsoft.com/search.aspx?q=kb3140245
KB4019276:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276

安裝好修補程式後,還是修改註冊表才能以啟動 TLS 1.2。

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

此外IIS 不會從 Windows Schannel DisabledByDefault 登錄值繼承其 SSL 和 TLS 加密通訊協定版本預設值,所以還是要在修改登錄值。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A00

修改完後,關機重開,應該就可以運作了。我們也可以透由  SSL Server Test  去驗證是否啟動TLS1.2

arrow
arrow
    文章標籤
    SSL TLS 憑證安裝
    全站熱搜
    創作者介紹
    創作者 翰 的頭像

    Linux 技術資源站

    翰 發表在 痞客邦 留言(0) 人氣()