啟用 [停用 SSL3 和 TLS 1.0 後的 [IIS 管理員 」 和 「 Web 部署

適用於: Windows Server Datacenter CoreWindows Server Standard CoreWindows 10, version 1709 更多

摘要


網際網路資訊服務 (IIS) 系統管理員可以選擇停用較弱的通訊協定,例如 SSL3 和 TLS 1.0,基於相容性的其中一個,或降低風險,例如 POODLE 的攻擊。一般而言,通訊協定可以啟用,且在https://support.microsoft.com/en-us/kb/245030所述,透過登錄機碼,在伺服器上,停用。

不過,停用 SSL3 和 TLS 1.0 也會中斷某些 IIS 管理工具,例如 IIS 管理員 (inetmgr.exe) 和 Web 部署 (msdeploy.exe) 的用戶端功能。若要發佈到 Web 部署使用 Visual Studio 也受到影響。特定的徵狀,在此情況下是無法連線到伺服器,會觸發下列錯誤:

基礎連接已關閉: 傳送時發生未預期的錯誤。

< 其他資訊=""> 一節中的資訊描述如何使用 SSL3 及/或 TLS 1.0 停用這些工具。確切步驟視作業系統和安裝在電腦的.NET Framework 版本而定。

注意只在用戶端 (其中執行 inetmgr.exe/msdeploy.exe/Visual Studio) 上,而不是在伺服器 (在 IIS web 伺服器執行),則應實作這些變更。

更多的資訊


Windows Server 版本 1709年 / Windows 2016 / Windows 10 (iis 管理員 」 和 「 Web 部署)

設定 SchUseStrongCrypto 登錄機碼如下所示:
 
Windows 登錄編輯程式版本 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001


Windows 2012 R2 / 2012年 / Windows 8.1 / Windows 8 (iis 管理員 」 和 「 Web 部署)

已安裝的 NetFX 版本必須是 4.5.2 或更新版本,因為這是 4 的最小支援的 NetFX 版本。在這個作業系統平台上的x

設定 SchUseStrongCrypto 登錄機碼如下所示:
 
Windows 登錄編輯程式版本 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

或者,您也可以安裝下列更新的其中一項:
 
Windows 2008 R2 / (適用於 Web 部署與安裝的 4.5.2 NetFX) 的 Windows 7

請依照下列步驟所述的 Windows Server 2012 R2/Windows Server 2012。也就是安裝 NetFX 4.5.2,並透過登錄或安裝適用的 KB 文章中的更新,然後啟用 SchUseStrongCrypto。

此外,您必須設定下列登錄機碼,為 Windows 2008 R2 和 Windows 7 不要啟用 TLS 1.1 或 TLS 1.2 根據預設值:
 
Windows 登錄編輯程式版本 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000

然後,重新啟動電腦。

注意這些步驟都是以 NetFX 4.5.2 執行時的 [僅適用於 Web 部署。

對於 IIS 管理員的案例 (不論所安裝的 NetFX 版本) 或 Web 部署執行以預設的 NetFX 3.5,請參閱下列的規格。

Windows 2008 R2 / Windows 7 (適用於所有 IIS 管理員的案例或 Web 部署以預設的 NetFX 3.5)

安裝 NetFX 更新 (KB3154518),能讓在.NET Framework 3.5.1 TLS 1.2: https://support.microsoft.com/en-us/kb/3154518

然後,設定下列登錄機碼:
 
Windows 登錄編輯程式版本 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001

此外,您必須設定下列登錄機碼,因為 Windows 2008 R2 和 Windows 7 不要啟用 TLS 1.1/1.2 根據預設值:
 
Windows 登錄編輯程式版本 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000

重新啟動電腦。