我需要将IIS 7.5(Server 2008 R2)configuration为符合FIPS 140.2。
具体来说,这涉及到禁用除TLS 1.0以外的所有SSL协议。
我已经设置了以下registry项:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
启用(DWORD)= 0根据此知识库 ,但SSL实验室的检查器说:“SSL 2.0+升级支持”启用。 (除了那个和TLS 1.0以外的东西都不可用,所以我们正在某处)。 它也说“FIPS准备好 – 没有” – 大概是因为SSL 2.0+升级支持仍然启用。
serversniff.net说SSL 2.0已closures,并没有说任何关于SSL 2.0+升级支持。 这可能是SSL实验室的检查器的一个exception?
这意味着服务器支持SSLv2握手,尽pipe它本身可能不支持SSLv2。 本质上这是一个优化。 客户端可以使用SSLv2握手来指示对SSLv2握手(而不是SSLv2握手)和失败较新的协议。
您可以通过将浏览器中的configuration更改为仅接受SSL 2.0来确认这是SSL实验室检查程序的问题。 如果您可以连接到您的网站,则仍然启用SSL 2.0。 否则,它被禁用。
一家名为Nartac软件的公司制作了一个免费的IIS Cryptoconfiguration工具,该工具可用于在Windows 2003,2008和2012的IIS中启用/禁用协议和密码套件。它还提供了configurationIIS以符合FIPS 140.2的模板,用于testing公共网站的Qualys SSL站点分析器,以及可用于validation内部站点的其他validation工具列表。