Rackspace důrazně doporučuje povolit Transport Layer Security (TLS) protokol 1.2 nebo novější na Windows Server. Od konce roku 2020 již TLS verze 1.0 a 1.1 nejsou podporovány. To znamená, že systémy, které nepodporují TLS 1.2 nebo vyšší, nyní nemohou vytvářet zabezpečená připojení.
UPOZORNĚNÍ: Tento článek obsahuje kroky, které vám sdělí, jak upravit registr. Při nesprávných úpravách registru však mohou nastat vážné problémy. Proto se ujistěte, že postupujete pečlivě. Chcete-li zvýšit ochranu, zálohujte registr před jeho úpravou. Potom můžete obnovit registr, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v části Jak zálohovat a obnovit registr v systému Windows.
Předpoklady
1- Pro Windows Server 2008 SP2 musí být nainstalována KB4019276. 2- Pro Windows Server 2008 R2 musí být nainstalován Windows Server 2008 R2 Service Pack 1 KB976932. 3- Framework .NET na vašem serveru by měl být 4.5 nebo novější.
Jak ručně povolit TLS 1.2.
Podle článku Nastavení TLS-SSL, aby bylo možné TLS 1.2 povolit a vyjednat systémem Windows, musí být následující umístění registru, podklíče a hodnoty nastaveny následovně:
- Podklíč klienta TLS 1.2
- Umístění registru:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- Název DWORD:DisabledByDefault
- Hodnota DWORD:0
- Název DWORD:Povoleno
- Hodnota DWORD:1
- Umístění registru:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- Podklíč serveru TLS 1.2
- Umístění registru:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- Název DWORD:DisabledByDefault
- Hodnota DWORD:0
- Název DWORD:Povoleno
- Hodnota DWORD:1
- Umístění registru:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
Jak povolit TLS 1.2 pomocí Powershell.
Chcete-li povolit TLS 1.2, spusťte v Powershell následující příkazy:
# Make TSL 1.2 protocol registry keys.
md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2"
md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server"
md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client"
# Enable TLS 1.2 for client and server SCHANNEL communications.
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "Enabled" -value 1 -PropertyType "DWord"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "Enabled" -value 1 -PropertyType "DWord"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "DisabledByDefault" -value 0 -PropertyType "DWord"
POZNÁMKA: Změny se projeví až po restartu.
Související články
- Plán na změnu:TLS 1.0 a TLS 1.1 budou ve výchozím nastavení brzy zakázány
- Jak zálohovat a obnovit registr v systému Windows.
- Windows Update KB4019276
- Windows Update KB976932
- Nastavení TLS-SSL
Pomocí karty Zpětná vazba můžete přidat komentáře nebo položit otázky. Můžete s námi také zahájit konverzaci.