Заставить удаленный диспетчер IIS подключаться через TLS 1.2
Я установил новый IIS 10 на Windows Server 2019 Core 1809 (ltsc).
Я установил службу wmsvc и подтвердил, что она работает. Мне удалось подключиться с сервера удаленного администрирования (Windows Server 2019) к серверу IIS через диспетчер IIS через порт wmsvc , а разработчики смогли использовать WebDeploy , который также использует wmsvc на своих машинах с Windows 10.
Затем я приступил к усилению защиты моего Сервера в соответствии с рекомендациями Qualys SSL . Чтобы получить очень хорошую оценку за наборы шифров и т. Д., Я использовал IISCryptoCli
. Я использовал следующую команду в моем IIS:
IISCryptoCli.exe /backup BackupCrypto.reg /template strict /reboot
Почему я использовал шаблон strict вместо ] лучший шаблон? Потому что это единственный, который отключает устаревшие TLS 1.0 и TLS 1.1
Теперь дело в том, что с тех пор я не могу подключиться к своему диспетчеру IIS с RemoteServer, и разработчики не могут использовать WebDeploy больше нет. При попытке подключения мы всегда получаем следующую ошибку:
Базовое соединение было закрыто: при отправке произошла непредвиденная ошибка.
Я нашел следующий сайт , на котором описывается проблема и говорится, что я должен добавить следующие ключи реестра к удаленным машинам, которые хотят подключиться, чтобы принудительно использовать протокол TLS 1.2:
-
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001 {{1} } -
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ .NETFramework \ v4.0.30319] "SchUseStrongCrypto" = dword: 00000001
что я сделал, а затем перезагрузил машины, однако - все равно не повезло.
Затем я использовал IISCrypto , чтобы установить протокол TLS на лучший на моих серверах удаленного администрирования и перезагрузил их - все еще не работает.
после этого я установил свой IIS на лучший шаблон, который повторно включил TLS 1.0 и TLS 1.1 и перезагрузил мой IIS - все еще не работает.
Что еще я могу сделать? Как я могу включить только TLS 1.2 и по-прежнему иметь работающее удаленное управление IIS через wmsvc ?
Обновление:
Я начинаю думать, что изменение TLS не было ошибкой.
Я вернул следующее:
- Я полностью сбросил IIS, удалив
WASиWeb-ServerFeature, у меня в основном полностью чистый IIS (я могу подтвердить это, потому чтоadministrator.configиapplicationhost.configсбрасывается в состояние по умолчанию после того, как я переустановилWASивеб-сервер.) ТакжеWMSVCбыл полностью сброшен во время этой операции - Я удалил практически все программы (включая все основные пакеты .net, WebDeploy и т. Д.)
- Я также вернул все TLS к значениям по умолчанию.
по-прежнему проблема не устранена. Я нахожу много материалов в Интернете, где у людей возникает та же проблема, но нет решения ... хммм ..
Обновление 2:
Я установил новый IIS сейчас и делал резервную копию в основном между каждым шагом .
Действительно, как только я устанавливаю строгий шаблон для IISCrypto , все ломается. Как только я добавлю записи в реестр по умолчанию, все снова заработает.
... И теперь внезапно это работает, когда я использую SchUseStrongCrypto в двух ключах реестра. Странный.Но как бы то ни было, теперь я счастлив. Похоже, на моем первом IIS что-то испортило что-то в реестре, что так и не удалось восстановить.
У меня есть два сервера 2019 года с установленным IIS. На сервере A установлена служба управления. На сервере B я могу использовать диспетчер IIS для подключения к серверу A с настройками Windows TLS по умолчанию.
Я изменил настройки TLS на сервере A с помощью графического интерфейса IIS Crypt на следующие:
Как видите, включен только TLS 1.2, все наборы шифров включены, но некоторые также можно отключить.
Я все еще могу подключиться с сервера B к серверу A.
Я не пробовал WebDeploy