IISサイトでTLS 1.2を強制することは可能ですか？

Question

IIS TLS 1.2を強制したいサイトがあります。TLS1を使用しているクライアントがサイトに接続できるようにしたくありません。

古いバージョンで動作するはずのサイトが他にもあるので、サイトレベルでこれを実行したいと考えています。

ありがとうございました

Tim Brigham · Accepted Answer

サーバー上の単一のサイトのみを変更してTLS 1.2のみをサポートする方法はありません。 IISはドキュメントに記載されているようにSCHANNELを使用して管理されます here 。2012r2以下はサイトごとの構成をサポートしていません。

このようなことを絶対に行う必要がある場合、最も簡単な方法は、低レベルのインバウンドを許可し、TLS 1.2接続をアウトバウンドで作成できるSSLプロキシです。このリレーは、低レベルのサイトに使用でき、安全なサイトに直接アクセスできます。

Nitin Agarwal · Answer

オプション1：IIS on Windows Server 2019（with latest update））の場合、Microsoftはこれを無効にする機能を追加しましたサイトごとの証明書バインディングベース： https://docs.Microsoft.com/en-us/security/disable-legacy-tls 。 IIS内のサイトのバインド」で、「レガシーTLSを無効にする」オプションを選択します。

オプション2： IIS Crypto （無料）も使用できます。これは、システム全体のSCHANNEL設定を設定するための便利なツールですベストプラクティスで。ほとんどのバージョンのWindows Serverで動作します。これは、IISおよびマシンで実行されている他のすべてのクライアント/サーバーサービスに影響しますが、クライアントとサーバーに別々のTLSバージョンサポート設定を設定できます。