SSL/TLS에 대한 보안 채널을 설정할 수 없습니다 : Windows 서버 2008에서 TLS를 활성화하는 방법

Question

이 질문은 an answer on another question과 관련 있습니다. 정답을 가진 사람은 다음과 같이 글을 씁니다. In our case, the problem was resolved when the configuration on the destination server was changed to accept TLS.

나는 그가 어떻게 성취 할 수 있는지 구체적으로 물었습니다. John Saunders는 내가 그것에 대해 별도의 질문을 할 것을 제안했습니다. 따라서 여기에 있습니다 :

windows 2008에서 TLS를 사용하려면 어떻게합니까? this을 기반으로 레지스트리를 변경하고 서버를 다시 시작했습니다. 내가 고민하고있는 오류는 계속된다. TLS를 사용하려면 다른 작업이 필요합니까?

Answer 1

TLS 1.0은 Windows Server (WS) 2008에서 기본적으로 사용하도록 설정되어 있으므로 클라이언트에 최신 TLS 버전이 필요하다고 가정합니다. 새로운 TLS 프로토콜 버전 인 TLS 1.1 및 TLS 1.2에 대한 지원은 WS 2008 R2에 도입되었지만 기본적으로 비활성화되어 있습니다. WS 2012에서는 TLS 1.1과 TLS 1.2가 기본적으로 활성화되어 있습니다.

클라이언트에 TLS 1.1 또는 TLS 1.2가 필요한 경우 WS 2008 R2 이상으로 업그레이드해야합니다. WS 2008 R2에서 TLS 1.1 및 TLS 1.2를 수동으로 활성화 할 수 있습니다. 이 경우 How to restrict the use of certain cryptographic algorithms and protocols in Schannel.dll에 설명 된 일부 레지스트리 설정을 추가해야합니다. 관련 항목은 다음과 같습니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client] 
"DisabledByDefault"=dword:00000000 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server] 
"DisabledByDefault"=dword:00000000 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client] 
"DisabledByDefault"=dword:00000000 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server] 
"DisabledByDefault"=dword:00000000 

변경 사항을 적용하려면 재부팅해야합니다.

WS 2012로 업그레이드하면 기본적으로 TLS 1.1/1.2가 제공됩니다. 내 블로그 게시물 Hardening Windows Server 2008/2012 and Azure SSL/TLS configuration에서 TLS 구성에 대한 자세한 내용을 확인할 수 있습니다.