TLS Verschlüsselung im IIS aktivieren

Dieser Artikel erklärt, wie Sie die Verschlüsselung zwischen Webclient und Internet Information Server (IIS) einstellen, bzw. verbessern können.

In den Grundeinstellungen verwendet der Internet Information Server je nach zugrundeliegendem Betriebssystem noch das ältere SSL Verfahren für Verschlüsselung, das noch heutigem Kenntnisstand als unsicher eingestuft wird.

Vorgehensweise

Um diese Einstellungen zu optimieren und TLS als Protokoll zu aktivieren, fügen Sie am IIS bitte folgende Registry Keys ein:

• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\DisabledByDefault = [REG_DWORD] = 0
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled = [REG_DWORD] = 1
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\DisabledByDefault = [REG_DWORD] = 0
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled = [REG_DWORD] = 1
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\DisabledByDefault = [REG_DWORD] = 0
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\Enabled = [REG_DWORD] = 1
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\DisabledByDefault = [REG_DWORD] = 0
• KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\Enabled = [REG_DWORD] = 1

Diese Einstellungen wirken ab Windows Server 2008R2 und IIS 7.5.

Nach dem Setzen dieser Registry Werte muss der Server neu gestartet werden, damit die Einstellungen aktiv werden.

Bitte beachten Sie in diesem Zusammenhang auch folgenden Hinweis von Microsoft:

• http://support.microsoft.com/kb/245030

Zum Testen der Verschlüsselungsmethode kann z. B. der Internet Explorer von Microsoft verwendet werden, durch Anpassung folgender Systemeinstellungen:

• Internetoptionen -> Erweitert -> Sicherheit -> 'SSL ... verwenden' deaktivieren und 'TLS 1.2 verwenden' aktivieren.
• Damit sollte eine Seite nur noch geöffnet werden können, wenn TLS 1.2 am Server unterstützt wird.