Perfect Forward Secrecy einrichten bei IIS 7.x

Um auf dem IIS die Clients zur Verwendung von starken Kryptomechanismen zu "nötigen", ist es notwendig, die Reihenfolge der unterstützten Cipher-Suits geändert werden. Eine unterstützte Liste finden Sie bei Microsoft.

Die Reihenfolge kann mittels Gruppenrichtlinien Editor verändert werden. Starten Sie zu diesem Zweck die MMC und fügen Sie der Konsole den Gruppenrichtilinien-Objekt-Editor hinzu.

klappen Sie nun den Baum auf, folgen Sie der Verzweigung Computerkonfiguration -> Administrative Vorlagen -> Netzwerk und klicken Sie auf SSL Konfiguration. Unter SSL Konfiguration öffnen Sie bitte "SSL-Verschlüsselungssammlungen" und folgen Sie den Anweisungen "So ändern Sie diese Einstellungen".

So ändern Sie diese Einstellung:

1. Öffnen Sie ein leeres Dokument in Editor.
2. Kopieren Sie die Liste der verfügbaren Sammlungen, und fügen Sie sie in das ::Dokument ein.
3. Ordnen Sie die Verschlüsselungssammlungen in der gewünschten Reihenfolge, und ::entfernen Sie alle Sammlungen, die Sie nicht verwenden möchten.
4. Setzen Sie am Ende jedes Verschlüsselungssammlungsnamens mit Ausnahme des letzten ::ein Komma. Achten Sie darauf, dass KEINE eingebetteten Leerzeichen vorhanden sind.
5. Entfernen Sie alle Zeilenumbrüche, sodass die Namen der Verschlüsselungssammlungen ::in einer einzelnen, langen Zeile stehen.
6. Kopieren Sie die Zeile mit Verschlüsselungssammlungen in die Zwischenablage, und ::fügen Sie sie dann in das Bearbeitungsfeld ein. Die Maximallänge beträgt 1023 ::Zeichen.