Perfect Forward Secrecy einrichten bei IIS 7.x

Aus SSLplus
Version vom 27. Juni 2014, 11:18 Uhr von Icmichaelis (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Perfect Forward Secrecy einrichten bei IIS 7.x

Um auf dem IIS die Clients zur Verwendung von starken Kryptomechanismen zu "nötigen", ist es notwendig, dass die Reihenfolge der unterstützten Cipher-Suits geändert wird. Eine unterstützte Liste finden Sie bei Microsoft.

Die Reihenfolge kann mittels Gruppenrichtlinien Editor verändert werden. Starten Sie zu diesem Zweck die MMC und fügen Sie der Konsole den Gruppenrichtlinien-Objekt-Editor hinzu.

MMC uebersicht.PNG

Klappen Sie nun den Baum auf, folgen Sie der Verzweigung Computerkonfiguration -> Administrative Vorlagen -> Netzwerk und klicken Sie auf SSL Konfiguration. Unter SSL Konfiguration öffnen Sie bitte "SSL-Verschlüsselungssammlungen" und folgen Sie den Anweisungen "So ändern Sie diese Einstellungen".

So ändern Sie diese Einstellung:

MMC ssl konfig.PNG

  1. Öffnen Sie ein leeres Dokument in Editor.
  2. Kopieren Sie die Liste der verfügbaren Sammlungen, und fügen Sie sie in das ::Dokument ein.
  3. Ordnen Sie die Verschlüsselungssammlungen in der gewünschten Reihenfolge, und ::entfernen Sie alle Sammlungen, die Sie nicht verwenden möchten.
  4. Setzen Sie am Ende jedes Verschlüsselungssammlungsnamens mit Ausnahme des letzten ::ein Komma. Achten Sie darauf, dass KEINE eingebetteten Leerzeichen vorhanden sind.
  5. Entfernen Sie alle Zeilenumbrüche, sodass die Namen der Verschlüsselungssammlungen ::in einer einzelnen, langen Zeile stehen.
  6. Kopieren Sie die Zeile mit Verschlüsselungssammlungen in die Zwischenablage, und ::fügen Sie sie dann in das Bearbeitungsfeld ein. Die Maximallänge beträgt 1023 ::Zeichen.