强制远程IIS管理器通过TLS 1.2连接
我已经在WindowsServer2019Core1809 (ltsc)上设置了一个新的IIS 10。
我已经设置了wmsvc服务,并确认它正在工作。我能够通过IIS通过wmsvc端口从远程管理服务器(Windows 2019)连接到IIS,开发人员还可以从他们的Windows 10计算机上使用WebDeploy,后者也使用wmsvc。
然后,根据Qualys指南,我继续加强我的服务器。为了在密码套件等方面取得很好的成绩,我使用了IISCryptoCli
我在IIS上使用了以下命令:
IISCryptoCli.exe /backup BackupCrypto.reg /template strict /reboot为什么我使用strict模板而不是best模板?因为它是唯一禁用被否决的TLS 1.0和TLS 1.1的
现在问题是--从那时起,我无法从RemoteServer连接到IIS,开发人员也不再使用WebDeploy了。在尝试连接时,我们总是会收到以下错误:
基础连接已关闭:发送时发生意外错误。
我找到了描述问题的以下地点,它说我必须向想要连接的远程机器中添加以下注册表项,以强制使用TLS1.2协议:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
我做了,然后重新启动机器,然而
然后,我使用IISCrypto在远程管理服务器上将TLS协议设置为best,并重新启动它们--仍然无法工作。
之后,我将我的IIS设置为best模板,该模板重新启用了TLS1.0和TLS1.1,并重新启动了我的IIS --仍然无法工作。
我还能做什么?如何才能启用TLS1.2,并且仍然可以通过wmsvc进行有效的IIS管理?
更新:
我开始认为TLS的改变不是错误。
我又回到了以下几个方面:
- 我通过卸载
WAS和Web-Server功能完全重置了IIS,我基本上拥有一个完全干净的IIS (我可以确认这一点,因为在重新安装WAS和Web-Server之后,administration.config和applicationhost.config被重置为默认状态)。此外,在此操作期间,WMSVC被完全重置。 - 我基本上卸载了每个程序(包括所有.net核心包、WebDeploy等)。
- 我还将所有TLS内容设置为默认设置。
但问题依然存在。我在网上发现很多人都有同样的问题,但没有解决办法.嗯..。
更新2:
我现在设置了一个新的IIS,并且基本上在每一步之间都做了备份。一旦我设置了strict模板IISCrypto,一切就会中断。一旦我实现了默认的注册表条目,一切就会再次正常工作。
..。现在突然间,当我在两个注册表项中使用SchUseStrongCrypto时,它就起作用了。真奇怪。但不管怎样我现在很开心。看起来,在我的第一个IIS中,有什么东西把注册表中的一些东西弄乱了,却一直没有恢复。
回答 2
Server Fault用户
发布于 2021-04-20 17:29:25
我这里有两个2019年服务器,安装了IIS。服务器A安装了管理服务。在服务器B上,我可以使用IIS管理器使用默认的Windows设置连接到服务器A。
我使用IIS Crypt GUI将服务器A上的TLS设置更改为:
如您所见,只有TLS1.2被启用,所有密码套件都被启用,但也有一些可以被禁用。
我仍然能够从服务器B连接到服务器A。
我还没试过WebDeploy
Server Fault用户
发布于 2022-02-22 16:32:34
我不得不删除web管理角色,重新启动并重新添加它。启用远程管理注册表项并执行WINRM服务启动并将其设置为“自动”。
我认为,如果您安装的web管理服务,而被削弱的TLS仍然启用,它锁定,不会松手。
如果我只将服务器设置为TLS 1.2,重新启动,然后安装web managemnt角色,我就没有问题了。
https://serverfault.com/questions/1060929
复制相似问题
腾讯云开发者
