Решено включить tls 1.2 в exchange

Diversant

Случайный прохожий
Здравствуйте коллеги! Поднят сервер exchange 2010 в единственном экземпляре, с тремя ролями. Outlook Web Access опубликован через TMG. Проброшен порт 443 для доступа из мира по https протоколу, сертификат выдан из своего центра сертификации. Когда из мира пользователь заходит в OWA выдается предупреждение:
Соединение с mail.domain.org защищено с помощью устаревших наборов шифров. В этом подключении используется протокол TLS 1.0.
Для аутентификации сообщений используется AES_256_CBC с HMAC-SHA1, для обмена ключами используется ECDHE_RSA
Подскажите как включить TLS 1.2 в моем случае? Что нужно для этого сделать? Спасибо за ответы заранее..
 
Электронная подпись

deadushka

Участник
To enable TLS 1.2 for both server (inbound) and client (outbound) connections on an Exchange Server please perform the following.
  1. From Notepad.exe, create a text file named TLS12-Enable.reg.
  2. Copy and paste the following text into the file.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
  1. Save TLS12-Enable.reg.
  2. Double-click the TLS12-Enable.reg file.
  3. Click Yes to update your Windows Registry with these changes.
  4. Restart the machine for the changes to take effect.
[h=3]Enable TLS 1.2 for .NET 3.5[/h]
This step is only required for Exchange Server 2010 installations where .NET 3.5 is relied upon. Exchange Server 2013 or later installations may skip this step unless you have additional applications on the server utilizing .NET 3.5 which must be able to use TLS 1.2.

The SystemDefaultTlsVersions registry value defines which security protocol version defaults will be used by .NET Framework 3.5. If the value is set to 0, then .NET Framework 3.5 will default to using SSL 3.0 or TLS 1.0. If the value is set to 1, then .NET Framework 3.5 will inherit its defaults from the Windows Schannel DisabledByDefault registry values. If the value is undefined, it will behave as if the value is set to 0. By configuring .NET Framework 3.5 to inherit its values from Schannel we gain the ability to use TLS 1.2.
  1. From Notepad.exe, create a text file named NET35-UseSchannelDefaults.reg.
  2. Copy, and then paste the following text.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
  1. Save the NET35-UseSchannelDefaults.reg file.
  2. Double-click the NET35-UseSchannelDefaults.reg file.
  3. Click Yes to update your Windows Registry with these changes.
  4. Restart your computer for the change to take effect.
[h=3]Enable TLS 1.2 for .NET 4.x[/h]
This step is only required for Exchange Server 2013 or later installations where .NET 4.x is relied upon.

The SystemDefaultTlsVersions registry value defines which security protocol version defaults will be used by .NET Framework 4.x. If the value is set to 1, then .NET Framework 4.x will inherit its defaults from the Windows Schannel DisabledByDefault registry values. If the value is undefined, it will behave as if the value is set to 0. By configuring .NET Framework 4.x to inherit its values from Schannel we gain the ability to use the latest versions of TLS supported by the OS, including TLS 1.2.
  1. From Notepad.exe, create a text file named NET4X-UseSchannelDefaults.reg.
  2. Copy, and then paste the following text.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
  1. Save the NET4X-UseSchannelDefaults.reg file.
  2. Double-click the NET4X-UseSchannelDefaults.reg file.
  3. Click Yes to update your Windows Registry with these changes.
  4. Restart your computer for the change to take effect.
Note: When configuring a system for TLS 1.2, you can make the Schannel and .NET registry keys at the same time and reboot the server once. [h=2]Validating TLS 1.2 is in use and identifying older incoming connections.[/h]
Once TLS 1.2 has been enabled it may be helpful to validate your work was successful and the system is able to negotiate TLS 1.2 for inbound (server) connections and outbound (client) connections. We will provide a few methods for validating this.
 

Lenny

Почетный гость
Включение tls 1.2 в IIS c 256 битным ключом

Так же нужно проставить обновления на ос и последние rollup update
 

Apossum

Участник
Здравствуйте коллеги! Поднят сервер exchange 2010 в единственном экземпляре, с тремя ролями. Outlook Web Access опубликован через TMG. Проброшен порт 443 для доступа из мира по https протоколу, сертификат выдан из своего центра сертификации. Когда из мира пользователь заходит в OWA выдается предупреждение:

Подскажите как включить TLS 1.2 в моем случае? Что нужно для этого сделать? Спасибо за ответы заранее..
если используете свой центр сертификации то н должен поддерживать современные алгоритмы шифрования, возможно нужно будет ЦС обновить. Погугли не помню подробностей
 

XXX-007

Почетный гость
deadushka


Спасибо большое. Помогло.

Создал 2 reg-файла(TLS12-Enable.reg и NET35-UseSchannelDefaults.reg ) как написано выше и Браузер перестал ругаться при соединении с OWA.
Использую Windows Server 2008 R2 с пакетом обновления 1 и Exchange 2010 Standard.
 
Верх Низ