Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
.NET Framework: 2092. IIS 웹 사이트를 TLS 1.2 또는 TLS 1.3 프로토콜로만 운영하는 방법 [링크 복사], [링크+제목 복사],
조회: 15143
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

(시리즈 글이 2개 있습니다.)
.NET Framework: 2091. C# - 웹 사이트가 어떤 버전의 TLS/SSL을 지원하는지 확인하는 방법
; https://www.sysnet.pe.kr/2/0/13237

.NET Framework: 2092. IIS 웹 사이트를 TLS 1.2 또는 TLS 1.3 프로토콜로만 운영하는 방법
; https://www.sysnet.pe.kr/2/0/13238



IIS 웹 사이트를 TLS 1.2 또는 TLS 1.3 프로토콜로만 운영하는 방법

테스트를 위해 VM으로 만들어 둔 Windows 11 운영체제에 openssl로 인증서를 만들어,

openssl을 이용해 인트라넷 IIS 사이트의 SSL 인증서 생성
; https://www.sysnet.pe.kr/2/0/13236

https 통신을 적용한 다음 서버가 지원하는 보안 프로토콜을 확인해 보면,

C# - 웹 사이트가 어떤 버전의 TLS/SSL을 지원하는지 확인하는 방법
; https://www.sysnet.pe.kr/2/0/13237

이런 결과가 나옵니다.

Ssl3(48): Not supported - The underlying connection was closed: An unexpected error occurred on a receive.
Tls(192): Supported
Tls11(768): Supported
Tls12(3072): Supported
Tls13(12288): Supported

그러니까 기본적으로는 Windows 11 운영체제의 IIS는 TLS 1.0 이상의 보안 프로토콜을 모두 지원하고 있는 것입니다. 다시 말해 오직 TLS 1.2 이상만 지원하고 싶다면 그에 대한 변경을 요합니다.



IIS 서비스에 TLS 1.2만을 적용하기 위한 방법은 다음의 글에 잘 나와 있습니다.

Enabling TLS Configuration on IIS/SMTP Server
; https://support.mailessentials.gfi.com/hc/en-us/articles/360015120800-Enabling-TLS-Configuration-on-IIS-SMTP-Server-

저 글을 정리해 보면, Windows 11은 기본적으로 SSL 3.0에 대해서는 "Enabled" == 0, TLS 1.0 이상에 대해 모두 "Enabled" == 1 값으로 설정된 상태인 것입니다. 실제로 문서에 보면,

Support for TLS System Default Versions included in the .NET Framework 3.5 on Windows Server 2012
; https://support.microsoft.com/en-us/topic/support-for-tls-system-default-versions-included-in-the-net-framework-3-5-on-windows-server-2012-db7ff0cb-fc9e-6530-db50-6a3dfc2834ad

What's new in Windows 10, version 1909 for IT Pros
 - Transport Layer Security (TLS)
; https://learn.microsoft.com/en-us/windows/whats-new/whats-new-windows-10-version-1909#transport-layer-security-tls

iis_tls12_support_1.png

서버는 Windows Server 2012 이상, 클라이언트는 Windows 8 이상에서 TLS 1.0/1.1/1.2가 기본적으로 "Enabled" 상태라고 나옵니다. 따라서, 1.2 이상만 지원하려면 TLS 1.0/1.1 (Windows Server 2016이라면 SSL 3.0) 활성화 상태를 꺼야 하는데요, 이를 위해 다음과 같이 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols" 하위에 각각의 보안 프로토콜 이름에 해당하는 키와, 다시 그 하위에 "Server" 키를 추가한 후 REG_DWORD 유형으로 Enabled 값을 0으로 만들어주면 됩니다.

// TLS 1.0 끄기
경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
이름: Enabled
타입: REG_DWORD
값: 0

// TLS 1.1 끄기
경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
이름: Enabled
타입: REG_DWORD
값: 0

위의 설정은 재부팅을 해야 반영되므로 시스템을 다시 시작한 후, 지원 여부를 확인하면 다음과 같은 결과를 얻게 됩니다.

Ssl3(48): Not supported - The underlying connection was closed: An unexpected error occurred on a receive.
Tls(192): Not supported - The underlying connection was closed: An unexpected error occurred on a send.
Tls11(768): Not supported - The underlying connection was closed: An unexpected error occurred on a send.
Tls12(3072): Supported
Tls13(12288): Supported

키 경로에서 유추할 수 있겠지만, 저 설정은 IIS만을 위한 것은 아니라는 점에 유의할 필요가 있습니다.



정리해 보면, 아래의 문제를 일으켰던,

JetBrains Omea Reader에서 TLS 1.2 모드의 https 서버로부터 RSS 구독이 안 되는 경우 해결 방법
; https://www.sysnet.pe.kr/0/0/547

근래의 웹 서버들은 보안상의 이유로 TLS 1.2 이상의 프로토콜만 허용하고 있는 것입니다. 따라서, Windows Server에서도 TLS 1.2만을 허용하려면 (Windows Server 2016의 경우엔 SSL 3.0도 포함해서), TLS 1.0, TLS 1.1에 대한 레지스트리 키를 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 경로에 각각 생성하고 "Server" 키 하위로 Enabled를 0으로 만들면 됩니다.

만약 TLS 1.3만 지원하고 싶다면, 당연히 TLS 1.2에 대해서도 동일한 설정을 하면 됩니다.



자, 이렇게 해서 제 웹 사이트("https://www.sysnet.pe.kr")도, ^^; 사실 그다지 보안이 필요한 콘텐츠는 없지만 그냥 TLS 1.1 이하의 프로토콜을 비활성화시켰습니다.

// www.sysnet.pe.kr

Ssl3(48): Not supported - The underlying connection was closed: An unexpected error occurred on a receive.
Tls(192): Not supported - The underlying connection was closed: An unexpected error occurred on a send.
Tls11(768): Not supported - The underlying connection was closed: An unexpected error occurred on a send.
Tls12(3072): Supported
Tls13(12288): Not supported - The underlying connection was closed: An unexpected error occurred on a send.

단지, Windows Server 2022 제품이 아니라서 TLS 1.3은 지원되지 않고 있습니다.



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 1/31/2023]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


... [166]  167  168  169  170  171  172  173  174  175  176  177  178  179  180  ...
NoWriterDateCnt.TitleFile(s)
893정성태7/25/201027408오류 유형: 99. .NET 4.0 설치된 윈도우 7에서 SQL Server 2008 R2 설치 오류
892정성태7/9/201029104오류 유형: 98. 영문 윈도우에 한글 SQL Server 2008 R2 설치할 때 오류 [4]
891정성태7/8/201025021오류 유형: 97. MsiGetProductInfo failed to retrieve ProductVersion for package with Product Code = '{...}'. Error code: 1605. [2]
889정성태7/5/201026711.NET Framework: 179. Dictionary.Get(A) 대신 Dictionary.Get(A.GetHashCode())를 사용해서는 안 되는 이유 [1]
888정성태6/30/201024521오류 유형: 96. Hyper-V 연결 오류 - A connection will not be made because credentials may not be sent to the remote computer
887정성태6/23/201034328개발 환경 구성: 79. Hyper-V의 가상 머신에서 소리 재생 방법 [2]
886정성태6/23/201022527제니퍼 .NET: 14. ASMX, WCF 호출 모니터링 및 누수 확인
885정성태6/20/201024101개발 환경 구성: 78. COM+ 서버에서 COM+ 서버를 호출하는 방법
884정성태6/20/201027069제니퍼 .NET: 13. COM+ 서버 모니터링 [2]
883정성태6/18/201028977개발 환경 구성: 77. Appinit_Dlls로 구현한 환경 변수 설정 DLL [5]파일 다운로드1
882정성태6/17/201031746개발 환경 구성: 76. JKS(Java Key Store)에 저장된 인증서를 ActiveX 코드 서명에 사용하는 방법 [1]
881정성태6/14/201021154제니퍼 .NET: 12. COM+ 호출 모니터링 및 누수 확인
879정성태6/10/201023820제니퍼 .NET: 11. 소켓 모니터링 기능으로 본 ASP.NET의 소켓 풀링 기능 [1]
878정성태6/6/201023625제니퍼 .NET: 10. 소켓 모니터링 기능으로 본 WCF의 WSDualHttpBinding 성능 부하
877정성태5/31/201020334제니퍼 .NET: 9. 성능 관리 퀴즈 세 번째 문제 (닷넷 개발자 컨퍼런스)
876정성태5/31/201019790제니퍼 .NET: 8. 성능 관리 퀴즈 두 번째 문제 (닷넷 개발자 컨퍼런스) [2]
875정성태5/30/201021553제니퍼 .NET: 7. 성능 관리 퀴즈 첫 번째 문제 (닷넷 개발자 컨퍼런스)
873정성태5/19/201028378제니퍼 .NET: 6. 제니퍼를 위한 방화벽 설정
872정성태5/15/201027706제니퍼 .NET: 5. 제니퍼 서버 - NT 서비스로 구동시키는 방법
871정성태5/13/201034272VC++: 40. MSBuild를 이용한 VC++ 프로젝트 빌드파일 다운로드1
870정성태5/12/201025314제니퍼 .NET: 4. 닷넷 APM 솔루션 - 제니퍼 닷넷의 기능 요약 [2]
869정성태11/8/201926778오류 유형 : 95. WCF 인증서 설정 관련 오류 정리 [4]
865정성태5/5/201029047개발 환경 구성: 75. 인증서의 개인키를 담은 물리 파일 위치 알아내는 방법파일 다운로드1
864정성태5/4/201032866.NET Framework: 178. WCF - 사용자 정의 인증 구현 예제 [4]파일 다운로드1
863정성태5/4/201058813개발 환경 구성: 74. 인증서 관련(CER, PVK, SPC, PFX) 파일 만드는 방법 [1]파일 다운로드1
862정성태5/3/201020700제니퍼 .NET: 3. 제2회 닷넷 개발자 컨퍼런스에서 뵙겠습니다. ^^
... [166]  167  168  169  170  171  172  173  174  175  176  177  178  179  180  ...