Estoy usando una secuencia de tareas MEMCM para crear servidores que ejecutan Windows Server 2019. Hasta ahora, he creado 22 servidores con este sistema operativo. Al final de OSD, en 20 de ellos sólo tengo 10 conjuntos de cifrado disponibles para su uso.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
En los dos servidores con más conjuntos de cifrado, tengo disponibles los 31 siguientes conjuntos de cifrado.
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
TLS_PSK_WITH_AES_256_GCM_SHA384
TLS_PSK_WITH_AES_128_GCM_SHA256
TLS_PSK_WITH_AES_256_CBC_SHA384
TLS_PSK_WITH_AES_128_CBC_SHA256
TLS_PSK_WITH_NULL_SHA384
TLS_PSK_WITH_NULL_SHA256
En los servidores con el conjunto limitado de conjuntos de cifrado, agregué las claves de registro necesarias para habilitar TLS 1.2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2y reinicié, pero todavía no hay nada más. Y en los servidores con los 31 conjuntos de cifrado, no sé qué se ha cambiado, por lo que están disponibles. También intenté usarlo Enable-TlsCipherSuite -Name XXXsin éxito. Finalmente, los servidores se actualizan con las actualizaciones de agosto de 2020.
¿Alguna idea de por qué faltan cifrados y cómo puedo agregarlos?
Respuesta1
TLS 1.2 está habilitado de forma predeterminada.
La clave de registro para cifrados es:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
Respuesta2
Razón estúpida. Había un GPO antiguo que limitaba la lista de cifrado a 10 cifrados. rsopNo mostraba nada pero gpresult /hmostraba lo que necesitaba. :)
Respuesta3
Simplemente puedes usar IIS Crypto. Utilice esta herramienta para habilitar, deshabilitar conjuntos de cifrado y cambiar su orden.https://www.nartac.com/Products/IISCrypto/Descargar