none
윈도우 ssl 암호 그룹 순서 우선순위 RRS feed

  • 질문

  • 윈도우 서버 2016 사용 중에 ssl 문제가 발생하여 ssl 암호 그룹 순서를 수정하려고 합니다.

    링크가 되지 않네요...

    1. Log onto the server using an account that is a member of the Local Administrators group
    2. Go to “Start > Run“. Enter: gpedit.msc
    3. In the left pane, expand “Computer Configuration > Administrative Templates > Network > SSL Configuration Settings
    4. In the right pane, right click “SSL Cipher Suite Order” and choose “Edit”
    5. Click “Enabled”
    6. Copy the content of “SSL Cipher Suites” text box and paste it notepad
    7. Edit this list to make sure it matches the chipper suite list used in your load balancer. As a general recommendation:
      • Move TLS_RSA chiper suites to the top
      • Copy TLS_ECDHE ones after them
      • Remove these two chiper suites as they have known interoperability issues:
        TLS_DHE_RSA_WITH_AES_128_CBC_SHA
        TLS_DHE_RSA_WITH_AES_256_CBC_SHA
      • In the “SSL Cipher Suite Order” window, click “OK”
      • Reboot the server

    방법으로 진행하는데 최대 자리수를 초과합니다.

    Cipher suite string Allowed by SCH_USE_STRONG_CRYPTO TLS/SSL Protocol versions
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    Yes
    TLS 1.2
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    Yes
    TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    Yes
    TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    Yes
    TLS 1.2
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    Yes
    TLS 1.2
    TABLE 2
    Cipher suite string Allowed by SCH_USE_STRONG_CRYPTO TLS/SSL Protocol versions
    TLS_RSA_WITH_DES_CBC_SHA
    No
    TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
    TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
    No

    TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0

    TABLE 3
    Cipher suite string Allowed by SCH_USE_STRONG_CRYPTO TLS/SSL Protocol versions
    TLS_PSK_WITH_AES_256_GCM_SHA384
    Yes
    TLS 1.2
    TLS_PSK_WITH_AES_128_GCM_SHA256
    Yes
    TLS 1.2


    여기를 참고하여 우선순위를 확인하여 제일 아래 있는 것부터 없애라고 하는데
    보시면 3종류로 구분이 되어 있습니다. 3번째에서 제일 아래 항목을 없애야하는건지
    각 종류별로 제일 아래를 없애서 처리해야하는건지 궁금합니다. 
    아니면 현재 들어가있는 텍스트가 우선순위가 자동으로 지정되어 있다면 제일 뒤에서부터 그냥 지우면 될 거 같기도한데
    어떤 방법으로 처리해야할지 궁금합니다. 
    또 없앨 경우 시스템에 문제가 발생하지 않는지도요
    미리 감사합니다.

    또는 Disable-TlsCipherSuite -Name <xxx> 비활성화 명령어가 있던데

    이것만 실행해도 처리가 될까요.

    • 편집됨 lusers 2020년 12월 16일 수요일 오후 1:39
    2020년 12월 16일 수요일 오전 10:08

모든 응답

  • 안녕하세요,

    포럼서비스를 이용해 주셔서 감사합니다.

     

    기재하신 방법으로 lab test 시도해봤는데 문제 없어 보입니다.

    가이드 따라 하기와같이 SSL Cipher Suites 순서를 편집하고 해당 정책을 응용하였습니다.

     

    TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_AES_256_GCM_SHA384,TLS_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_PSK_WITH_AES_256_GCM_SHA384,TLS_PSK_WITH_AES_128_GCM_SHA256,TLS_PSK_WITH_AES_256_CBC_SHA384,TLS_PSK_WITH_AES_128_CBC_SHA256,TLS_PSK_WITH_NULL_SHA384,TLS_PSK_WITH_NULL_SHA256

     

    하기 정리된 순서를 참고하시면 좋을것 같습니다.

     

    확인하시고 문의 사항있으시면 다시 답변 주시기바랍니다.

     

    안내 드린 내용이 도움이 되었기를 바랍니다.

    감사합니다


    ※ 응답이 문제 해결에 도움이 되었다면 답변으로 표시 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnmff@microsoft.com으로 문의할 수 있습니다.

    2020년 12월 17일 목요일 오전 7:29
    중재자
  • 안녕하세요,

     

    이슈와 관련하여 진행된 사항이 있으시면 업데이트를 부탁드립니다.
    저희가 도움을 드릴 수 있는 부분이 있으면 언제든지 회답 주세요.

     

    감사합니다,


    ※ 응답이 문제 해결에 도움이 되었다면 답변으로 표시 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnmff@microsoft.com으로 문의할 수 있습니다.

    2021년 1월 7일 목요일 오전 7:36
    중재자