none
SSL 암호 그룹 순서에 TLS1.2 용 암호 그룹이 나타나지 않습니다. RRS feed

  • 질문

  • 안녕하세요

    MSSQL ODBC 암호화 테스트 진행 중 TLS가 1.0 으로만 떨어져서 TLS 1.2 로 하려고

    여기 저기 알아봤는데, 진행이 되질 않아서 질문 남김니다.

    지금까지 진행했던 부분

    1. 서버의 IIS 에서 인증서 생성

    2. 인증서 내보내기를 통해 파일로 떨군 후 클라이언트로 복사

    3. 클라이언트에서 mmc.exe 를 통해 신뢰할 수 있는 인증 기관의 인증서에 등록

    4. 클라이언트 ODBC 세팅 부분에 [데이터에 강력한 암호화 사용] 체크 후 접속 테스트까지 완료

    5. 와이어샤크를 켜서 필터를 서버 아이피로 해놓고, 클라이언트에서 테스트 프로그램을 실행시켜 데이터를 가져옴

    6. 와이어샤크에 secure sockets layer 의 Version 이 TLS 1.0(0x0301) 확인

    TLS 1.2를 위해 gpedit.msc(로컬 그룹 정책 편집기)에서

    컴퓨터 구성 > 관리 템플릿 > 네트워크 > SSL 구성 설정 > SSL 암호화 그룹 순서 로 들어갔는데...

    사용 가능한 모든 암호 그룹에 다른 웹페이지에서 검색한 부분들이 더이상 나오질 않고 있습니다.

    도움말 내용을 그대로 복사한 부분은 다음과 같습니다.

    -------------------------------------------------------------------------------------------------------

    SSL(Secure Socket Layer)에 사용되는 암호 그룹을 결정합니다.

    이 설정을 사용할 경우 SSL 암호 그룹은 지정된 순서대로 우선 순위가 지정됩니다.

    이 설정이 사용되지 않거나 구성되어 있지 않을 경우 공장 기본 암호 그룹 순서가 사용됩니다.

    사용 가능한 모든 암호 그룹:

    TLS_RSA_WITH_AES_128_CBC_SHA                 
    TLS_RSA_WITH_AES_256_CBC_SHA                 
    TLS_RSA_WITH_RC4_128_SHA                     
    TLS_RSA_WITH_3DES_EDE_CBC_SHA                
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256    
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384    
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521    
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256    
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384    
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521    
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256      
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384      
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521      
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256      
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384       
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA             
    TLS_DHE_DSS_WITH_AES_256_CBC_SHA              
    TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
    TLS_RSA_WITH_RC4_128_MD5                                       
    SSL_CK_RC4_128_WITH_MD5                      
    SSL_CK_DES_192_EDE3_CBC_WITH_MD5             
    TLS_RSA_WITH_NULL_MD5                        
    TLS_RSA_WITH_NULL_SHA
    TLS_RSA_WITH_DES_CBC_SHA
    TLS_DHE_DSS_WITH_DES_CBC_SHA
    TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
    TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
    TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
    TLS_RSA_EXPORT_WITH_RC4_40_MD5
    SSL_CK_DES_64_CBC_WITH_MD5
    SSL_CK_RC4_128_EXPORT40_WITH_MD5

    이 설정을 수정하는 방법:

    1. 빈 메모장 문서를 엽니다.

    2. 사용 가능한 그룹 목록을 복사하여 붙여넣습니다.

    3. 그룹을 올바른 순서대로 정렬하고 사용하지 않을 그룹을 제거합니다.

    4. 마지막 그룹 이름을 제외한 모든 그룹 이름의 끝에 쉼표를 추가합니다. 포함된 공백이 없어야 합니다.

    5. 암호 그룹 이름이 긴 한 줄로 되어 있도록 모든 줄 바꿈을 제거합니다.

    6. 암호 그룹 줄을 클립보드에 복사한 다음 편집 상자에 붙여넣습니다. 최대 길이는 1023자입니다.

    -------------------------------------------------------------------------------------------------------

    어떻게 해야 TLS 1.2로 가능한지 도저히 답이 안나오네요.

    일단 사용 가능한 모든 암호 그룹 리스트가 더 추가가 되어야 할 것 같은데,

    도무지 방법을 모르겠습니다.

    마이크로 소프트 기술지원 팀에 전화로 물어봤는데, 포럼을 이용하라고 해서

    이렇게 질문 남기네요..

    살려주세요.


    2015년 6월 4일 목요일 오전 11:43

답변

  • 특정 에러 메시지는 발생하지 않고 그냥 보이지 않는 것인가요?

    1. 브라우저에서 SSL 2.0, SSL 3.0, TLS 1.2에만 체크하고 TLS 1.0에는 체크 해제

    2. gpedit.msc - 컴퓨터 구성 - 관리 템플릿 - 네트워크 - SSL 구성 설정 - SSL 암호 그룹 순서에 "TLS_RSA_WITH_AES_256_CBC_SHA" 추가하고 "사용(E)"로 변경

    3. HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 를 추가하고, 하위 키로 Client와 Server 만듦. 그 후 Client와 Server에 각각 DisabledByDefault(DWORD)=0, Enabled(EWORD)=1 추가

    위 설정 후, IIS를 재시작해도 안되고 로그오프를 해도 안되고 꼭 서버를 재부팅해야만 변경 사항이 적용됨.

    http://support.microsoft.com/kb/245030/en

    Windows Server 2012. FTP + SSL 서버 구축 및 문제 해결

    감사합니다.

    2015년 6월 23일 화요일 오전 5:45
    중재자