ก่อนหน้านี้เราเคยพูดถึงการได้เกรด A จาก SSLLab ใน Nginx กันไปแล้ว ทีนี้ก็มาส่วน IIS Server กันบ้าง มาดูกันว่าจาก HTTPS ธรรมดาจะทำยังไงให้ได้เกรด A จาก SSLLab กันครับ
การกระทำให้ IIS Server เป็นเกรด A ได้ทำได้ 2 แบบคือ 1. การไล่แก้ registry ที่เกี่ยวข้องกับการให้บริการ HTTPS 2. คือง่ายกว่าโดยการใช้เครื่องมือที่ชื่อว่า IIS Crypto ซึ่งในโพสต์นี้จะเป็นการใช้งาน IIS Crypto ครับ
*** หมายเหตุผมไม่ได้ capture ตอนเทสกับ SSLLab ไว้นะครับ ลืมครับ =_=”
(ในกระทู้นี้ผมใช้กับ IIS Server 7 บนเครื่อง Windows Server 2008 R2 Professional ครับ)
1. Download และติดตั้ง .NET Framework 4.0
|
1 |
https://www.microsoft.com/en-us/download/confirmation.aspx?id=17718 |
2. Download IIS Crypto
|
1 |
https://www.nartac.com/Products/IISCrypto/Default.aspx |
3. เปิดไฟล์ IISCrypto.exe เมื่อเปิดแล้วจะพบหน้าจอดังภาพ
4. เลือก SChannel ในส่วนProtocols, Ciphers, Hashes, Key Exchanges เป็นไปตามภาพ
5. ไปที่ tab Cipher Suite แล้วเลือกตาม Cipher Suite ดังนี้
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
6. Restart Server
7. ทดสอบด้วย SSLLab หรือ testssl ครับ
Source::
LINE@Techsuii.com
