Trước đây, Khi mới bắt đầu biết đến sử dụng chứng thư số (SSL) cho website, Tôi đã luôn nghĩ rằng, khi Tôi đăng ký một chứng thư với mã CSR 2048-bit và nhận được một mã chứng thực từ nhà cung cấp CERT 256-bit từ nhà cung cấp chứng thư số ( TENTEN - GMORUNSYSTEM là đại lý của globalsign thuộc tập đoàn GMO INTERNET), Khi cài đặt lên server của tôi sẽ phải tự động nhận các kết nối 256-bit. Tuy nhiên, Không phải như vậy, Các kết nối đều là 128-bit. Và sau khi tìm hiểu, Tôi nhận ra rằng vấn đề này nằm ở cơ chế trên server, Có thể tạm gọi là cơ chế giải mã của server.
Mặc định khi cài đặt SSL trên server windows với IIS , Kiểu kết nối được thiết lập là TLS 1.0 Và giải mã ở 128-bit.
Trong bài viết này, Tôi sẽ hướng dẫn thay đổi kết nối từ TLS 1.0 thành TLS 1.2 và mã hoá 256-bit. Với Server windows 2008R2 và IIS 7.5.
I. Thay đổi TLS 1.0 Thành TLS 1.2
Mở Registry của hệ thống windows:
+ Bấm Start, Nhập regedit vào ô Search và nhấn enter.
Tiếp theo, Tìm đến thư mục: Protocols theo đường dẫn sau:
- Tại đây, Bạn sẽ nhìn thấy thư mục "SSL 2.0" Với folder ( trong registry gọi là key) có tên là Client với giá trị
DWORD (32-bit) Value có tên DisabledByDefault với mã hexadecimal là 1
1. Tạo các thư mục Với tên Server trong thư mục SSL 2.0
+ Click phải chuột vào thư mục SSL 2.0 --> Chọn New --> Chọn Key --> Click trái chuột.
+ Nhập tên: Server
2. Tạo DWORD (32-bit) Value với tên: DisabledByDefault
- Thay đổi giá trị của DWORD (32-bit) Value vừa tạo ra bằng cách Click phải chuột, Chọn Modify, Sửa giá trị ở ô value data thành 1
3. Thao tác tương tự bước 1 để tạo ra folder TLS 1.0 Với folder Server
4. Thao tương tự bước 2 để tạo ra DWORD (32-bit) Value với tên: DisabledByDefault và có value data: 1
5. Thao tác tương tự bước 1 để tạo ra TLS 1.2 với 2 folder là Server và Client
6. Thao tác tương tự bước 2 để Trong mỗi folder Client và Server, Tạo ra được 02 DWORD (32-bit) Value Với các giá trị lần lượt là:
+ DisabledByDefault có hexadecimal là 0
và
+ Enabled có hexadecimal là 1
Kết thúc thay đổi, Lúc này tạm thời bạn có thể đóng cửa sổ Registry.
II. Thay đổi kết nối mã hoá 128-bit thành 256-bit.
1. Bấm Start, Nhập gpedit.msc và nhấn Enter.
2. Mở đường dẫn: Computer Configuration --> Administrative Templates --> Network, Chọn SSL Configuration Settings
3. Click đúp vào SSL Cipher Suite Order ở ô bên phải. và chọn Enable
4. Trong ô SSL Cipher Suite, Bạn chọn toàn bộ nội dung bên trong và dán ra một khung soạn thảo nào đó (có thể dùng notepad mặc định của windows).
5. Tìm đoạn có nội dung sau: TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA và di chuyển nó ra phía đầu tiên của chuỗi kí tự.
Tại đây, các thông số TLS để sử dụng cho thiết lập mã hoá, Bạn có thể lược bỏ bớt những phương thức không cần thiết đối với bạn. Tuy nhiên, bài viết này chỉ mang tính thao khảo sơ bộ, nên bạn có thể bỏ qua bước lược bỏ những thành phần không cần sử dụng đến.
6. Chọn toàn bộ chuỗi mới và dán lại vào ô SSL Cipher Suites của Group Policy và chọn OK
7. Khởi động lại server để các thay đổi có hiệu lực.
III. Kết quả sau khi thay đổi