「TLS暗号設定・暗号スイート」の設定変更について(Windows IIS編)

「TLS暗号設定・暗号スイート」の設定変更について(Windows IIS編)

1.初めに

前回「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」をいう記事をご紹介しました。それでは、具体的にどのように暗号化プロトコル・暗号スイートを設定するのでしょうか。

今回は、IIS Cryptoというフリーソフトを使ってWindows ServerのIISにて設定変更する方法をご紹介します。

2.IIS Cryptoについて

IIS Cryptoは、Nartac Softwareが提供しているフリーソフトです。

「Windows Server 2012 R2」、「Windows Server 2016」、及び「Windows Server 2019」にて利用することができます。

IIS Cryptoは下記のURLにてダウンロードが可能です。
(2020年10月時点の最新はVersion 3.2 Build 16 – Released April 11, 2020)

https://www.nartac.com/Products/IISCrypto/Download

GUI版とCUI版があります。今回は、GUI版を使用します。

続いて、GUI版の起動方法をご説明します。

1.ダウンロードしたIIS Cryptoをクリックします。

2.「License Agreement」が表示されます。これは、最初の起動時のみ表示されます。

3. IIS Cryptoの画面が表示されます。

インストールすることなく、利用が可能です。

4.設定変更の手順

4-1.「Windows Server 2012 R2」の設定方法

それでは、「Windows Server 2012 R2」を例に設定方法を見て行きます。

1. IIS Cryptoを起動します。IIS Crypto「Schannel」画面を表示します。

2. 対象の暗号化プロトコル、Ciphers、Hashes、Key Exchangesにチェックを入れてApplyボタンを押します。

【設定箇所】

  • 暗号化プロトコル(Server Protocols、Client Protocols)は、TLS1.2を選択
  • Ciphersは、AESのみを選択
  • Hashesは、MD5、SHAを外す
  • Key Exchangesは、Diffie-Hellmanを外す

3. Applyボタンを押すとRebootを促すメッセージが出ます。

4. 設定完了後、IIS Cryptoを終了して、サーバーをリブートします。

これで、設定が完了します。

では、変更実施がどのように反映されるかを確認するため、実施前と実施後の暗号化プロトコル・暗号スイートの設定とレジストリの内容を比較しましょう。

レジストリは、以下のようになります。

「コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols」

まず、こちらが実施前の暗号化プロトコル・暗号スイートの設定状態です。(Nmapにて表示)

実施前のレジストリの内容は下記となります。(regeditにて表示)

続いて、サーバー再起動後の暗号化プロトコル・暗号スイートの設定状態となります。(Nmapにて表示)

サーバー再起動後のレジストリの内容は下記となります。(regeditにて表示)

設定変更後、Nmapにて表示された暗号化プロトコル・暗号スイートの内容がTLS1.2のみになり、レジストリの内容が更新されていることが確認できます。

IIS Cryptoを利用すると「暗号化プロトコル・暗号スイート」を簡単に設定できることが、ご理解いただけたかと思います。

5.終わりに

以上が、IIS CryptoにてIISの暗号化プロトコル・暗号スイートを変更する方法となります。

設定の確認方法としては、前回の「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」の記事にて紹介しましたNmapを利用しています。前回の記事も併せてご利用下さい。

なお、暗号化プロトコル・暗号スイートの変更は、いきなり本稼働サーバーに実施するのではなく、検証環境で試してから実施することをお勧めします。

katoエンジニア

投稿者プロフィール

加藤です。
セキュリティの技術者やってます。
ネットワーク診断とツールによるWebアプリケーション診断を中心に業務を実施してます。
5年程度やってきたので、とりあえずCISSP取ってみました。

この著者の最新の記事

関連記事

ピックアップ記事

  1. Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて は…
  2. IPA 「安全なウェブサイトの作り方」第1章のHTML版が公開されました。 初めに は…
  3. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
ページ上部へ戻る