「TLS暗号設定・暗号スイート」の設定変更について(Windows IIS編)
- 2020/11/27
- コラム
「TLS暗号設定・暗号スイート」の設定変更について(Windows IIS編)
1.初めに
前回「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」をいう記事をご紹介しました。それでは、具体的にどのように暗号化プロトコル・暗号スイートを設定するのでしょうか。
今回は、IIS Cryptoというフリーソフトを使ってWindows ServerのIISにて設定変更する方法をご紹介します。
2.IIS Cryptoについて
IIS Cryptoは、Nartac Softwareが提供しているフリーソフトです。
「Windows Server 2012 R2」、「Windows Server 2016」、及び「Windows Server 2019」にて利用することができます。
IIS Cryptoは下記のURLにてダウンロードが可能です。
(2020年10月時点の最新はVersion 3.2 Build 16 – Released April 11, 2020)
https://www.nartac.com/Products/IISCrypto/Download
GUI版とCUI版があります。今回は、GUI版を使用します。
続いて、GUI版の起動方法をご説明します。
1.ダウンロードしたIIS Cryptoをクリックします。
2.「License Agreement」が表示されます。これは、最初の起動時のみ表示されます。
3. IIS Cryptoの画面が表示されます。
インストールすることなく、利用が可能です。
4.設定変更の手順
4-1.「Windows Server 2012 R2」の設定方法
それでは、「Windows Server 2012 R2」を例に設定方法を見て行きます。
1. IIS Cryptoを起動します。IIS Crypto「Schannel」画面を表示します。
2. 対象の暗号化プロトコル、Ciphers、Hashes、Key Exchangesにチェックを入れてApplyボタンを押します。
【設定箇所】
- 暗号化プロトコル(Server Protocols、Client Protocols)は、TLS1.2を選択
- Ciphersは、AESのみを選択
- Hashesは、MD5、SHAを外す
- Key Exchangesは、Diffie-Hellmanを外す
3. Applyボタンを押すとRebootを促すメッセージが出ます。
4. 設定完了後、IIS Cryptoを終了して、サーバーをリブートします。
これで、設定が完了します。
では、変更実施がどのように反映されるかを確認するため、実施前と実施後の暗号化プロトコル・暗号スイートの設定とレジストリの内容を比較しましょう。
レジストリは、以下のようになります。
「コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols」
まず、こちらが実施前の暗号化プロトコル・暗号スイートの設定状態です。(Nmapにて表示)
実施前のレジストリの内容は下記となります。(regeditにて表示)
続いて、サーバー再起動後の暗号化プロトコル・暗号スイートの設定状態となります。(Nmapにて表示)
サーバー再起動後のレジストリの内容は下記となります。(regeditにて表示)
設定変更後、Nmapにて表示された暗号化プロトコル・暗号スイートの内容がTLS1.2のみになり、レジストリの内容が更新されていることが確認できます。
IIS Cryptoを利用すると「暗号化プロトコル・暗号スイート」を簡単に設定できることが、ご理解いただけたかと思います。
5.終わりに
以上が、IIS CryptoにてIISの暗号化プロトコル・暗号スイートを変更する方法となります。
設定の確認方法としては、前回の「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」の記事にて紹介しましたNmapを利用しています。前回の記事も併せてご利用下さい。
なお、暗号化プロトコル・暗号スイートの変更は、いきなり本稼働サーバーに実施するのではなく、検証環境で試してから実施することをお勧めします。
