「TLS暗号設定・暗号スイート」の設定変更について（Windows IIS編）

2020/11/27公開

1.初めに

前回「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」をいう記事をご紹介しました。それでは、具体的にどのように暗号化プロトコル・暗号スイートを設定するのでしょうか。

今回は、IIS Cryptoというフリーソフトを使ってWindows ServerのIISにて設定変更する方法をご紹介します。

2.IIS Cryptoについて

IIS Cryptoは、Nartac Softwareが提供しているフリーソフトです。

「Windows Server 2012 R2」、「Windows Server 2016」、及び「Windows Server 2019」にて利用することができます。

IIS Cryptoは下記のURLにてダウンロードが可能です。

https://www.nartac.com/Products/IISCrypto/Download

GUI版とCUI版があります。今回は、GUI版を使用します。

続いて、GUI版の起動方法をご説明します。

1. ダウンロードしたIIS Cryptoをクリックします。
2. 「License Agreement」が表示されます。これは、最初の起動時のみ表示されます。



3. IIS Cryptoの画面が表示されます。

インストールすることなく、利用が可能です。

4.設定変更の手順

4-1.「Windows Server 2012 R2」の設定方法

それでは、「Windows Server 2012 R2」を例に設定方法を見て行きます。

1. IIS Cryptoを起動します。IIS Crypto「Schannel」画面を表示します。
2. 対象の暗号化プロトコル、Ciphers、Hashes、Key Exchangesにチェックを入れてApplyボタンを押します。

【設定箇所】

• 暗号化プロトコル（Server Protocols、Client Protocols）は、TLS1.2を選択
• Ciphersは、AESのみを選択
• Hashesは、MD5、SHAを外す
• Key Exchangesは、Diffie-Hellmanを外す

3. Applyボタンを押すとRebootを促すメッセージが出ます。



4. 設定完了後、IIS Cryptoを終了して、サーバーをリブートします。

これで、設定が完了します。

では、変更実施がどのように反映されるかを確認するため、実施前と実施後の暗号化プロトコル・暗号スイートの設定とレジストリの内容を比較しましょう。

レジストリは、以下のようになります。

「コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols」

まず、こちらが実施前の暗号化プロトコル・暗号スイートの設定状態です。（Nmapにて表示）

実施前のレジストリの内容は下記となります。（regeditにて表示）

続いて、サーバー再起動後の暗号化プロトコル・暗号スイートの設定状態となります。（Nmapにて表示）

サーバー再起動後のレジストリの内容は下記となります。（regeditにて表示）

設定変更後、Nmapにて表示された暗号化プロトコル・暗号スイートの内容がTLS1.2のみになり、レジストリの内容が更新されていることが確認できます。

IIS Cryptoを利用すると「暗号化プロトコル・暗号スイート」を簡単に設定できることが、ご理解いただけたかと思います。

5.終わりに

以上が、IIS CryptoにてIISの暗号化プロトコル・暗号スイートを変更する方法となります。

設定の確認方法としては、前回の「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」の記事にて紹介しましたNmapを利用しています。前回の記事も併せてご利用下さい。

なお、暗号化プロトコル・暗号スイートの変更は、いきなり本稼働サーバーに実施するのではなく、検証環境で試してから実施することをお勧めします。