2020/11/27公開
前回「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」をいう記事をご紹介しました。それでは、具体的にどのように暗号化プロトコル・暗号スイートを設定するのでしょうか。
今回は、IIS Cryptoというフリーソフトを使ってWindows ServerのIISにて設定変更する方法をご紹介します。
IIS Cryptoは、Nartac Softwareが提供しているフリーソフトです。
「Windows Server 2012 R2」、「Windows Server 2016」、及び「Windows Server 2019」にて利用することができます。
IIS Cryptoは下記のURLにてダウンロードが可能です。
https://www.nartac.com/Products/IISCrypto/Download
GUI版とCUI版があります。今回は、GUI版を使用します。
続いて、GUI版の起動方法をご説明します。
インストールすることなく、利用が可能です。
それでは、「Windows Server 2012 R2」を例に設定方法を見て行きます。
【設定箇所】
これで、設定が完了します。
では、変更実施がどのように反映されるかを確認するため、実施前と実施後の暗号化プロトコル・暗号スイートの設定とレジストリの内容を比較しましょう。
レジストリは、以下のようになります。
「コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols」
まず、こちらが実施前の暗号化プロトコル・暗号スイートの設定状態です。(Nmapにて表示)
実施前のレジストリの内容は下記となります。(regeditにて表示)
続いて、サーバー再起動後の暗号化プロトコル・暗号スイートの設定状態となります。(Nmapにて表示)
サーバー再起動後のレジストリの内容は下記となります。(regeditにて表示)
設定変更後、Nmapにて表示された暗号化プロトコル・暗号スイートの内容がTLS1.2のみになり、レジストリの内容が更新されていることが確認できます。
IIS Cryptoを利用すると「暗号化プロトコル・暗号スイート」を簡単に設定できることが、ご理解いただけたかと思います。
以上が、IIS CryptoにてIISの暗号化プロトコル・暗号スイートを変更する方法となります。
設定の確認方法としては、前回の「Nmapを使ったWebサイトの利用可能な暗号化プロトコル・暗号スイートのチェックについて 」の記事にて紹介しましたNmapを利用しています。前回の記事も併せてご利用下さい。
なお、暗号化プロトコル・暗号スイートの変更は、いきなり本稼働サーバーに実施するのではなく、検証環境で試してから実施することをお勧めします。