วิธีการทำให้ IIS Server ได้เกรด A จาก SSLLab

      ก่อนหน้านี้เราเคยพูดถึงการได้เกรด A จาก SSLLab ใน Nginx กันไปแล้ว ทีนี้ก็มาส่วน IIS Server กันบ้าง มาดูกันว่าจาก HTTPS ธรรมดาจะทำยังไงให้ได้เกรด A จาก SSLLab กันครับ

       การกระทำให้ IIS Server เป็นเกรด A ได้ทำได้ 2 แบบคือ 1. การไล่แก้ registry ที่เกี่ยวข้องกับการให้บริการ HTTPS 2. คือง่ายกว่าโดยการใช้เครื่องมือที่ชื่อว่า IIS Crypto ซึ่งในโพสต์นี้จะเป็นการใช้งาน IIS Crypto ครับ

*** หมายเหตุผมไม่ได้ capture ตอนเทสกับ SSLLab ไว้นะครับ ลืมครับ =_=”

(ในกระทู้นี้ผมใช้กับ IIS Server 7 บนเครื่อง Windows Server 2008 R2 Professional ครับ)

1. Download และติดตั้ง .NET Framework 4.0

https://www.microsoft.com/en-us/download/confirmation.aspx?id=17718

2. Download IIS Crypto

https://www.nartac.com/Products/IISCrypto/Default.aspx

3. เปิดไฟล์ IISCrypto.exe เมื่อเปิดแล้วจะพบหน้าจอดังภาพ


4. เลือก SChannel ในส่วนProtocols, Ciphers, Hashes, Key Exchanges เป็นไปตามภาพ


5. ไปที่ tab Cipher Suite แล้วเลือกตาม Cipher Suite ดังนี้

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256





6. Restart Server

7. ทดสอบด้วย SSLLab หรือ testssl ครับ



Source: SSLLab Git
           : scotthelme.co.uk/

ขอขอบคุณบทความดีๆๆจาก
Credit:https://www.techsuii.com/2017/04/12/how-to-setup-https-in-iis-server-to-get-grade-a-from-ssllab/