Exchange 2013/2016/2019 cho phép TLS 1,2

Gần đây tôi đã được làm việc với một khách hàng để nâng cấp lên Exchange Server 2016, một trong những yêu cầu là để cho phép TLS 1,2. Sau đây sẽ hướng dẫn bạn thông qua việc chuẩn bị, thực hiện và sau đó thử nghiệm.

Đối với các thử nghiệm tôi đã sử dụng ZenMap/NMAP:-https://nmap.org/download.html

Chuẩn bị

Máy chủ Exchange 2016

• Cài đặt bản Cập Nhật tích luỹ (CU) 8 trong sản xuất hỗ trợ TLS 1,2 và sẵn sàng nâng cấp lên CU9 sau khi phát hành nếu bạn cần vô hiệu hoá TLS 1,0 và TLS 1,1. – CU 10 bây giờ đã có.
• Cài đặt phiên bản .NET mới nhất và các đắp vá liên quan được hỗ trợ bởi CU của bạn (hiện tại là 4.7.2).

Máy chủ Exchange 2013

• Cài đặt CU19 trong sản xuất hỗ trợ TLS 1,2 và sẵn sàng nâng cấp lên CU20 sau khi phát hành nếu bạn cần vô hiệu hoá TLS 1,0 và TLS 1,1.
• Cài đặt phiên bản .NET mới nhất và các đắp vá liên quan được hỗ trợ bởi CU của bạn (hiện tại là 4.7.2).

Windows Server 2016

• TLS 1,2 là giao thức bảo mật mặc định cho SCHANNEL và tiêu thụ bởi WinHTTP.
• Đảm bảo bạn đã cài đặt bản Cập Nhật chất lượng hàng tháng gần đây nhất cùng với bất kỳ bản cập nhật Windows nào khác được cung cấp.

Windows Server 2012 R2

• TLS 1,2 là giao thức bảo mật mặc định cho SCHANNEL và tiêu thụ bởi WinHTTP
• Đảm bảo máy chủ của bạn là hiện tại trên Windows Updates.
  • Điều này sẽ bao gồm bản Cập Nhật bảo mật KB3161949 cho phiên bản hiện tại của WinHTTP.
• Nếu bạn dựa vào chứng chỉ SHA512; vui lòng xem KB2973337.

Windows Server 2012

• TLS 1,2 là giao thức bảo mật mặc định cho SCHANNEL.
• Đảm bảo máy chủ của bạn là hiện tại trên Windows Updates.
  • Điều này sẽ bao gồm bản Cập Nhật bảo mật KB3161949 cho phiên bản hiện tại của WinHTTP.
• Nếu bạn dựa vào chứng chỉ SHA512; vui lòng xem KB2973337.

Thực hiện

Bật TLS 1,2 cho SCHANNEL

Để cho phép TLS 1,2 cho cả máy chủ (đến) và khách hàng (đi) kết nối trên một máy chủ Exchange, hãy thực hiện như sau.

1. Từ Notepad. exe, tạo một tệp văn bản có tên TLS12-Enable. reg.
2. Sao chép và dán văn bản sau vào tệp.

 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 

1. Lưu TLS12-Enable. reg.
2. Bấm đúp vào tệp TLS12-Enable. reg.
3. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này.
4. Khởi động lại máy để các thay đổi có hiệu lực.

Bật TLS 1,2 cho .NET 4. x

Bước này chỉ cần thiết cho Exchange Server 2013 hoặc cài đặt sau khi .NET 4. x dựa trên.

Giá trị đăng ký SystemDefaultTlsVersions xác định các phiên bản giao thức bảo mật sẽ được sử dụng .NET Framework 4. x. Nếu giá trị được đặt thành 1, thì .NET Framework 4. x sẽ kế thừa của nó mặc định từ giá trị đăng ký Windows SCHANNEL DisabledByDefault. Nếu giá trị là undefined, nó sẽ hoạt động như nếu giá trị được đặt thành 0. Cấu hình .NET Framework 4. x kế thừa giá trị từ SCHANNEL chúng tôi có khả năng sử dụng phiên bản mới nhất của TLS hỗ trợ hệ điều hành, bao gồm TLS 1,2.

1. Từ Notepad. exe, tạo một tệp văn bản có tên NET4X-UseSchannelDefaults. reg.
2. Sao chép, và sau đó dán văn bản sau.

 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 

1. Lưu tệp NET4X-UseSchannelDefaults. reg.
2. Bấm đúp vào tệp NET4X-UseSchannelDefaults. reg.
3. Bấm có để cập nhật Windows Registry của bạn với những thay đổi này.
4. Khởi động lại máy tính của bạn để thay đổi có hiệu lực.

Lưu ý: khi cấu hình hệ thống TLS 1,2, bạn có thể làm cho các khoá đăng ký SCHANNEL và .NET cùng một lúc và khởi động lại máy chủ một lần.

Thử nghiệm

Kiểm tra trước khi TLS đã được kích hoạt (trạng thái mặc định của một Exchange 2016 triển khai) bằng cách sử dụng ZenMap

Kiểm tra sau khi TLS đã được kích hoạt (sau khi làm theo các quy trình trên) sử dụng ZenMap

Tiêu đề thư (Exchange Server 2016 chỉ)

Dữ liệu tiêu đề thư trong Exchange Server 2016 cung cấp giao thức thương lượng và sử dụng khi gửi và nhận máy chủ trao đổi một phần của thư. Trong khi đây là một phương pháp thủ công hơn kiểm tra như thế nào thư đến nó có thể được sử dụng để thử nghiệm giữa các hệ thống cụ thể trong một pinch.

BÁO CÁO QUẢNG CÁO NÀY

Ví dụ khi xem dữ liệu tiêu đề thư thông qua phân tích tiêu đề thư tại https://testconnectivity.microsoft.com

Luồng thư qua ghi nhật ký SMTP

Nhật ký SMTP trong Exchange 2016 sẽ chứa các giao thức mã hóa và mã hóa thông tin liên quan khác được sử dụng trong quá trình trao đổi email giữa hai hệ thống.

Khi máy chủ SMTP nhận hệ thống, Chuỗi sau tồn tại trong Nhật ký tùy thuộc vào phiên bản TLS được sử dụng.

• Giao thức TLS SP_PROT_TLS1_0_SERVER
• Giao thức TLS SP_PROT_TLS1_1_SERVER
• Giao thức TLS SP_PROT_TLS1_2_SERVER

Khi máy chủ SMTP gửi hệ thống, Chuỗi sau tồn tại trong Nhật ký tùy thuộc vào phiên bản TLS được sử dụng.

• Giao thức TLS SP_PROT-TLS1_0_CLIENT
• Giao thức TLS SP_PROT-TLS1_1_CLIENT
• Giao thức TLS SP_PROT-TLS1_2_CLIENT

Nguồn: https://malcolmplested.co.uk/2018/09/17/exchange-2013-2016-enabling-tls-1-2/