KNF:TLS1.2: verschil tussen versies
Regel 6: | Regel 6: | ||
Sommige .net applicaties kunnen hierdoor niet (goed) communiceren met de servers van Entree Federatie, omdat deze applicaties standaard gebruik maken van TLS 1.1, TLS 1.2 moet specifiek worden aangezet om daarmee te kunnen werken. |
Sommige .net applicaties kunnen hierdoor niet (goed) communiceren met de servers van Entree Federatie, omdat deze applicaties standaard gebruik maken van TLS 1.1, TLS 1.2 moet specifiek worden aangezet om daarmee te kunnen werken. |
||
− | '''ADFS''' |
+ | '''ADFS'''<br/> |
De metadata van Entree Federatie kan niet meer vanuit een AD FS (Windows Server 2016) machine worden gedownload. |
De metadata van Entree Federatie kan niet meer vanuit een AD FS (Windows Server 2016) machine worden gedownload. |
||
− | '''Oorzaak''' |
+ | '''Oorzaak''' <br/> |
Op Windows Server 2016 en voorgaande versies, wordt TLS 1.0 als standaard gebruikt. TLS 1.2 moet specifiek worden aangezet om mee te kunnen werken. |
Op Windows Server 2016 en voorgaande versies, wordt TLS 1.0 als standaard gebruikt. TLS 1.2 moet specifiek worden aangezet om mee te kunnen werken. |
||
− | '''Oplossing''' |
+ | '''Oplossing'''<br/> |
Voor ADFS hebben we ondertussen een oplossing (via het bijgesloten Powershell script). Het script bestaat uit 4 stappen, namelijk: |
Voor ADFS hebben we ondertussen een oplossing (via het bijgesloten Powershell script). Het script bestaat uit 4 stappen, namelijk: |
||
* Enablen TLS 1.2 in registry |
* Enablen TLS 1.2 in registry |
||
Regel 21: | Regel 21: | ||
Source: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs |
Source: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs |
||
− | '''Bijlage''' |
+ | '''Bijlage'''<br/> |
[[Bestand:Windows_enable_TLS1_2.zip]] |
[[Bestand:Windows_enable_TLS1_2.zip]] |
||
Versie van 18 nov 2019 10:24
Kennisnet gaat de ondersteuning voor het TLS 1.1 protocol uitfaseren voor haar diensten wegens beveiligingsredenen. We ondersteunen daarna alleen nog TLS 1.2 en hoger. Op de Entree Federatie staging omgeving is TLS 1.1 reeds uitgeschakeld.
Op 24 februari 2020 gaan we TLS 1.1 voor Entree Federatie op de productie omgeving ook uitschakelen.
Sommige .net applicaties kunnen hierdoor niet (goed) communiceren met de servers van Entree Federatie, omdat deze applicaties standaard gebruik maken van TLS 1.1, TLS 1.2 moet specifiek worden aangezet om daarmee te kunnen werken.
ADFS
De metadata van Entree Federatie kan niet meer vanuit een AD FS (Windows Server 2016) machine worden gedownload.
Oorzaak
Op Windows Server 2016 en voorgaande versies, wordt TLS 1.0 als standaard gebruikt. TLS 1.2 moet specifiek worden aangezet om mee te kunnen werken.
Oplossing
Voor ADFS hebben we ondertussen een oplossing (via het bijgesloten Powershell script). Het script bestaat uit 4 stappen, namelijk:
- Enablen TLS 1.2 in registry
- Enablen Strong authentication (nodig voor TLS 1.2)
- Rebooten server
- Updaten relying party trust, zodat metadata geforceerd wordt opgehaald
Bijlage
Bestand:Windows enable TLS1 2.zip
Wachtwoord = adfs