KNF:TLS1.2: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
 
(9 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 1: Regel 1:
Kennisnet gaat TLS 1.0 en 1.1 uitfaseren. We ondersteunen dus alleen nog TLS 1.2 en hoger.
+
Kennisnet gaat de ondersteuning voor het TLS 1.1 protocol uitfaseren voor haar diensten wegens beveiligingsredenen. We ondersteunen daarna alleen nog TLS 1.2 en hoger.
 
Op de Entree Federatie staging omgeving is TLS 1.1 reeds uitgeschakeld.
   
 
{{Info|Op 24 februari 2020 gaat Kennsinet TLS 1.1 voor Entree Federatie op de productie omgeving uitschakelen.}}
Op Entree Federatie staging is TLS 1.0 en 1.1 reeds uitgeschakeld.
 
   
  +
Sommige .net applicaties kunnen hierdoor niet (goed) communiceren met de servers van Entree Federatie, omdat deze applicaties standaard gebruik maken van TLS 1.1, TLS 1.2 moet specifiek worden aangezet om daarmee te kunnen werken.
Op 24 februari 2020 gaan we TLS 1.0 en 1.1 ook op Productie uitschakelen.
 
 
Sommige .net applicatie kunnen hierdoor niet goed communiceren met de servers van Entree Federatie.
 
 
'''ADFS'''
 
   
  +
==ADFS==
 
De metadata van Entree Federatie kan niet meer vanuit een AD FS (Windows Server 2016) machine worden gedownload.
 
De metadata van Entree Federatie kan niet meer vanuit een AD FS (Windows Server 2016) machine worden gedownload.
   
'''Oorzaak'''
+
===Oorzaak===
 
 
Op Windows Server 2016 en voorgaande versies, wordt TLS 1.0 als standaard gebruikt. TLS 1.2 moet specifiek worden aangezet om mee te kunnen werken.
 
Op Windows Server 2016 en voorgaande versies, wordt TLS 1.0 als standaard gebruikt. TLS 1.2 moet specifiek worden aangezet om mee te kunnen werken.
   
'''Oplossing'''
+
===Oplossing===
 
 
Voor ADFS hebben we ondertussen een oplossing (via het bijgesloten Powershell script). Het script bestaat uit 4 stappen, namelijk:
 
Voor ADFS hebben we ondertussen een oplossing (via het bijgesloten Powershell script). Het script bestaat uit 4 stappen, namelijk:
 
* Enablen TLS 1.2 in registry
 
* Enablen TLS 1.2 in registry
Regel 23: Regel 19:
 
* Updaten relying party trust, zodat metadata geforceerd wordt opgehaald
 
* Updaten relying party trust, zodat metadata geforceerd wordt opgehaald
   
Source: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs
+
Meer informatie: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs
 
'''Bijlage'''
 
   
 
'''Bijlage'''<br/>
 
[[Bestand:Windows_enable_TLS1_2.zip]]
 
[[Bestand:Windows_enable_TLS1_2.zip]]
   
  +
==Overige .net applicaties==
Wachtwoord = adfs
 
  +
Voor de overige applicaties die op het .net framework gebaseerd zijn wordt geadviseerd om zo snel mogelijk te controleren of de koppeling met Entree Federatie blijft werken op TLS 1.2.
  +
De controle kan gedaan worden met behulp van de staging omgeving van Entree Federatie.

Huidige versie van 19 nov 2019 om 08:33

Kennisnet gaat de ondersteuning voor het TLS 1.1 protocol uitfaseren voor haar diensten wegens beveiligingsredenen. We ondersteunen daarna alleen nog TLS 1.2 en hoger. Op de Entree Federatie staging omgeving is TLS 1.1 reeds uitgeschakeld.

Info.gif Op 24 februari 2020 gaat Kennsinet TLS 1.1 voor Entree Federatie op de productie omgeving uitschakelen.

Sommige .net applicaties kunnen hierdoor niet (goed) communiceren met de servers van Entree Federatie, omdat deze applicaties standaard gebruik maken van TLS 1.1, TLS 1.2 moet specifiek worden aangezet om daarmee te kunnen werken.

ADFS

De metadata van Entree Federatie kan niet meer vanuit een AD FS (Windows Server 2016) machine worden gedownload.

Oorzaak

Op Windows Server 2016 en voorgaande versies, wordt TLS 1.0 als standaard gebruikt. TLS 1.2 moet specifiek worden aangezet om mee te kunnen werken.

Oplossing

Voor ADFS hebben we ondertussen een oplossing (via het bijgesloten Powershell script). Het script bestaat uit 4 stappen, namelijk:

  • Enablen TLS 1.2 in registry
  • Enablen Strong authentication (nodig voor TLS 1.2)
  • Rebooten server
  • Updaten relying party trust, zodat metadata geforceerd wordt opgehaald

Meer informatie: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs

Bijlage
Bestand:Windows enable TLS1 2.zip

Overige .net applicaties

Voor de overige applicaties die op het .net framework gebaseerd zijn wordt geadviseerd om zo snel mogelijk te controleren of de koppeling met Entree Federatie blijft werken op TLS 1.2. De controle kan gedaan worden met behulp van de staging omgeving van Entree Federatie.