Windows服務(wù)器上如何啟用TLS1.2

這篇“Windows服務(wù)器上如何啟用TLS1.2”文章的知識(shí)點(diǎn)大部分人都不太理解，所以小編給大家總結(jié)了以下內(nèi)容，內(nèi)容詳細(xì)，步驟清晰，具有一定的借鑒價(jià)值，希望大家閱讀完這篇文章能有所收獲，下面我們一起來看看這篇“Windows服務(wù)器上如何啟用TLS1.2”文章吧。

創(chuàng)新互聯(lián)公司客戶idc服務(wù)中心，提供遂寧托管服務(wù)器、成都服務(wù)器、成都主機(jī)托管、成都雙線服務(wù)器等業(yè)務(wù)的一站式服務(wù)。通過各地的服務(wù)中心，我們向成都用戶提供優(yōu)質(zhì)廉價(jià)的產(chǎn)品以及開放、透明、穩(wěn)定、高性價(jià)比的服務(wù)，資深網(wǎng)絡(luò)工程師在機(jī)房提供7*24小時(shí)標(biāo)準(zhǔn)級(jí)技術(shù)保障。

首先測(cè)試一下自己的服務(wù)器究竟處于什么水平。

測(cè)試結(jié)果顯示是支持ssl3.0的并且不支持tls 1.2。證書使用sha1簽名算法不夠強(qiáng)。這點(diǎn)比較容易接受，因?yàn)閣indows服務(wù)器默認(rèn)并沒有開啟tls1.2。

要提高服務(wù)器的評(píng)級(jí)，有3點(diǎn)需要做。

使用sha256簽名算法的證書。

禁用ssl3.0，啟用tls1.2

禁用一些弱加密算法。

由于目前服務(wù)器使用的證書是近3年前購買的，正好需要重新購買，順便就可以使用sha256簽名算法來買新的證書就可以了。在生產(chǎn)環(huán)境部署之前，先用測(cè)試機(jī)測(cè)試一下。

根據(jù)這3條命令把證書頒發(fā)機(jī)構(gòu)的簽名算法升級(jí)上去。測(cè)試環(huán)境是windows2012 r2,默認(rèn)的簽名算法是sha1

upgradecertification authority to sha256
http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx
certutil -setreg ca\csp\cnghashalgorithm sha256net stop certsvcnet start certsvc

然后，在服務(wù)器中添加注冊(cè)表鍵值并重啟已啟用tls1.2和禁用ssl3.0

hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\tls1.2\server\enabled reg_dword類型設(shè)置為1.
hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\ssl3.0\server enabled reg_dword類型設(shè)置為0.

重新啟動(dòng)服務(wù)器，是設(shè)置生效。

由于測(cè)試機(jī)沒有公網(wǎng)地址，所以去下載個(gè)測(cè)試工具，方便測(cè)試。

可以下載到exe或者java版本的測(cè)試工具，方便的在內(nèi)網(wǎng)測(cè)試服務(wù)器支持的加密方式。

測(cè)試了一下，發(fā)現(xiàn)tls1.2沒有啟用。

難道是啟用方法不對(duì)?于是開始檢查各種服務(wù)器的日志，也的確發(fā)現(xiàn)了tls1.2不能建立的報(bào)錯(cuò)了。

網(wǎng)上查了很多文章，也沒有說什么解決辦法。后來換了下證書，用回sha1的證書，tls1.2就能顯示成功啟用了。

難道是證書有問題，于是就各種搜索sha1證書和sha256證書的區(qū)別，同時(shí)也測(cè)試了一些別人的網(wǎng)站，結(jié)果發(fā)現(xiàn)別人用sha256證書也能支持tls1.2. 難道是我的ca有問題？

又研究了幾天，也測(cè)試了2008 r2的機(jī)器還是同樣的問題。正好新買的公網(wǎng)證書也下來了。就拿這張證書先放到測(cè)試服務(wù)器上測(cè)試，結(jié)果還是不行。但是別人的服務(wù)器的確可以啊。

用powershell來幫助我們啟用tls1.2以及如何設(shè)定服務(wù)器的加密算法順序。

setupyour iis for ssl perfect forward secrecy and tls 1.2
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
enablingtls 1.2 on iis 7.5 for 256-bit cipher strength
http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么問題究竟出在哪呢？可能的問題，sha256證書有問題？服務(wù)器不支持tls1.2？然后根據(jù)windows日志中的錯(cuò)誤繼續(xù)查找，都沒能找到什么有用的信息。

用ie試了下訪問網(wǎng)站，發(fā)現(xiàn)是可以的，于是抓包看一下，用的協(xié)議是tls1.2。證明tls1.2在服務(wù)器上是已經(jīng)啟用的了。有client hello并且服務(wù)器也回應(yīng)了serverhello。

再仔細(xì)看客戶端的client hello包，里面確實(shí)包含了extension信息。

看之前testtlsserver.exe測(cè)試失敗并抓下來的包。并沒有server hello的包回來。clienthello里的確沒有擴(kuò)展信息。

于是，讓同事幫忙把測(cè)試服務(wù)器發(fā)布到公網(wǎng)上，用

測(cè)試一下，果然沒有問題。這個(gè)困擾我好久的問題終于有了解釋。

最后,附上不再支持ssl 3.0 chrome廠商自家網(wǎng)站的測(cè)試結(jié)果供大家參考。

以上就是關(guān)于“Windows服務(wù)器上如何啟用TLS1.2”這篇文章的內(nèi)容，相信大家都有了一定的了解，希望小編分享的內(nèi)容對(duì)大家有幫助，若想了解更多相關(guān)的知識(shí)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁題目：Windows服務(wù)器上如何啟用TLS1.2
文章地址：http://bm7419.com/article20/pcspco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號(hào)、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、面包屑導(dǎo)航、、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)