国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 服務器 > Win服務器 > 正文

在Windows服務器上啟用TLS 1.2及TLS 1.2基本原理介紹

2024-09-10 00:01:23
字體:
供稿:網(wǎng)友
最近由于Chrome40不再支持SSL 3.0了,GOOGLE認為SSL3.0已經(jīng)不再安全了。所以也研究了一下SSL TLS加密,給大家分享一下

首先在這個網(wǎng)站上測試一下自己的服務器究竟處于什么水平。

https://www.ssllabs.com/ssltest/

測試結(jié)果顯示是支持SSL3.0的并且不支持TLS 1.2。證書使用SHA1簽名算法不夠強。這點比較容易接受,因為Windows服務器默認并沒有開啟TLS1.2。

要提高服務器的評級,有3點需要做。

使用SHA256簽名算法的證書。

禁用SSL3.0,啟用TLS1.2

禁用一些弱加密算法。

由于目前服務器使用的證書是近3年前購買的,正好需要重新購買,順便就可以使用SHA256簽名算法來買新的證書就可以了。在生產(chǎn)環(huán)境部署之前,先用測試機測試一下。

根據(jù)這篇文章中的3條命令把證書頒發(fā)機構(gòu)的簽名算法升級上去。測試環(huán)境是Windows2012 R2,默認的簽名算法是SHA1

UpgradeCertification Authority to SHA256

http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx

certutil -setreg ca/csp/CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc

然后,在服務器中添加注冊表鍵值并重啟已啟用TLS1.2和禁用SSL3.0

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/SCHANNEL/Protocols/TLS1.2/Server/Enabled REG_DWORD類型設置為1.

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/SCHANNEL/Protocols/SSL3.0/Server Enabled REG_DWORD類型設置為0.

重新啟動服務器,是設置生效。

由于測試機沒有公網(wǎng)地址,所以去下載個測試工具,方便測試。

http://www.bolet.org/TestSSLServer/

可以下載到EXE或者JAVA版本的測試工具,方便的在內(nèi)網(wǎng)測試服務器支持的加密方式。

測試了一下,發(fā)現(xiàn)TLS1.2沒有啟用。

wKioL1Yp9oXAg-ZJAACt5VcTxAA626.jpg

難道是啟用方法不對?于是開始檢查各種服務器的日志,也的確發(fā)現(xiàn)了TLS1.2不能建立的報錯了。

wKiom1Yp9mjQ4CUnAADQdByxZFc388.jpg

網(wǎng)上查了很多文章,也沒有說什么解決辦法。后來換了下證書,用回SHA1的證書,TLS1.2就能顯示成功啟用了。

wKiom1Yp9nnD8efOAAFE7QycR3c991.jpg

難道是證書有問題,于是就各種搜索SHA1證書和SHA256證書的區(qū)別,同時也測試了一些別人的網(wǎng)站,結(jié)果發(fā)現(xiàn)別人用SHA256證書也能支持TLS1.2. 難道是我的CA有問題?

又研究了幾天,也測試了2008 R2的機器還是同樣的問題。正好新買的公網(wǎng)證書也下來了。就拿這張證書先放到測試服務器上測試,結(jié)果還是不行。但是別人的服務器的確可以啊。

在此期間發(fā)現(xiàn)兩篇比較好的文章,用Powershell來幫助我們啟用TLS1.2以及如何設定服務器的加密算法順序。

Setupyour IIS for SSL Perfect Forward Secrecy and TLS 1.2

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

EnablingTLS 1.2 on IIS 7.5 for 256-bit cipher strength

http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么問題究竟出在哪呢?可能的問題,SHA256證書有問題?服務器不支持TLS1.2?然后根據(jù)Windows日志中的錯誤繼續(xù)查找,都沒能找到什么有用的信息。

于是求助朋友,朋友發(fā)來一段信息。

發(fā)表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發(fā)表
主站蜘蛛池模板: 青阳县| 龙海市| 南华县| 海安县| 临朐县| 通许县| 肥东县| 遂昌县| 施秉县| 都江堰市| 漳州市| 岳普湖县| 宿松县| 米林县| 隆尧县| 镇沅| 深州市| 南和县| 广灵县| 西安市| 桂林市| 抚顺市| 内江市| 镇坪县| 和硕县| 天长市| 四会市| 泸定县| 道孚县| 沙坪坝区| 城口县| 永州市| 东乡| 手机| 子长县| 岳西县| 岚皋县| 乌鲁木齐市| 宁武县| 济源市| 江西省|