Windows服务器上如何启用TLS1.2

这篇“Windows服务器上如何启用TLS1.2”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“Windows服务器上如何启用TLS1.2”文章吧。

首先测试一下自己的服务器究竟处于什么水平。

测试结果显示是支持ssl3.0的并且不支持tls 1.2。证书使用sha1签名算法不够强。这点比较容易接受,因为windows服务器默认并没有开启tls1.2。

要提高服务器的评级,有3点需要做。

使用sha256签名算法的证书。

禁用ssl3.0,启用tls1.2

禁用一些弱加密算法。

由于目前服务器使用的证书是近3年前购买的,正好需要重新购买,顺便就可以使用sha256签名算法来买新的证书就可以了。在生产环境部署之前,先用测试机测试一下。

根据这3条命令把证书颁发机构的签名算法升级上去。测试环境是windows2012 r2,默认的签名算法是sha1

upgradecertification authority to sha256
http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx
certutil -setreg ca\csp\cnghashalgorithm sha256net stop certsvcnet start certsvc

然后,在服务器中添加注册表键值并重启已启用tls1.2和禁用ssl3.0

hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\tls1.2\server\enabled reg_dword类型设置为1.
hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\ssl3.0\server enabled reg_dword类型设置为0.

重新启动服务器,是设置生效。

由于测试机没有公网地址,所以去下载个测试工具,方便测试。

可以下载到exe或者java版本的测试工具,方便的在内网测试服务器支持的加密方式。

测试了一下,发现tls1.2没有启用。

Windows服务器上如何启用TLS1.2  windows 第1张

难道是启用方法不对?于是开始检查各种服务器的日志,也的确发现了tls1.2不能建立的报错了。

Windows服务器上如何启用TLS1.2  windows 第2张

网上查了很多文章,也没有说什么解决办法。后来换了下证书,用回sha1的证书,tls1.2就能显示成功启用了。

Windows服务器上如何启用TLS1.2  windows 第3张

难道是证书有问题,于是就各种搜索sha1证书和sha256证书的区别,同时也测试了一些别人的网站,结果发现别人用sha256证书也能支持tls1.2. 难道是我的ca有问题?

又研究了几天,也测试了2008 r2的机器还是同样的问题。正好新买的公网证书也下来了。就拿这张证书先放到测试服务器上测试,结果还是不行。但是别人的服务器的确可以啊。

用powershell来帮助我们启用tls1.2以及如何设定服务器的加密算法顺序。

setupyour iis for ssl perfect forward secrecy and tls 1.2
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
enablingtls 1.2 on iis 7.5 for 256-bit cipher strength
http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么问题究竟出在哪呢?可能的问题,sha256证书有问题?服务器不支持tls1.2?然后根据windows日志中的错误继续查找,都没能找到什么有用的信息。

用ie试了下访问网站,发现是可以的,于是抓包看一下,用的协议是tls1.2。证明tls1.2在服务器上是已经启用的了。有client hello并且服务器也回应了serverhello。

Windows服务器上如何启用TLS1.2  windows 第4张

Windows服务器上如何启用TLS1.2  windows 第5张

再仔细看客户端的client hello包,里面确实包含了extension信息。

Windows服务器上如何启用TLS1.2  windows 第6张

看之前testtlsserver.exe测试失败并抓下来的包。并没有server hello的包回来。clienthello里的确没有扩展信息。

Windows服务器上如何启用TLS1.2  windows 第7张

Windows服务器上如何启用TLS1.2  windows 第8张

Windows服务器上如何启用TLS1.2  windows 第9张

于是,让同事帮忙把测试服务器发布到公网上,用

测试一下,果然没有问题。这个困扰我好久的问题终于有了解释。

最后,附上不再支持ssl 3.0 chrome厂商自家网站的测试结果供大家参考。

Windows服务器上如何启用TLS1.2  windows 第10张

以上就是关于“Windows服务器上如何启用TLS1.2”这篇文章的内容,相信大家都有了一定的了解,希望小编分享的内容对大家有帮助,若想了解更多相关的知识内容,请关注蜗牛博客行业资讯频道。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:niceseo99@gmail.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

评论

有免费节点资源,我们会通知你!加入纸飞机订阅群

×
天气预报查看日历分享网页手机扫码留言评论Telegram