[教程]Windows Server 2008 R2 IIS 7.5开启TLS 1.2和256位加密

一般我们申请下来的证书都是256位加密的,因为2016年开始老版本的证书都会被提示危险网站。

首先看一下服务器开启TLS1.2+256加密之前和开启之后的区别;

开启之前:

222.png

开启之后:

444.png

由于Chrome40不再支持SSL 3.0了,GOOGLE认为SSL3.0已经不再安全了。

首先在这个网站上测试一下自己的服务器究竟处于什么水平。

https://www.ssllabs.com/ssltest/

这是我之前的测试结果:

111.png

测试结果显示是支持SSL3.0的并且不支持TLS 1.2。

证书使用SHA1签名算法不够强,因为Windows 2008R2服务器默认并没有开启TLS1.2。

要提高服务器的评级,有2点必须做:

1、使用SHA256签名算法的证书。

2、禁用服务器SSL3.0,启用TLS1.2

去网上搜了一下,教程确实非常多,但是基本没有一个靠谱的,可能国内使用windows2008做服务器的比较少...

后来去翻阅一些国外的网站,成功找到一个使用windows powershell修改tls1.2的教程,并且一次性成功,所以分享具体教程到我的博客。当然,中文的哟!

首先我们要明白,windows server2008有个最大的改进就是多了个powershell,这个“终端命令行”不同于CMD,你可以把它理解为linux的终端,只要你输入正确的指令,它可以操控你的整个操作系统。

1.打开powershell使用管理员身份

5.png

2.复制下面这些命令,粘贴到powershell

md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2"
md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server"
md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "Enabled" -value 1 -PropertyType "DWord"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "Enabled" -value 1 -PropertyType "DWord"
new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "DisabledByDefault" -value 0 -PropertyType "DWord"

执行完毕效果如图:

PowerShell-TLS-1.2-Registry-Edits.png

2-1.当然你也可以去注册表检查一下是否成功改变了以下值:

Registry-Before-TLS-v1.2.png

Registry-After-TLS-v1.2.png

3.开始菜单输入:gpedit.msc,或者win+R键随便你

QQ图片20160323041524.png

QQ图片20160323041546.png

4.找到计算机配置 - 管理模板 - 网络 - SSL配置设置

QQ图片20160323041751.png

5.选中右侧的SSL 密码套件顺序,双击SSL 密码套件顺序

QQ图片20160323042011.png

6.把左侧是未配置,选中已启用

7.把下方SSL 密码套件那个长条里的内容,全选,复制,粘贴到一个新建文本文档,找到:

TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA

SSL-Cipher-Suite-Order.png

8.按照同样的格式放到文本的头部,然后复制全部内容,粘贴到SSL 密码套件那个长条里

TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA-Cipher-Suite-order.png

也就是把256加密改变一下排序

然后点击确定,成功保存SSL 密码套件顺序,重启服务器,如果不出意外,你的服务器检测之后就会看到这样的结果:

333.png

国外参考资料原文:http://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

版权声明:若无特殊注明,本文为《明月浩空》原创,转载请保留文章出处。
本文链接:https://limh.me/2008_tls.html
正文到此结束

热门推荐

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗 胜利 不高兴 阴险 乖 酷 滑稽

评论信息框
可使用QQ号实时获取昵称+头像

吃奶的力气提交吐槽中...

已有1条吐槽

Project Goldlung

3年前 (2016-04-24) 海南省三亚市电信
face 看看
 Windows 7 x64   Google Chrome 45.0.2454.101