您好,登錄后才能下訂單哦!
這篇“Windows服務(wù)器上如何啟用TLS1.2”文章的知識(shí)點(diǎn)大部分人都不太理解,所以小編給大家總結(jié)了以下內(nèi)容,內(nèi)容詳細(xì),步驟清晰,具有一定的借鑒價(jià)值,希望大家閱讀完這篇文章能有所收獲,下面我們一起來(lái)看看這篇“Windows服務(wù)器上如何啟用TLS1.2”文章吧。
首先測(cè)試一下自己的服務(wù)器究竟處于什么水平。
測(cè)試結(jié)果顯示是支持ssl3.0的并且不支持tls 1.2。證書(shū)使用sha1簽名算法不夠強(qiáng)。這點(diǎn)比較容易接受,因?yàn)閣indows服務(wù)器默認(rèn)并沒(méi)有開(kāi)啟tls1.2。
要提高服務(wù)器的評(píng)級(jí),有3點(diǎn)需要做。
使用sha256簽名算法的證書(shū)。
禁用ssl3.0,啟用tls1.2
禁用一些弱加密算法。
由于目前服務(wù)器使用的證書(shū)是近3年前購(gòu)買(mǎi)的,正好需要重新購(gòu)買(mǎi),順便就可以使用sha256簽名算法來(lái)買(mǎi)新的證書(shū)就可以了。在生產(chǎn)環(huán)境部署之前,先用測(cè)試機(jī)測(cè)試一下。
根據(jù)這3條命令把證書(shū)頒發(fā)機(jī)構(gòu)的簽名算法升級(jí)上去。測(cè)試環(huán)境是windows2012 r2,默認(rèn)的簽名算法是sha1
upgradecertification authority to sha256 http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx certutil -setreg ca\csp\cnghashalgorithm sha256net stop certsvcnet start certsvc
然后,在服務(wù)器中添加注冊(cè)表鍵值并重啟已啟用tls1.2和禁用ssl3.0
hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\tls1.2\server\enabled reg_dword類(lèi)型設(shè)置為1. hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\ssl3.0\server enabled reg_dword類(lèi)型設(shè)置為0.
重新啟動(dòng)服務(wù)器,是設(shè)置生效。
由于測(cè)試機(jī)沒(méi)有公網(wǎng)地址,所以去下載個(gè)測(cè)試工具,方便測(cè)試。
可以下載到exe或者java版本的測(cè)試工具,方便的在內(nèi)網(wǎng)測(cè)試服務(wù)器支持的加密方式。
測(cè)試了一下,發(fā)現(xiàn)tls1.2沒(méi)有啟用。
難道是啟用方法不對(duì)?于是開(kāi)始檢查各種服務(wù)器的日志,也的確發(fā)現(xiàn)了tls1.2不能建立的報(bào)錯(cuò)了。
網(wǎng)上查了很多文章,也沒(méi)有說(shuō)什么解決辦法。后來(lái)?yè)Q了下證書(shū),用回sha1的證書(shū),tls1.2就能顯示成功啟用了。
難道是證書(shū)有問(wèn)題,于是就各種搜索sha1證書(shū)和sha256證書(shū)的區(qū)別,同時(shí)也測(cè)試了一些別人的網(wǎng)站,結(jié)果發(fā)現(xiàn)別人用sha256證書(shū)也能支持tls1.2. 難道是我的ca有問(wèn)題?
又研究了幾天,也測(cè)試了2008 r2的機(jī)器還是同樣的問(wèn)題。正好新買(mǎi)的公網(wǎng)證書(shū)也下來(lái)了。就拿這張證書(shū)先放到測(cè)試服務(wù)器上測(cè)試,結(jié)果還是不行。但是別人的服務(wù)器的確可以啊。
用powershell來(lái)幫助我們啟用tls1.2以及如何設(shè)定服務(wù)器的加密算法順序。
setupyour iis for ssl perfect forward secrecy and tls 1.2 https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12 enablingtls 1.2 on iis 7.5 for 256-bit cipher strength http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/
那么問(wèn)題究竟出在哪呢?可能的問(wèn)題,sha256證書(shū)有問(wèn)題?服務(wù)器不支持tls1.2?然后根據(jù)windows日志中的錯(cuò)誤繼續(xù)查找,都沒(méi)能找到什么有用的信息。
用ie試了下訪問(wèn)網(wǎng)站,發(fā)現(xiàn)是可以的,于是抓包看一下,用的協(xié)議是tls1.2。證明tls1.2在服務(wù)器上是已經(jīng)啟用的了。有client hello并且服務(wù)器也回應(yīng)了serverhello。
再仔細(xì)看客戶(hù)端的client hello包,里面確實(shí)包含了extension信息。
看之前testtlsserver.exe測(cè)試失敗并抓下來(lái)的包。并沒(méi)有server hello的包回來(lái)。clienthello里的確沒(méi)有擴(kuò)展信息。
于是,讓同事幫忙把測(cè)試服務(wù)器發(fā)布到公網(wǎng)上,用
測(cè)試一下,果然沒(méi)有問(wèn)題。這個(gè)困擾我好久的問(wèn)題終于有了解釋。
最后,附上不再支持ssl 3.0 chrome廠商自家網(wǎng)站的測(cè)試結(jié)果供大家參考。
以上就是關(guān)于“Windows服務(wù)器上如何啟用TLS1.2”這篇文章的內(nèi)容,相信大家都有了一定的了解,希望小編分享的內(nèi)容對(duì)大家有幫助,若想了解更多相關(guān)的知識(shí)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。