Windows服務(wù)器上如何啟用TLS1.2

這篇“Windows服務(wù)器上如何啟用TLS1.2”文章的知識(shí)點(diǎn)大部分人都不太理解，所以小編給大家總結(jié)了以下內(nèi)容，內(nèi)容詳細(xì)，步驟清晰，具有一定的借鑒價(jià)值，希望大家閱讀完這篇文章能有所收獲，下面我們一起來(lái)看看這篇“Windows服務(wù)器上如何啟用TLS1.2”文章吧。

首先測(cè)試一下自己的服務(wù)器究竟處于什么水平。

測(cè)試結(jié)果顯示是支持ssl3.0的并且不支持tls 1.2。證書(shū)使用sha1簽名算法不夠強(qiáng)。這點(diǎn)比較容易接受，因?yàn)閣indows服務(wù)器默認(rèn)并沒(méi)有開(kāi)啟tls1.2。

要提高服務(wù)器的評(píng)級(jí)，有3點(diǎn)需要做。

使用sha256簽名算法的證書(shū)。

禁用ssl3.0，啟用tls1.2

禁用一些弱加密算法。

由于目前服務(wù)器使用的證書(shū)是近3年前購(gòu)買(mǎi)的，正好需要重新購(gòu)買(mǎi)，順便就可以使用sha256簽名算法來(lái)買(mǎi)新的證書(shū)就可以了。在生產(chǎn)環(huán)境部署之前，先用測(cè)試機(jī)測(cè)試一下。

根據(jù)這3條命令把證書(shū)頒發(fā)機(jī)構(gòu)的簽名算法升級(jí)上去。測(cè)試環(huán)境是windows2012 r2,默認(rèn)的簽名算法是sha1

upgradecertification authority to sha256
http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx
certutil -setreg ca\csp\cnghashalgorithm sha256net stop certsvcnet start certsvc

然后，在服務(wù)器中添加注冊(cè)表鍵值并重啟已啟用tls1.2和禁用ssl3.0

hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\tls1.2\server\enabled reg_dword類(lèi)型設(shè)置為1.
hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\ssl3.0\server enabled reg_dword類(lèi)型設(shè)置為0.

重新啟動(dòng)服務(wù)器，是設(shè)置生效。

由于測(cè)試機(jī)沒(méi)有公網(wǎng)地址，所以去下載個(gè)測(cè)試工具，方便測(cè)試。

可以下載到exe或者java版本的測(cè)試工具，方便的在內(nèi)網(wǎng)測(cè)試服務(wù)器支持的加密方式。

測(cè)試了一下，發(fā)現(xiàn)tls1.2沒(méi)有啟用。

難道是啟用方法不對(duì)?于是開(kāi)始檢查各種服務(wù)器的日志，也的確發(fā)現(xiàn)了tls1.2不能建立的報(bào)錯(cuò)了。

網(wǎng)上查了很多文章，也沒(méi)有說(shuō)什么解決辦法。后來(lái)?yè)Q了下證書(shū)，用回sha1的證書(shū)，tls1.2就能顯示成功啟用了。

難道是證書(shū)有問(wèn)題，于是就各種搜索sha1證書(shū)和sha256證書(shū)的區(qū)別，同時(shí)也測(cè)試了一些別人的網(wǎng)站，結(jié)果發(fā)現(xiàn)別人用sha256證書(shū)也能支持tls1.2. 難道是我的ca有問(wèn)題？

又研究了幾天，也測(cè)試了2008 r2的機(jī)器還是同樣的問(wèn)題。正好新買(mǎi)的公網(wǎng)證書(shū)也下來(lái)了。就拿這張證書(shū)先放到測(cè)試服務(wù)器上測(cè)試，結(jié)果還是不行。但是別人的服務(wù)器的確可以啊。

用powershell來(lái)幫助我們啟用tls1.2以及如何設(shè)定服務(wù)器的加密算法順序。

setupyour iis for ssl perfect forward secrecy and tls 1.2
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
enablingtls 1.2 on iis 7.5 for 256-bit cipher strength
http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么問(wèn)題究竟出在哪呢？可能的問(wèn)題，sha256證書(shū)有問(wèn)題？服務(wù)器不支持tls1.2？然后根據(jù)windows日志中的錯(cuò)誤繼續(xù)查找，都沒(méi)能找到什么有用的信息。

用ie試了下訪問(wèn)網(wǎng)站，發(fā)現(xiàn)是可以的，于是抓包看一下，用的協(xié)議是tls1.2。證明tls1.2在服務(wù)器上是已經(jīng)啟用的了。有client hello并且服務(wù)器也回應(yīng)了serverhello。

再仔細(xì)看客戶(hù)端的client hello包，里面確實(shí)包含了extension信息。

看之前testtlsserver.exe測(cè)試失敗并抓下來(lái)的包。并沒(méi)有server hello的包回來(lái)。clienthello里的確沒(méi)有擴(kuò)展信息。

于是，讓同事幫忙把測(cè)試服務(wù)器發(fā)布到公網(wǎng)上，用

測(cè)試一下，果然沒(méi)有問(wèn)題。這個(gè)困擾我好久的問(wèn)題終于有了解釋。

最后,附上不再支持ssl 3.0 chrome廠商自家網(wǎng)站的測(cè)試結(jié)果供大家參考。

以上就是關(guān)于“Windows服務(wù)器上如何啟用TLS1.2”這篇文章的內(nèi)容，相信大家都有了一定的了解，希望小編分享的內(nèi)容對(duì)大家有幫助，若想了解更多相關(guān)的知識(shí)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道。