文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Windows服务器上如何启用TLS1.2

2023-02-21 15:01

关注

这篇“Windows服务器上如何启用TLS1.2”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“Windows服务器上如何启用TLS1.2”文章吧。

首先测试一下自己的服务器究竟处于什么水平。

测试结果显示是支持ssl3.0的并且不支持tls 1.2。证书使用sha1签名算法不够强。这点比较容易接受,因为windows服务器默认并没有开启tls1.2。

要提高服务器的评级,有3点需要做。

使用sha256签名算法的证书。

禁用ssl3.0,启用tls1.2

禁用一些弱加密算法。

由于目前服务器使用的证书是近3年前购买的,正好需要重新购买,顺便就可以使用sha256签名算法来买新的证书就可以了。在生产环境部署之前,先用测试机测试一下。

根据这3条命令把证书颁发机构的签名算法升级上去。测试环境是windows2012 r2,默认的签名算法是sha1

upgradecertification authority to sha256
http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx
certutil -setreg ca\csp\cnghashalgorithm sha256net stop certsvcnet start certsvc

然后,在服务器中添加注册表键值并重启已启用tls1.2和禁用ssl3.0

hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\tls1.2\server\enabled reg_dword类型设置为1.
hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\ssl3.0\server enabled reg_dword类型设置为0.

重新启动服务器,是设置生效。

由于测试机没有公网地址,所以去下载个测试工具,方便测试。

可以下载到exe或者java版本的测试工具,方便的在内网测试服务器支持的加密方式。

测试了一下,发现tls1.2没有启用。

Windows服务器上如何启用TLS1.2

难道是启用方法不对?于是开始检查各种服务器的日志,也的确发现了tls1.2不能建立的报错了。

Windows服务器上如何启用TLS1.2

网上查了很多文章,也没有说什么解决办法。后来换了下证书,用回sha1的证书,tls1.2就能显示成功启用了。

Windows服务器上如何启用TLS1.2

难道是证书有问题,于是就各种搜索sha1证书和sha256证书的区别,同时也测试了一些别人的网站,结果发现别人用sha256证书也能支持tls1.2. 难道是我的ca有问题?

又研究了几天,也测试了2008 r2的机器还是同样的问题。正好新买的公网证书也下来了。就拿这张证书先放到测试服务器上测试,结果还是不行。但是别人的服务器的确可以啊。

用powershell来帮助我们启用tls1.2以及如何设定服务器的加密算法顺序。

setupyour iis for ssl perfect forward secrecy and tls 1.2
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
enablingtls 1.2 on iis 7.5 for 256-bit cipher strength
http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么问题究竟出在哪呢?可能的问题,sha256证书有问题?服务器不支持tls1.2?然后根据windows日志中的错误继续查找,都没能找到什么有用的信息。

用ie试了下访问网站,发现是可以的,于是抓包看一下,用的协议是tls1.2。证明tls1.2在服务器上是已经启用的了。有client hello并且服务器也回应了serverhello。

Windows服务器上如何启用TLS1.2

Windows服务器上如何启用TLS1.2

再仔细看客户端的client hello包,里面确实包含了extension信息。

Windows服务器上如何启用TLS1.2

看之前testtlsserver.exe测试失败并抓下来的包。并没有server hello的包回来。clienthello里的确没有扩展信息。

Windows服务器上如何启用TLS1.2

Windows服务器上如何启用TLS1.2

Windows服务器上如何启用TLS1.2

于是,让同事帮忙把测试服务器发布到公网上,用

测试一下,果然没有问题。这个困扰我好久的问题终于有了解释。

最后,附上不再支持ssl 3.0 chrome厂商自家网站的测试结果供大家参考。

Windows服务器上如何启用TLS1.2

以上就是关于“Windows服务器上如何启用TLS1.2”这篇文章的内容,相信大家都有了一定的了解,希望小编分享的内容对大家有帮助,若想了解更多相关的知识内容,请关注编程网服务器栏目。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯