Windows服务器IIS配置符合苹果ATS方法

时间  2019-11-10
标签 windows 服务器 iis 配置 符合 苹果 ats 方法 栏目 Windows 繁體版
原文   原文链接

原文阅读:Windows服务器IIS配置符合苹果ATS方法html

苹果(Apple) ATS的基本要求主要知足三个条件TLS1.2支持、加密套件、SHA-2签名算法便可,在苹果ATS对SSL/TLS的安全检测要求一文中有详解,对于Apache和Nginx来讲,只需修改配置文件便可,但对IIS来讲相对比较复杂,本文主要介绍IIS服务器配置知足ATS标准的方法。算法

基本要求

首先windows server 2008 R2/IIS 7之前的服务器不支持TLS1_2协议,因此Windows 2003等服务器是确定不支持的,若是使用.net开发的WEB应用,必须将Windows硬件服务器升级到Server 2008 R2,再进行如下的配置。shell

软件一键修改

此处推荐一键调整加密套件的工具windows

官方地址:https://www.nartac.com/Products/IISCrypto/
百度网盘:https://pan.baidu.com/s/1pMXUCen (3wmh)安全

首先安装此软件,点击赞成便可。服务器

iis register cfg 05

安装完成以后打开此软件,点击Best Practices(最佳配置),上面选框中的协议、加密位数、SHA、交换密钥会发生变化,而后点击Apply便可。后面须要重启服务器才可生效。app

iis register cfg 06

手动修改注册表及密码套件

开始——运行 输入regedit编辑器

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键->新建->项->新建TLS 1.1,TLS 1.2ide

TLS 1.1和TLS 1.2 右键->新建->项->新建Server->Client,在新建的Server和Client中都新建以下的项(DWORD 32位值),总共4个工具

DisabledByDefault [Value = 0]
Enabled [Value = 1]

2

完成后重启系统

加密套件调整

对于前向保密加密套件不支持的话可经过组策略编辑器进行调整。

开始菜单——运行、输入gpedit.msc 进行加密套件调整 在此操做以前须要先开启TLS1_2协议

3

双击SSL密码套件顺序

4

把支持的ECDHE加密套件加入SSL密码套件中 以逗号(,)分隔打开一个空白写字板文档。
复制下图中右侧可用套件的列表并将其粘贴到该文档中,按正确顺序排列套件;删除不想使用的全部套件,在每一个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。删除全部换行符,以便密码套件名称位于单独的一个长行上。将密码套件行复制到剪贴板,而后将其粘贴到编辑框中。最大长度为 1023 个字符。

5

可将如下套件加入密码套件中

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

推荐套件组合:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384</pre>

参考资料

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程