Windows服务器调整TLS1.2加密套件

由于部分服务器默认不支持：TLS1.2加密条件，这会导致谷歌、火狐等浏览器无法访问网站，这种情况下需要调整加密条件。

支持TLS1.2协议的服务器操作系统需要：windows 2008R2 IIS7以上。

注意：微软说明windows 2003、windows 98等任何版本以下版本，包括IIS6都不支持。

方案一、IIS Crypto工具启用TLS1_2协议，操作完毕重启服务器，具体如下：

方案二、开始——运行，输入regedit

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键->新建->项->新建TLS 1.1,TLS 1.2

TLS 1.1和TLS 1.2 右键->新建->项->新建Server, Client

在新建的Server和Client中都新建如下的项(DWORD 32位值), 总共4个

DisabledByDefault [Value = 0]

Enabled [Value = 1]

完成后重启系统

加密套件调整

对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。

开始菜单——运行、输入gpedit.msc 进行加密套件调整 在此操作之前需要先开启TLS1_2协议

双击SSL密码套件顺序

把支持的ECDHE加密套件加入SSL密码套件中 以逗号（,）分隔

打开一个空白写字板文档。

复制下图中右侧可用套件的列表并将其粘贴到该文档中。

按正确顺序排列套件；删除不想使用的所有套件。

在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。

删除所有换行符，以便密码套件名称位于单独的一个长行上。

将密码套件行复制到剪贴板，然后将其粘贴到编辑框中。最大长度为 1023 个字符。

可将以下套件加入密码套件中

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

附:

推荐套件组合：

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

知识小课堂：

服务器加密套件的版本最新TLS1.3，微软操作系统只有Windows Server 2022支持。

如果需要服务器支持IE6这种古老的浏览器访问，在以上图片工具中选择：SSL3或者SSL2，但这种安全漏洞比较大，没有特殊需求不建议开放。