我在我们的Windows Server 2012机器上运行TLS 1.2协议时遇到了一些问题。 我使用Qualys的ssllabs.com进行了检查,并使用powershell脚本和linux工具“cipherscan”进行了testing。
服务器托pipe一个Exchange 2013 SP1(CU4)服务器,IIS 8.0。 所使用的证书由我们公司CA颁发。 另一台具有相同Exchange 2013 SP1(CU4)安装的Windows Server 2012与相同的证书完美配合。
正如我可以研究的Windows Server 2012默认使用TLS 1.2。 但是,可以使用registryconfiguration此设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DWORD "DisabledByDefault" Value "0x00000000" DWORD "Enabled" Value "0x00000001" or "0xffffffff" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server DWORD "DisabledByDefault" Value "0x00000000" DWORD "Enabled" Value "0x00000001" or "0xffffffff" 微软也提到这个本地组策略设置可能有所帮助:
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
由于此设置应在操作系统内设置,Microsoft还build议在Internet Explorer的“Internet选项”中启用TLS 1.2用法。
我尝试了所有这三个选项,但都没有为我工作。 只是为了清楚。 启用每个设置后,服务器(不只是IIS服务)重新启动了几次。
大多数指南和脚本(如PowerShell)只是在registry中设置相应的键。 我不知道我还能尝试什么。
我希望有人知道在哪里可以做到这一点。
在Windows Server上启用SSL / TLS的另一个选项是使用SSLencryption来更新registry项。
此外,您可以pipe理密码套件(密码,哈希和密钥交换)。