更改IIS 8中的密钥交换机制

首先要具体回答你的问题;

“我怎样才能把它改成DHE_RSA或ECDHE_RSA？

最简单的解决scheme是下载IIS Crypto，让它为您做好工作。

IISencryption

为了使用DHE_RSA或ECDHE_RSA，您需要重新排列IIS Crypto窗口左下方窗格中的密码套件首选项。 我目前将下面的密码套件设置为我最喜欢的密​​码套件。

 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 

您还需要正确设置其余的顺序，并禁用一些条目。 我强烈build议使用“最佳实践”button，因为它会为你做这个。 它还将禁用SSL3.0协议及其以下版本，以及除3DES和AES 128/256以外的所有encryption密码。 您需要注意的是，通过这样做，您可能会导致与非常老的客户端的兼容性问题（想想XP和以下的IE6）。 对于大多数客户群来说，这个问题现在不应该成为一个问题，但是世界上有些地区仍然使用这样的老软件。

我的答案的第二部分是指您希望删除最新版本的Chrome显示的警告;

您的网站连接使用过时的密码encryption

这是很难实现的。 即使更改为ECDHE_RSA或DHE_RSA，您仍然会看到警告。 这是因为Chrome在CBC模式下正在考虑AES过时。 改变这个的方法是在GCM模式下使用AES，但是为了做到这一点，您需要确保您已经使用下面的补丁修补了您的服务器。 这个补丁引入了四个新的密码套件，其中两个将在这里做我们需要的。

在我给你的链接之前， 这是一个健康警告 。 由于许多问题，此修补程序在十一月由微软拉动。 我不知道现在是否认为使用安全，或在什么条件下。 我一直在试图找出自己（见这个问题 ）

使用风险自负！

该修补程序是KB2992611

一旦安装，您现在可以使用IIS Crypto将以下密码套件放在列表顶部;

 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 

Chrome会对此感到满意。 这个套件唯一的缺点是你失去了与ECDHE相关的椭圆曲线属性而不是DHE。 这不会影响安全性，但会影响密钥交换期间的服务器和客户端性能。 您将需要评估这种折衷是否值得用于您的特定用例。

最后 ，还可以通过使用AES GCM与ECDHE / ECDSA组合的密码套件来实现这一点，例如

 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 

但是，只有在获得使用ECDSA生成公钥/私钥而不是RSA的SSL证书时，这才会起作用。 这些仍然比较less见（阅读：昂贵），并可能导致客户端兼容性问题。 我自己也没有尝试过这个scheme，因此不能和任何权威人士交谈。

最后，最后 （真的，最后）。 以上所有，我其实并不担心。 在可预见的未来，我将继续在我的IIS机器上使用AES CBC。 如果用户select点击并查看TLS详细信息，Chrome浏览器只会显示上述警告，否则仅仅通过查看地址栏符号系统是没有任何迹象的。

希望有所帮助，并为论文道歉！ 😉

我知道改变Windows密码套件顺序的最简单方法是使用小型工具IIS Crypto

但是，您在Chrome中收到的消息很可能与此无关。

当您的证书或其父母拥有sha1的签名algorithm时，会显示您Your connection to website is encrypted with obsolete cryptography 。 先检查一下，也许更换证书