我的任务是configuration一个IIS7服务器来接受TLS 1.0 HTTPS连接。
我已经拿出了我推断出的TLS 1.0的密码套件列表。
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
我已经把这个列表放在下面的策略框中:Computer Configuration | pipe理模板| networking| SSLconfiguration设置| SSL密码套件顺序
这足够吗? 我列表中的任何套件都不是TLS 1.0吗? 是否还有IIS7支持的任何其他TLS 1.0套件不在列表中?
顺便说一下,服务器是Windows Server 2008 R2。
谢谢
限制密码组不是正确的方法,因为他们也可以通过SSLv3客户端进行协商,这将导致SSLv3。 最好的方法是按照Robert指出( http://support.microsoft.com/kb/187498 )文章并设置正确的registry项。 除此之外的任何东西都容易出错。
一家名为Nartac软件的公司制作了一个免费的IIS Cryptoconfiguration工具,该工具可用于在Windows 2003,2008和2012的IIS中启用/禁用协议和密码套件。它还提供了configurationIIS以符合FIPS 140.2的模板, Qualys SSL站点分析器用于testing公共URL,并且列出了可用于validation内部站点的其他validation工具。
检查此限制网站的特定encryption协议 。 对于IIS 7 / 7.5也是一样。
win2008中所有支持的cipers列表 。 这可能是一个好的开始。