我的任务是配置 IIS7 服务器以接受 TLS 1.0 HTTPS 连接仅有的。
我得出了以下密码套件列表,我推断它们是 TLS 1.0。
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
我已将该列表放在以下策略的框中:计算机配置|管理模板|网络|SSL 配置设置|SSL 密码套件顺序
这足够了吗?我的列表中是否有任何套件不是 TLS 1.0?是否有其他 IIS7 支持但不在列表中的 TLS 1.0 套件?
顺便说一下,该服务器是 Windows Server 2008 R2。
谢谢
答案1
限制密码套件并不是正确的方法,因为它们也可以由 SSLv3 客户端协商,从而导致 SSLv3。最好的方法是按照 Robert 指出的文章(http://support.microsoft.com/kb/187498) 并设置正确的注册表项。除此之外的任何操作都容易出错。
答案2
您将遵循类似的程序http://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html但你禁用的不仅仅是 SSL 2.0
答案3
Nartac 软件公司免费提供IIS 加密配置工具,可用于在 Windows 2003、2008 和 2012 上的 IIS 中启用/禁用协议和密码套件。它还附带用于配置 IIS 以符合 FIPS 140.2 标准的模板,与Qualys SSL站点分析器用于测试公共 URL,并且列出了其他可用于验证内部站点的验证工具。
答案4
win2008 支持的所有密码列表。这可能是一个好的开始。