我们希望支持使用 TLS 1.1 和 1.2 的网络浏览器,该协议显然已由微软实现,但默认情况下是关闭的。
因此我使用 Google 进行搜索,发现了一些似乎每个人都在关注的页面:
http://support.microsoft.com/kb/245030
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
但是!它似乎对我不起作用。我已为 TLS 1.1 和 1.2 设置了 DisabledByDefault 和 Enabled 的 DWORD 值。我可以确认我的客户端正在尝试与 TLS 1.2 通信,但服务器仅响应 1.0。我已重新启动 IIS,但情况并未改变。
微软指出:“警告:Protocols 项下的注册表项中的 DisabledByDefault 值不优先于包含 Schannel 凭证数据的 SCHANNEL_CRED 结构中定义的 grbitEnabledProtocols 值。”
嗯,这对我来说很模糊。我找不到任何定义或设置 SCHANNEL_CRED 的地方,我只能确定它是 Microsoft 库中定义的结构。这是我对此不起作用的唯一猜测,但我找不到足够的信息来确定这是否是真正的问题。
答案1
重新启动。对 Schannel 设置的更改只有在系统重新启动后才会生效。
答案2
答案3
启用 TLS 1.1 和 1.2 需要重启。禁用 RC4 和 DH 无需重启服务器或服务。
如果我没记错的话,禁用 SSLv2 和 SSLv3 也是立即有效的。
答案4
https://technet.microsoft.com/en-us/library/dn786418.aspx
要启用该协议,请将 DWORD 值更改为 0xffffffff。