在 Windows Server 2008 SP2 上启用 TLS 1.1 和 1.2

Question 1

微软已于 2017 年发布了 Windows 2008 更新，增加了对 TLS 1.1 和 1.2 的支持。@Chris Vesper 的回答详细一点。

原来的：

Windows 2008 不支持 TLS 1.1 和 1.2。您可以使用不同的密码套件（不涉及 RC4）来缓解 beast 问题

Answer

微软已于 2017 年发布了 Windows 2008 更新，增加了对 TLS 1.1 和 1.2 的支持。@Chris Vesper 的回答详细一点。

Windows 2008 不支持 TLS 1.1 和 1.2。您可以使用不同的密码套件（不涉及 RC4）来缓解 beast 问题

Question 2

我们能够让 TLS 1.2 和 1.2 在 Server 2008 SP2 上运行。

我们有一个 Win32 应用程序，许多客户在 Server 2008 SP2 上使用。该应用程序需要与信用卡处理公司进行通信，截至 2018 年 4 月，这些公司仅支持 TLS 1.2。

从安装 KB4019276https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276
为 TLS 1.1 和 TLS 1.2 创建注册表项。这些项位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 下，如本文所述https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on-windows-server-2008-r2.aspx
按照此处所述在 Internet Explorer 9 中启用 TLS 1.1 和 1.2https://msfn.org/board/topic/176902-enabling-tls-1112-support-in-vistas-internet-explorer-9/

浏览到以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
右键单击 Protocols 文件夹，然后从下拉菜单中选择 New，然后选择 Key。这将创建新文件夹。将此文件夹重命名为 TLS 1.2。
右键单击 TLS 1.2 键并在其下方添加两个新键。
将两个新键重命名为：Client Server
右键单击客户端项并从下拉列表中选择新建，然后选择 DWORD（32 位）值。
将 DWORD 重命名为 DisabledByDefault。
右键单击名称DisabledByDefault并从下拉菜单中选择修改...。
确保“值”数据字段设置为 0，并且“基数”为十六进制。单击“确定”。
按照步骤 7 中所做的那样，为客户端密钥创建另一个 DWORD。
将第二个 DWORD 重命名为 Enabled。
右键单击名称“Enabled”，然后从下拉菜单中选择“修改...”。

12 确保“值”数据字段设置为 1，基数为十六进制。单击“确定”。

对 Server 项重复步骤 5 到 12（通过在 Server 项下创建两个 DWORD、DisabledByDefault 和 Enabled，以及它们的值）。
重新启动服务器。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.1

删除“OSVersion”=“3.6.1.0.0”子项）
导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.2
再次删除“OSVersion”=“3.6.1.0.0”子项。退出注册表编辑器。
启动 IE9；工具 -> Internet 选项 -> 高级选项卡 -> 一直向下滚动到“安全”：
在 KB4019276 和注册表操作之前，Vista 上只有“使用 TLS 1.0”可用；您应该已经取消选中较旧的“使用 SSL 2.0/3.0”选项，以避免成为“POODLE”攻击的目标；取消选中“使用 TLS 1.0”（也可以选择“使用 TLS 1.1”）并选中“使用 TLS 1.2”。
单击“应用”、“确定”，然后退出 IE9。
重新启动 IE9 后，您会发现现在可以访问所有之前由于不支持 TLS 协议而无法加载的网站：

Answer

我们能够让 TLS 1.2 和 1.2 在 Server 2008 SP2 上运行。

我们有一个 Win32 应用程序，许多客户在 Server 2008 SP2 上使用。该应用程序需要与信用卡处理公司进行通信，截至 2018 年 4 月，这些公司仅支持 TLS 1.2。

从安装 KB4019276https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276
为 TLS 1.1 和 TLS 1.2 创建注册表项。这些项位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 下，如本文所述https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on-windows-server-2008-r2.aspx
按照此处所述在 Internet Explorer 9 中启用 TLS 1.1 和 1.2https://msfn.org/board/topic/176902-enabling-tls-1112-support-in-vistas-internet-explorer-9/

浏览到以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
右键单击 Protocols 文件夹，然后从下拉菜单中选择 New，然后选择 Key。这将创建新文件夹。将此文件夹重命名为 TLS 1.2。
右键单击 TLS 1.2 键并在其下方添加两个新键。
将两个新键重命名为：Client Server
右键单击客户端项并从下拉列表中选择新建，然后选择 DWORD（32 位）值。
将 DWORD 重命名为 DisabledByDefault。
右键单击名称DisabledByDefault并从下拉菜单中选择修改...。
确保“值”数据字段设置为 0，并且“基数”为十六进制。单击“确定”。
按照步骤 7 中所做的那样，为客户端密钥创建另一个 DWORD。
将第二个 DWORD 重命名为 Enabled。
右键单击名称“Enabled”，然后从下拉菜单中选择“修改...”。

12 确保“值”数据字段设置为 1，基数为十六进制。单击“确定”。

对 Server 项重复步骤 5 到 12（通过在 Server 项下创建两个 DWORD、DisabledByDefault 和 Enabled，以及它们的值）。
重新启动服务器。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.1

删除“OSVersion”=“3.6.1.0.0”子项）
导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.2
再次删除“OSVersion”=“3.6.1.0.0”子项。退出注册表编辑器。
启动 IE9；工具 -> Internet 选项 -> 高级选项卡 -> 一直向下滚动到“安全”：
在 KB4019276 和注册表操作之前，Vista 上只有“使用 TLS 1.0”可用；您应该已经取消选中较旧的“使用 SSL 2.0/3.0”选项，以避免成为“POODLE”攻击的目标；取消选中“使用 TLS 1.0”（也可以选择“使用 TLS 1.1”）并选中“使用 TLS 1.2”。
单击“应用”、“确定”，然后退出 IE9。
重新启动 IE9 后，您会发现现在可以访问所有之前由于不支持 TLS 协议而无法加载的网站：