我在一台 Windows Server 2012 机器上运行 TLS 1.2 协议时遇到了一些问题。我使用 Qualys 的 ssllabs.com 检查了这个问题,还用 powershell 脚本和 linux 工具“cipherscan”进行了测试。
该服务器托管一台 Exchange 2013 SP1 (CU4) 服务器,带有 IIS 8.0。使用的证书由我们公司的 CA 颁发。安装了相同 Exchange 2013 SP1 (CU4) 的另一台 Windows Server 2012 可以完美地使用相同的证书。
据我研究,Windows Server 2012 默认使用 TLS 1.2。但是可以使用注册表配置此设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DWORD "DisabledByDefault" Value "0x00000000"
DWORD "Enabled" Value "0x00000001" or "0xffffffff"
微软还提到,这个本地组策略设置可能会有所帮助:
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
由于此设置应在操作系统内部设置,因此 Microsoft 还建议在 Internet Explorer 的 Internet 选项中启用 TLS 1.2 的使用。
我尝试了所有这 3 个选项,但对我而言都不起作用。只是为了说明这一点。启用每个设置后,服务器(不仅仅是 IIS 服务)重新启动了几次。
大多数指南和脚本(例如 powershell)只是在注册表中设置相应的键。我不知道我还能尝试什么。
我希望有人知道在哪里可以启用此功能。
答案1
在 Windows Server 上启用 SSL/TLS 的另一个选项是使用SSL 加密更新注册表项。
此外,您还可以管理密码套件(密码、哈希和密钥交换)。