如何在不破坏 Windows Server 2008 R2 上的 MS SQL 和 RDP 的情况下禁用 TLS 1.0?
如果我只是禁用它,RDP 和 MS SQL 就会停止工作。尝试谷歌搜索,但我找不到解决方案。这难道不可行吗?
答案1
目前看来,除非微软为上述服务添加对 TLS 1.2 的支持,否则这是不可能的。
我假设您的“电子商务服务器”是基于 IIS 的网上商店。您可以将 SSL/TLS 工作卸载到 Squid 或 Nginx 等前端/反向/加速器代理。流量流将如下所示:
Client --{SSL}-- proxy --{http}-- IIS
也许本文档可以帮助您:nginx 反向代理、ssl 卸载、缓存和 pagespeed 合而为一。
这种设置的优势在于:
- 将 SSL/TLS 工作卸载到另一台机器
- 可以在代理上选择 SSL/TLS 密码
- 加密不会影响您的 IIS
- 可缓存内容一旦被缓存且有效,就会从代理传送
但也有一些缺点
- 您的“电子商务应用程序”不知道是通过 SSL 还是 HTTP 访问的。
- 应进行一些测试和/或调试,以避免 HTTP 和 HTTPS 之间无休止的重定向
答案2
自 2016 年 1 月 29 日起,微软已发布对 SQL Server 2008、2008 R2、2012 和 2014 服务器组件以及客户端组件的 TLS 1.2 支持。
关于 RDP 连接,在禁用 TLS 1.0 之前,您应该确保 RDP 中的默认安全层设置为 Negotiate,它同时支持 SSL(TLS 1.0)和 RDP 安全层。如果将安全层设置为 SSL(TLS 1.0)并禁用 TLS 1.0,您将无法连接到 RDP。
要检查您的设置,请在管理工具中打开远程桌面会话主机配置,然后双击连接组下的 RDP-Tcp。如果设置为 SSL (TLS 1.0),请确保在将其设置为协商或 RDP 安全层之前不要禁用 TLS 1.0。