在设置 HTTPS 网站的过程中以及在其最佳实践中,我首先禁用了 ssl v3(这没有问题),然后我禁用了较旧的不安全密码并仅启用:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
但是,执行此操作后,我无法再通过远程桌面登录。可能是某些密码不兼容?RD 客户端在 Windows XP 上,服务器是 Windows 2012 R2。我该如何解决这个问题?我不想为 IIS 重新启用较旧的不安全密码。
先感谢您
答案1
旧版本的 RDP 不支持 TLS 1.0 以上的任何版本。Windows 7 和 Windows Server 2008 R2 有一个补丁这里。Windows 2012 支持此 OOTB。在 Windows 8.1 之后的版本中,TLS 1.1 和 TLS 1.2 默认启用。Windows XP 已停用,没有补丁。因此,如果您在服务器端禁用 TLS 1.0,则无法连接 Windows XP 客户端。
答案2
除了保持 TLS 1.0 启用之外,如果您必须从 XP 客户端通过 RDP 连接到服务器,您还需要启用 3DES。
但这是错误的答案,正确的答案是使用最新的、安全的和受支持的客户端操作系统;目前是 Windows 7 或更新版本。
如今,除了极度特殊的情况外,任何人都不应使用 Windows XP,在这种情况下,机器应隔离。您当然不应该使用它来管理 Web 服务器!