对于Windows服务器上的IIS web服务器安装完SSL证书后,可能会发现不符合苹果ATS要求 或者是在谷歌打开网站,提示 您的连接存在安全隐患,错误代码 NET::ERR_SSL_OBSOLETE_VERSION ,这是因为 服务器上的SSL证书配置不支持TLS1.2加密协议导致的
这里我们介绍如何在Windows 服务器启用 TLS1.2 解决这个问题、 使用PFS(完全正向保密)和 配置安全的SSL加密套件,这几个问题我们都可以通过使用本文介绍的工具来简单设置一下即可符合要求。工具可通过下面的网址下载,请下载GUI版本
https://www.nartac.com/Products/IISCrypto/Download
该软件支持 Windows Server 2008R2, 2012 and 2016系列的操作系统,对于Windows Server 2008R2 操作系统,需要安装 the .Net 4.0 framework 或更高的版本。
请注意:windows server 2008 不支持TLS 1.1 和 TLS 1.2
具体的配置操作如下,非常简单:
点击左侧菜单的 Schannel ,然后点击左下角的 "best pratices"(最优配置),然后点击右下角的 apply(应用),点击apply 后会提示需要手动重启服务器后配置才生效,点击确定即可,先不重启。
接下来我们配置加密套件,点击左侧菜单的 Cipher Suites , 接着点击左下角的 Best Pratices ,最后点击右下角的 Apply 。软件会再次弹出窗口提示重启服务器后配置才生效,这个时候可以重启服务器让刚才的两处设置生效。
重启服务器后,这个时候可以看到 服务器上的SSL证书已经支持TLS 1.2 、启用PFS 了 并且使用了安全的SSL加密套件。