Windows服務器上如何啟用TLS1.2

發布時間：2023-02-21 09:20:09 來源：億速云閱讀：354 作者：iii 欄目：服務器

這篇“Windows服務器上如何啟用TLS1.2”文章的知識點大部分人都不太理解，所以小編給大家總結了以下內容，內容詳細，步驟清晰，具有一定的借鑒價值，希望大家閱讀完這篇文章能有所收獲，下面我們一起來看看這篇“Windows服務器上如何啟用TLS1.2”文章吧。

首先測試一下自己的服務器究竟處于什么水平。

測試結果顯示是支持ssl3.0的并且不支持tls 1.2。證書使用sha1簽名算法不夠強。這點比較容易接受，因為windows服務器默認并沒有開啟tls1.2。

要提高服務器的評級，有3點需要做。

使用sha256簽名算法的證書。

禁用ssl3.0，啟用tls1.2

禁用一些弱加密算法。

由于目前服務器使用的證書是近3年前購買的，正好需要重新購買，順便就可以使用sha256簽名算法來買新的證書就可以了。在生產環境部署之前，先用測試機測試一下。

根據這3條命令把證書頒發機構的簽名算法升級上去。測試環境是windows2012 r2,默認的簽名算法是sha1

upgradecertification authority to sha256
http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx
certutil -setreg ca\csp\cnghashalgorithm sha256net stop certsvcnet start certsvc

然后，在服務器中添加注冊表鍵值并重啟已啟用tls1.2和禁用ssl3.0

hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\tls1.2\server\enabled reg_dword類型設置為1.
hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols\ssl3.0\server enabled reg_dword類型設置為0.

重新啟動服務器，是設置生效。

由于測試機沒有公網地址，所以去下載個測試工具，方便測試。

可以下載到exe或者java版本的測試工具，方便的在內網測試服務器支持的加密方式。

測試了一下，發現tls1.2沒有啟用。

Windows服務器上如何啟用TLS1.2

難道是啟用方法不對?于是開始檢查各種服務器的日志，也的確發現了tls1.2不能建立的報錯了。

Windows服務器上如何啟用TLS1.2

網上查了很多文章，也沒有說什么解決辦法。后來換了下證書，用回sha1的證書，tls1.2就能顯示成功啟用了。

Windows服務器上如何啟用TLS1.2

難道是證書有問題，于是就各種搜索sha1證書和sha256證書的區別，同時也測試了一些別人的網站，結果發現別人用sha256證書也能支持tls1.2. 難道是我的ca有問題？

又研究了幾天，也測試了2008 r2的機器還是同樣的問題。正好新買的公網證書也下來了。就拿這張證書先放到測試服務器上測試，結果還是不行。但是別人的服務器的確可以啊。

用powershell來幫助我們啟用tls1.2以及如何設定服務器的加密算法順序。

setupyour iis for ssl perfect forward secrecy and tls 1.2
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
enablingtls 1.2 on iis 7.5 for 256-bit cipher strength
http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么問題究竟出在哪呢？可能的問題，sha256證書有問題？服務器不支持tls1.2？然后根據windows日志中的錯誤繼續查找，都沒能找到什么有用的信息。

用ie試了下訪問網站，發現是可以的，于是抓包看一下，用的協議是tls1.2。證明tls1.2在服務器上是已經啟用的了。有client hello并且服務器也回應了serverhello。

Windows服務器上如何啟用TLS1.2