在Windows服务器上启用TLS 1.2及TLS 1.2基本原理介绍

首先在这个网站上测试一下自己的服务器究竟处于什么水平。

https://www.ssllabs.com/ssltest/

测试结果显示是支持SSL3.0的并且不支持TLS 1.2。证书使用SHA1签名算法不够强。这点比较容易接受，因为Windows服务器默认并没有开启TLS1.2。

要提高服务器的评级，有3点需要做。

使用SHA256签名算法的证书。

禁用SSL3.0，启用TLS1.2

禁用一些弱加密算法。

由于目前服务器使用的证书是近3年前购买的，正好需要重新购买，顺便就可以使用SHA256签名算法来买新的证书就可以了。在生产环境部署之前，先用测试机测试一下。

根据这篇文章中的3条命令把证书颁发机构的签名算法升级上去。测试环境是Windows2012 R2,默认的签名算法是SHA1

UpgradeCertification Authority to SHA256

http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx

certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc

然后，在服务器中添加注册表键值并重启已启用TLS1.2和禁用SSL3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Server\Enabled REG_DWORD类型设置为1.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Server Enabled REG_DWORD类型设置为0.

重新启动服务器，是设置生效。

由于测试机没有公网地址，所以去下载个测试工具，方便测试。

http://www.bolet.org/TestSSLServer/

可以下载到EXE或者JAVA版本的测试工具，方便的在内网测试服务器支持的加密方式。

测试了一下，发现TLS1.2没有启用。

难道是启用方法不对?于是开始检查各种服务器的日志，也的确发现了TLS1.2不能建立的报错了。

网上查了很多文章，也没有说什么解决办法。后来换了下证书，用回SHA1的证书，TLS1.2就能显示成功启用了。

难道是证书有问题，于是就各种搜索SHA1证书和SHA256证书的区别，同时也测试了一些别人的网站，结果发现别人用SHA256证书也能支持TLS1.2. 难道是我的CA有问题？

又研究了几天，也测试了2008 R2的机器还是同样的问题。正好新买的公网证书也下来了。就拿这张证书先放到测试服务器上测试，结果还是不行。但是别人的服务器的确可以啊。

在此期间发现两篇比较好的文章，用Powershell来帮助我们启用TLS1.2以及如何设定服务器的加密算法顺序。

Setupyour IIS for SSL Perfect Forward Secrecy and TLS 1.2

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

EnablingTLS 1.2 on IIS 7.5 for 256-bit cipher strength

http://jackstromberg.com/2013/09/enabling-tls-1-2-on-iis-7-5-for-256-bit-cipher-strength/

那么问题究竟出在哪呢？可能的问题，SHA256证书有问题？服务器不支持TLS1.2？然后根据Windows日志中的错误继续查找，都没能找到什么有用的信息。

于是求助朋友，朋友发来一段信息。

TLS 1.2introduced signature algorithms extension where the client advertises supportedsignature and hash algorithm combinations. When the client offers TLS1.2 without signature algorithms extension,schannel server assumes that this client only understands SHA1. If the schannelserver only has a SHA256 certificate, it will terminate the handshake. However,the same client offering TLS≤1.1 will succeed.

同时也提到了RFC5246中的一些信息。

http://www.ietf.org/rfc/rfc5246.txt

If the clientdoes not send the signature_algorithms extension, the

server MUST do the following:

- Ifthe negotiated key exchange algorithm is one of (RSA, DHE_RSA,

DH_RSA, RSA_PSK, ECDH_RSA, ECDHE_RSA),behave as if client had

sent the value {sha1,rsa}.

- Ifthe negotiated key exchange algorithm is one of (DHE_DSS,

DH_DSS), behave as if the client had sentthe value {sha1,dsa}.

- Ifthe negotiated key exchange algorithm is one of (ECDH_ECDSA,

ECDHE_ECDSA), behave as if the client hadsent value {sha1,ecdsa}.

Note: this is a change from TLS 1.1 wherethere are no explicit

rules, but as a practical matter one canassume that the peer

supports MD5 and SHA-1.

Note: this extension is not meaningful forTLS versions prior to 1.2.

Clients MUST NOT offer it if they areoffering prior versions.

However, even if clients do offer it, therules specified in [TLSEXT]

require servers to ignore extensions they donot understand.

Servers MUST NOT send this extension. TLS servers MUST support

receiving this extension.

When performing session resumption, thisextension is not included in

Server Hello, and the server ignores theextension in Client Hello

(if present).

这和我遇到的问题完全符合啊，难道是客户端没有发送签名算法扩展？于是用IE试了下访问网站，发现是可以的，于是抓包看一下，用的协议是TLS1.2。证明TLS1.2在服务器上是已经启用的了。有client hello并且服务器也回应了serverhello。

再仔细看客户端的client hello包，里面确实包含了extension信息。

看之前Testtlsserver.exe测试失败并抓下来的包。并没有server hello的包回来。ClientHello里的确没有扩展信息。

于是，让同事帮忙把测试服务器发布到公网上，用https://www.ssllabs.com/ssltest/

测试一下，果然没有问题。这个困扰我好久的问题终于有了解释。

最后,附上不再支持SSL 3.0 Chrome厂商自家网站的测试结果供大家参考。

# 服务器  # 启用  # TLS  # 1.2  # windows服务器之win2003  # win2008R2  # win2012  # win2016  # win2019系统版本区别  # 开放windows服务器端口(以打开端口8080为例)  # 在 Windows服务器中启用/禁用SMBv1、SMBv2和SMBv3的方法  # windows服务器ssl证书创建、安装及配置方法  # 使用命令行重启Windows服务器的方法  # 本地电脑向远程windows服务器传输文件的三种方法汇总  # 测试一下  # 不支持  # 设置为  # 就可以  # 自己的  # 客户端  # 测试工具  # 器上  # 在这个  # 就能  # 在此  # 说什么  # 都没  # 几天  # 也能  # 这张  # 错了  # 比较好  # 换了  # 能找到 

相关文章： php条件判断怎么写_ifelse和switchcase的使用区别【对比】  如何快速搭建二级域名独立网站？  如何通过二级域名建站提升品牌影响力？  如何通过服务器快速搭建网站？完整步骤解析  如何通过可视化优化提升建站效果？  阿里云网站搭建费用解析：服务器价格与建站成本优化指南  制作国外网站的软件,国外有哪些比较优质的网站推荐？  如何在Windows服务器上快速搭建网站？  制作网站建设的公司有哪些,网站建设比较好的公司都有哪些？  网站专业制作公司,网站编辑是做什么的？好做吗？工作前景如何？  专业网站制作服务公司,有哪些网站可以免费发布招聘信息？  建站之星在线客服如何快速接入解答？  制作网站怎么制作,*游戏网站怎么搭建？  网站制作话术技巧,网站推广做的好怎么话术？  如何在Golang中引入测试模块_Golang测试包导入与使用实践  如何确保FTP站点访问权限与数据传输安全？  如何在阿里云虚拟机上搭建网站？步骤解析与避坑指南  惠州网站建设制作推广,惠州市华视达文化传媒有限公司怎么样？  如何优化Golang Web性能_Golang HTTP服务器性能提升方法  如何用手机制作网站和网页,手机移动端的网站能制作成中英双语的吗？  如何通过VPS建站无需域名直接访问？  网站制作企业,网站的banner和导航栏是指什么？  如何快速启动建站代理加盟业务？  音响网站制作视频教程,隆霸音响官方网站？  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  微信小程序 五星评分(包括半颗星评分)实例代码  教学论文网站制作软件有哪些,写论文用什么软件 ？  较简单的网站制作软件有哪些,手机版网页制作用什么软件？  清单制作人网站有哪些,近日“兴风作浪的姑奶奶”引起很多人的关注这是什么事情？  公司网站制作费用多少,为公司建立一个网站需要哪些费用？  制作网站公司那家好,网络公司是做什么的？  如何快速上传建站程序避免常见错误？  如何快速搭建响应式可视化网站？  已有域名建站全流程解析：网站搭建步骤与建站工具选择  我的世界制作壁纸网站下载,手机怎么换我的世界壁纸？  建站IDE高效指南：快速搭建+SEO优化+自适应模板全解析  韩国网站服务器搭建指南：VPS选购、域名解析与DNS配置推荐  网站制作公司,橙子建站是合法的吗？  相亲简历制作网站推荐大全,新相亲大会主持人小萍萍资料？  兔展官网 在线制作,怎样制作微信请帖？  大连网站制作公司哪家好一点,大连买房网站哪个好？  如何选择服务器才能高效搭建专属网站？  建站之星如何快速解决建站难题？  如何在建站之星网店版论坛获取技术支持？  ,sp开头的版面叫什么？  韩国代理服务器如何选？解析IP设置技巧与跨境访问优化指南  官网建站费用明细查询_企业建站套餐价格及收费标准指南  关于BootStrap modal 在IOS9中不能弹出的解决方法(IOS 9 bootstrap modal ios 9 noticework)  宿州网站制作公司兴策,安徽省低保查询网站？  如何在橙子建站中快速调整背景颜色？