windows-server-2012 – 在IIS 8中更改密钥交换机制
我们正在使用RSA密钥交换机制来获取SSL证书.如何将其更改为DHE_RSA或ECDHE_RSA? 由于使用RSA,我们在chrome中收到以下警告
我正在使用Windows Server 2012 IIS 8. 首先要具体回答你的问题;
最简单的解决方案是下载IIS Crypto并让它为您完成艰苦的工作. IIS Crypto 要使用DHE_RSA或ECDHE_RSA,您需要在IIS加密窗口的左下方窗格中重新排序密码套件首选项.我目前将以下密码套件设置为我的最高优先级; TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 您还需要正确设置其余部分的顺序并禁用某些条目.我强烈建议您使用“最佳实践”按钮,因为它会为您做到这一点.它还将禁用以下SSL3.0协议以及除3DES和AES 128/256之外的所有加密密码.您需要注意,通过这样做,您可能会导致与旧客户端的兼容性问题(想想XP及更低版本的IE6).对于大多数客户群来说,这些日子不应成为问题,但世界上某些地方仍然使用这样的旧软件. 我的回答的第二部分是指您希望删除最新版本的Chrome所显示的警告;
这很难实现.即使在更改为ECDHE_RSA或DHE_RSA之后,您也会
安装完成后,您现在可以使用IIS Crypto将以下密码套件放在列表顶部; TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 Chrome会对此感到满意.此套件的唯一缺点是您丢失了与ECDHE相关的椭圆曲线属性而不是DHE.这不会影响安全性,但会在密钥交换期间影响服务器和客户端的性能.您需要评估这种权衡对于您的特定用例是否值得. 最后,还可以通过使用将AES GCM与ECDHE / ECDSA组合的密码套件之一来实现这一点,例如, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 但是,只有在获得使用ECDSA生成公钥/私钥而非RSA的SSL证书时,此方法才有效.这些仍然相对罕见(阅读:昂贵),并可能导致客户端兼容性问题.我自己没有尝试过这个选项,因此无法与任何权威人士交谈. 最后,终于(真的,最后).完成上述所有操作后,我实际上不会担心它.在可预见的未来,我将继续在我的IIS机箱上使用AES CBC. Chrome仅显示上述警告,如果用户选择单击并查看TLS详细信息,则无法通过查看地址栏符号系统来指示. 希望有所帮助,并为文章道歉! (编辑:ASP站长网) |