Windows服務器IIS配置符合蘋果ATS方法

原文閱讀：Windows服務器IIS配置符合蘋果ATS方法

蘋果(Apple) ATS的基本要求主要知足三個條件TLS1.2支持、加密套件、SHA-2簽名算法便可，在蘋果ATS對SSL/TLS的安全檢測要求一文中有詳解，對於Apache和Nginx來講，只需修改配置文件便可，但對IIS來講相對比較複雜，本文主要介紹IIS服務器配置知足ATS標準的方法。

基本要求

首先windows server 2008 R2/IIS 7之前的服務器不支持TLS1_2協議，因此Windows 2003等服務器是確定不支持的，若是使用.net開發的WEB應用，必須將Windows硬件服務器升級到Server 2008 R2，再進行如下的配置。

軟件一鍵修改

此處推薦一鍵調整加密套件的工具

官方地址：https://www.nartac.com/Products/IISCrypto/
百度網盤：https://pan.baidu.com/s/1pMXUCen (3wmh)

首先安裝此軟件，點擊贊成便可。

安裝完成以後打開此軟件，點擊Best Practices（最佳配置），上面選框中的協議、加密位數、SHA、交換密鑰會發生變化，而後點擊Apply便可。後面須要重啓服務器纔可生效。

手動修改註冊表及密碼套件

開始——運行 輸入regedit

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右鍵->新建->項->新建TLS 1.1,TLS 1.2

TLS 1.1和TLS 1.2 右鍵->新建->項->新建Server->Client，在新建的Server和Client中都新建以下的項(DWORD 32位值)，總共4個

DisabledByDefault [Value = 0]
Enabled [Value = 1]

完成後重啓系統

加密套件調整

對於前向保密加密套件不支持的話可經過組策略編輯器進行調整。

開始菜單——運行、輸入gpedit.msc 進行加密套件調整 在此操做以前須要先開啓TLS1_2協議

雙擊SSL密碼套件順序

把支持的ECDHE加密套件加入SSL密碼套件中 以逗號（,）分隔打開一個空白寫字板文檔。
複製下圖中右側可用套件的列表並將其粘貼到該文檔中，按正確順序排列套件；刪除不想使用的全部套件，在每一個套件名稱的末尾鍵入一個逗號(最後一個套件名稱除外)。確保沒有嵌入空格。刪除全部換行符，以便密碼套件名稱位於單獨的一個長行上。將密碼套件行復制到剪貼板，而後將其粘貼到編輯框中。最大長度爲 1023 個字符。

可將如下套件加入密碼套件中

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

推薦套件組合：

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384</pre>

參考資料

• https://www.xuepaijie.com/htm...
• https://cloud.tencent.com/doc...