windows-server-2012 – 在IIS 8中更改密钥交换机制

我们正在使用RSA密钥交换机制来获取SSL证书.如何将其更改为DHE_RSA或ECDHE_RSA? 由于使用RSA,我们在chrome中收到以下警告 Your connection to website is encrypted with obsolete cryptography 我正在使用Windows Server 2012 IIS 8. 首先要具体回答你的

我们正在使用RSA密钥交换机制来获取SSL证书.如何将其更改为DHE_RSA或ECDHE_RSA?

由于使用RSA,我们在chrome中收到以下警告

Your connection to website is encrypted with obsolete cryptography

我正在使用Windows Server 2012 IIS 8.

首先要具体回答你的问题;

“How can i change that to DHE_RSA or ECDHE_RSA?”

最简单的解决方案是下载IIS Crypto并让它为您完成艰苦的工作.

IIS Crypto

要使用DHE_RSA或ECDHE_RSA,您需要在IIS加密窗口的左下方窗格中重新排序密码套件首选项.我目前将以下密码套件设置为我的最高优先级;

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

您还需要正确设置其余部分的顺序并禁用某些条目.我强烈建议您使用“最佳实践”按钮,因为它会为您做到这一点.它还将禁用以下SSL3.0协议以及除3DES和AES 128/256之外的所有加密密码.您需要注意,通过这样做,您可能会导致与旧客户端的兼容性问题(想想XP及更低版本的IE6).对于大多数客户群来说,这些日子不应成为问题,但世界上某些地方仍然使用这样的旧软件.

我的回答的第二部分是指您希望删除最新版本的Chrome所显示的警告;

Your connection to website is encrypted with obsolete cryptography

这很难实现.即使在更改为ECDHE_RSA或DHE_RSA之后,您也会
仍然看到警告.这是因为Chrome在CBC模式下考虑使用AES已经过时了.改变这种情况的方法是在GCM模式下使用AES,但是为了做到这一点,您需要确保首先使用下面的补丁修补您的服务器.这个补丁引入了四个新的密码套件,其中两个将满足我们的需求.

Before I give you the link,this comes with a health warning. This
patch was pulled by Microsoft in November due to a multitude of
issues. I do not yet know whether it is now considered safe to use,or
under what conditions. I have been trying to find out myself (see
07001)

Use at your own risk!

The patch is 07002

安装完成后,您现在可以使用IIS Crypto将以下密码套件放在列表顶部;

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Chrome会对此感到满意.此套件的唯一缺点是您丢失了与ECDHE相关的椭圆曲线属性而不是DHE.这不会影响安全性,但会在密钥交换期间影响服务器和客户端的性能.您需要评估这种权衡对于您的特定用例是否值得.

最后,还可以通过使用将AES GCM与ECDHE / ECDSA组合的密码套件之一来实现这一点,例如,

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521

但是,只有在获得使用ECDSA生成公钥/私钥而非RSA的SSL证书时,此方法才有效.这些仍然相对罕见(阅读:昂贵),并可能导致客户端兼容性问题.我自己没有尝试过这个选项,因此无法与任何权威人士交谈.

最后,终于(真的,最后).完成上述所有操作后,我实际上不会担心它.在可预见的未来,我将继续在我的IIS机箱上使用AES CBC. Chrome仅显示上述警告,如果用户选择单击并查看TLS详细信息,则无法通过查看地址栏符号系统来指示.

希望有所帮助,并为文章道歉!

关于作者: dawei

【声明】:石家庄站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

为您推荐