IISCrypto(SSL/TLS一键配置工具) iis服务器如何开启tls v1.2协议
<p>今天有个客户给我反馈了一个在网站安装SSL证书后,网站https显示异常的问题,就是在谷歌浏览器下,会提示“您的连接存在安全隐患”,访问被阻止,如下:</p><p><img alt="a1f2946000df8da418c06b83e16eadfe.png" src="https://img.jbzj.com/file_images/article/202403/202403102241531.jpg" /></p>
<p>如果继续强制浏览,会提示“你与此网站之间建立的连接并非完全安全,攻击者可能能够看到您正在此网站上浏览的图片,并通过编辑这些图片让你受骗 ”,如下:</p>
<p><img alt="5d5e42cad6d200c902defd5503ee1c0f.png" src="https://img.jbzj.com/file_images/article/202403/202403102241532.jpg" /></p>
<p>已经很少遇到这种情况了,而且在其他浏览器下都没遇到过,其他网站申请的相同类型的SSL证书也没遇到过,所以排除了是证书的问题;网站上有些http类型的资源,全部替换成https的资源后,还是有这个提示,最后估计是服务器配置这块有点问题了;后来百度了下这个问题,说得最多的是IIS web服务器相关的问题,想想平时帮客户做网站已经基本不用IIS服务器了,原因那应该出在服务器配置上了。</p>
<p>下面是作者收集整理后的具体解决方法,如果你的网站用的是IIS服务器,网站要升级成https,这个方法能帮你解决到这个问题。</p>
<p>1、下载服务器安全管理工具 <a href="https://www.jb51.net/softs/617695.html" rel="external nofollow"target="_blank">IIS Crypto</a>,点击下面的按钮下载到IIS服务器:</p>
<p>2、解压后,直接双击IISCrypto.exe进行安装,按照下面的选项勾选,然后点击“Apply”保存设置,然后点击“Reboot”重启服务器即可。</p>
<p><img alt="ea5f0b2401ac79df960d309b8bcf4f77.png" src="https://img.jbzj.com/file_images/article/202403/202403102241533.jpg" /></p>
<p>重新配置后,网站证书显示正常了</p>
<p><img alt="23923f2033fb42180906b56b3a8b93bd.png" src="https://img.jbzj.com/file_images/article/202403/202403102241534.jpg" /></p>
<h3>IIS Crypto工具介绍</h3>
<p>IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008、2012、2016、2019 和 2022 上启用或禁用协议、密码、哈希和密钥交换算法。</p>
<p>允许您重新排序 IIS 提供的 SSL/TLS 密码套件、更改高级设置、通过单击实施最佳实践、创建自定义模板和测试您的网站。</p>
<h3>功能</h3>
<p>1、单击以使用最佳实践保护您的网站。<br />2、在进行任何更新之前备份注册表。<br />3、更改高级注册表设置。<br />4、内置最佳实践、PCI 4.0、严格和 FIPS 140-2 模板。<br />5、创建可在多个服务器上保存和运行的自定义模板。<br />6、恢复为原始服务器的默认设置。<br />7、阻止溺水、僵局、怪胎、贵宾犬和野兽攻击。<br />8、启用 TLS 1.1、1.2 和 1.3*。<br />9、启用前向保密。<br />10、对密码套件重新排序。<br />11、禁用弱协议和密码,例如 SSL 2.0、3.0、MD5 和 3DES<br />12、用于测试配置的站点扫描程序。</p>
<h3>IIS上部署多个SSL证书绑定https和使用TLS1.0 TLS1.1 TLS1.2协议</h3>
<p>近日站长尝到了转https的好处,这几天也顺便把公司服务器上面的几个网站都由http转成https。实际操作发现IIS弄个SSL还是很多坑的。下面提两点,给大家一点帮助。具体绑定SSL证书的操作很简单,不懂百度一下很多教程的。</p>
<p>坑1:服务器要windows server 2012 + IIS8.5以上才能多个域名同时部署SSL,否则很麻烦。</p>
<p>由于公司的服务器是Windows server 2012,刚好能方便的多个域名同时绑定https,不然真的很麻烦。我建议不得不用Windows服务器的话,建议大家重装到2012以上的版本吧。</p>
<p>还有绑定https域名时,记得勾选上“需要服务器名称指示(N)”,这也是一个小坑,不勾选的话,只能绑定的是第一个绑定的SSL证书。</p>
<p><img alt="" src="https://img.jbzj.com/file_images/article/202403/20240310225758.png" /></p>
<p>坑2:IIS默认的是SSL 2.0协议,使用了RC4加密密钥的,这样会造成PCI DSS和Apple ATS规范不及格。</p>
<p>我们需要禁用SSL v2.0、SSL v3.0协议和低强度加密密钥。使用TLS1.0 TLS1.1 TLS1.2版本。</p>
<p>这里如果要改的话,要去注册表改,很麻烦的。我找到了IIS Crypto GUI这个软件很方便就能修改。</p>
<p><img alt="" height="701" src="https://img.jbzj.com/file_images/article/202403/20240310225759.png" width="900" /></p>
<p>直接点“Best Practices”,推荐设置,然后点“Apply”应用即可,要重启一下系统。</p>
<p><strong>注意! 注意!</strong></p>
<p>修改SSL相关的注册表可能会导致windows 服务器无法进系统,使用IIS Crypto设置错了也会导致进不了系统。所以需要先备份和系统快照。</p>
<p>最后是我碰到了lsass.exe进程占用CPU过高的问题,<br />Key Exchanges 只开启PKCS可以解决。原因不明。</p>
<p>Lsass.exe high CPU usage and causing request queuing on webserver</p>
<p><a href="https://serverfault.com/questions/674029/lsass-exe-high-cpu-usage-and-causing-request-queuing-on-webserver" rel="external nofollow"target="_blank">https://serverfault.com/questions/674029/lsass-exe-high-cpu-usage-and-causing-request-queuing-on-webserver</a></p>
<h3>TLS 设置 c#</h3>
<p>c#,asp.net4.0-4.4 是</p>
<p>在发送HTTP请求前加入下行代码</p>
<p>ServicePointManager.SecurityProtocol = (SecurityProtocolType)192 | (SecurityProtocolType)768 | (SecurityProtocolType)3072;</p>
<p> 4.5 是</p>
<p>如果是4.5以上版本可以直接使用</p>
<p>ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11;</p>
頁:
[1]