修改IIS的SSL和TLS不同版本的协议

bill

Windows中的IIS服务器管理SSL和TLS协议的版本较为特别，并且受IIS的版本影响，本文推荐较为简单的IISCrypto工具一键修改方法，避免操作复杂的注册表，详见全文。

基本要求

首先windows server 2008 R2/IIS 7以前的服务器不支持TLS1_2协议，所以Windows 2003等服务器是肯定不支持的，如果使用.net开发的WEB应用，必须将Windows硬件服务器升级到Server 2008 R2，再进行以下的配置。

软件一键修改

此处推荐一键调整加密套件的工具

官方地址：https://www.nartac.com/Products/IISCrypto/

百度网盘：https://pan.baidu.com/s/1pMXUCen (3wmh)

首先安装此软件，点击同意即可。

                               
登录/注册后可看大图

安装完成之后打开此软件，点击Best Practices（最佳配置），上面选框中的协议、加密位数、SHA、交换密钥会发生变化，然后点击Apply即可。后面需要重启服务器才可生效。

注意，2018年6月30日后TLS1.0不再作为符合PCI DSS安全标准（禁用TLS1.0解决PCI DSS不合规问题），因此，在勾选Best Practices（最佳配置）后，需要去掉TLS 1.0的勾选项，再点击 Apply后并重启。

                               
登录/注册后可看大图