Windows 2012:如何防止IIS为连接选择SHA-1?
Windows 2012:如何防止IIS为连接选择SHA-1?
提问于 2021-05-10 09:53:28
问题:当客户端使用SHA-1证书时,Windows 2012上的IIS会选择SHA-1算法.即使服务器端证书是SHA-256。所以Chrome/Edge不能工作。
在类似的Windows 2016安装程序上: IIS使用适当的算法,一切都正常。这是因为有KB4516061修复了这个问题:解决了一个问题,该问题选择了一个SHA-1哈希算法,用于安全连接(HTTPS/TLS)到一个Windows服务器。
(是的,我知道SHA-1,但这是一个corpo环境,有些用户的智能卡上仍然有SHA-1证书.)
问:如何使它在Windows 2012上工作?也许是一些注册表设置?某个我不知道的修补程序KB?
我试过的是:
- IIS密码中的“最佳实践”。
- 另外,在所有列表中禁用SSL3.0和SHA-1。
HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003-从Functions值中删除SHA-1,但这会扰乱整个计算机.
回答 1
Server Fault用户
发布于 2021-05-11 15:12:40
克服这一问题的一个办法是:
- 禁用IISCrypto中服务器协议中除TLS1.0之外的所有内容。别碰客户协议。
- 由于Edge默认不允许TLS1.0和TLS1.1,因此应用以下内容,将在几个月后停止在版本91中工作。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
"SSLVersionMin"="tls1"另一个选择是强制网站在IE11兼容模式下的边缘,IE11是少得多的挑剔。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/1063084
复制相关文章
相似问题
腾讯云开发者
