常见问题

诚邀爱技术、爱分享的你,成为文档内容共建者> HOT
文档中心 > SSL 证书 > 最佳实践 > 苹果 ATS 特性服务器配置指南
注意
需要配置符合 PFS 规范的加密套餐,目前推荐配置:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
需要在服务端 TLS 协议中启用 TLS1.2,目前推荐配置:TLSv1 TLSv1.1 TLSv1.2

Nginx 证书配置

更新 Nginx 根目录下 conf/nginx.conf 文件如下:
server {
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

Apache 证书配置

更新 Apache 根目录下 conf/httpd.conf 文件如下:
<IfModule mod_ssl.c>
<VirtualHost *:443>
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
</VirtualHost>
</IfModule>

Tomcat 证书配置

更新 %TOMCAT_HOME%\\conf\\server.xml 文件如下:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
scheme="https" secure="true"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

IIS 证书配置

方法一

Windows 2008及更早的版本不支持 TLS1.2 协议,因此无法调整 2008R2 TLS1.2 协议,默认是关闭的,需要启用此协议达到 ATS 要求。
以2008 R2为例,导入证书后没有对协议及套件做任何的调整。 证书导入后检测到套件是支持 ATS 需求的,但协议 TLS1.2 没有被启用,ATS 需要 TLS1.2 的支持。可使用的 ssltools工具(亚洲诚信提供,单击下载)启用 TLS1.2 协议。如下图所示:
1


勾选三个 TLS 协议并重启系统即可。
如果检查到 PFS 不支持,在加密套件中选中带 ECDHE 和 DHE 就可以了。

方法二

1. 开始——运行,输入 regedit
2. 找到 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols 右键->新建->项->新建 TLS 1.1,TLS 1.2。
3. TLS 1.1 和 TLS 1.2 右键->新建->项->新建 Server,Client。
4. 在新建的 Server 和 Client 中新建如下的项(DWORD 32位值), 总共4个。如下图所示:
DisabledByDefault [Value = 0]
Enabled [Value = 1]
2


5. 完成后重启系统。
6. 加密套件调整。开始菜单——运行,输入 gpedit.msc 进行加密套件调整,在此操作之前需要先开启 TLS1.2 协议。如下图所示:
注意
对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。
3
3

7. 双击 SSL 密码套件顺序,填写如下内容。如下图所示:
4


设置为 “已启用”。
把支持的 ECDHE 加密套件加入 SSL 密码套件中,以逗号(,)分隔。
填写套件步骤如下: a. 打开一个空白写字板文档。 b. 复制下图中右侧可用套件的列表并将其粘贴到该文档中。 c. 按正确顺序排列套件;删除不想使用的所有套件。 d. 在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。 e. 删除所有换行符,以便密码套件名称位于单独的一个长行上。 f. 将密码套件行复制到剪贴板,然后将其粘贴到编辑框中。最大长度为1023个字符。
8. 填写完成。如下图所示:
5

可将以下套件加入密码套件中: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 推荐套件组合: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384
目录