IIS上部署多个SSL证书绑定https和使用TLS1.0 TLS1.1 TLS1.2协议

61 2018-11-27 13:24

近日站长尝到了转https的好处,这几天也顺便把公司服务器上面的几个网站都由http转成https。实际操作发现IIS弄个SSL还是很多坑的。下面提两点,给大家一点帮助。具体绑定SSL证书的操作很简单,不懂百度一下很多教程的。


坑1:服务器要windows server 2012 + IIS8.5才能多个域名同时部署SSL,否则很麻烦。

由于公司的服务器是Windows server 2012,刚好能方便的多个域名同时绑定https,不然真的很麻烦。我建议不得不用Windows服务器的话,建议大家重装到2012吧。

还有绑定https域名时,记得勾选上“需要服务器名称指示(N)”,这也是一个小坑,不勾选的话,只能绑定的是第一个绑定的SSL证书。

需要服务器名称指示(N)


坑2:IIS默认的是SSL 2.0协议,使用了RC4加密密钥的,这样会造成PCI DSS和Apple ATS规范不及格。

我们需要禁用SSL v2.0、SSL v3.0协议和低强度加密密钥。使用TLS1.0 TLS1.1 TLS1.2版本。

这里如果要改的话,要去注册表改,很麻烦的。我找到了IIS Crypto GUI这个软件很方便就能修改。


直接点“Best Practices”,推荐设置,然后点“Apply”应用即可,要重启一下系统。


软件下载地址:https://www.nartac.com/Products/IISCrypto/Download

点那个“IIS Crypto GUI”,下载,Windows还是用GUI版本吧。。


最后你可以到这里http://s.tool.chinaz.com/https  检查一下https是否还有问题。