Windows服务器IIS配置符合苹果ATS方法

最新推荐文章于 2024-08-15 10:03:51 发布
最新推荐文章于 2024-08-15 10:03:51 发布
阅读量617 收藏
点赞数

苹果(Apple) ATS的基本要求主要满足三个条件TLS1.2支持、加密套件、SHA-2签名算法即可,在苹果ATS对SSL/TLS的安全检测要求一文中有详解,对于Apache和Nginx来说,只需修改配置文件即可,但对IIS来说相对比较复杂,本文主要介绍IIS服务器配置满足ATS标准的方法。
基本要求

首先windows server 2008 R2/IIS 7以前的服务器不支持TLS1_2协议,所以Windows 2003等服务器是肯定不支持的,如果使用.net开发的WEB应用,必须将Windows硬件服务器升级到Server 2008 R2,再进行以下的配置。

软件一键修改

此处推荐一键调整加密套件的工具

官方地址:https://www.nartac.com/Products/IISCrypto/
百度网盘:https://pan.baidu.com/s/1pMXUCen (提取密码:3wmh)
本站下载:点击下载

首先安装此软件,点击同意即可。

安装完成之后打开此软件,点击Best Practices(最佳配置),上面选框中的协议、加密位数、SHA、交换密钥会发生变化,然后点击Apply即可。后面需要重启服务器才可生效。

手动修改注册表及密码套件

开始——运行 输入regedit

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键->新建->项->新建TLS 1.1,TLS 1.2

TLS 1.1和TLS 1.2 右键->新建->项->新建Server->Client,在新建的Server和Client中都新建如下的项(DWORD 32位值),总共4个

  1. DisabledByDefault [Value = 0]
  2. Enabled [Value = 1]

 

完成后重启系统

加密套件调整

对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。

开始菜单——运行、输入gpedit.msc 进行加密套件调整 在此操作之前需要先开启TLS1_2协议

双击SSL密码套件顺序

把支持的ECDHE加密套件加入SSL密码套件中 以逗号(,)分隔打开一个空白写字板文档。
复制下图中右侧可用套件的列表并将其粘贴到该文档中,按正确顺序排列套件;删除不想使用的所有套件,在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。删除所有换行符,以便密码套件名称位于单独的一个长行上。将密码套件行复制到剪贴板,然后将其粘贴到编辑框中。最大长度为 1023 个字符。

  1. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  2. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  3. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  4. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  5. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  6. TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

推荐套件组合:

  1. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
  2. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
  3. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
  4. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
  5. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
  6. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
  7. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
  8. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
  9. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
  10. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
  11. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
  12. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
  13. TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  14. TLS_RSA_WITH_AES_128_CBC_SHA
  15. TLS_RSA_WITH_AES_256_CBC_SHA
  16. TLS_RSA_WITH_3DES_EDE_CBC_SHA
  17. TLS_RSA_WITH_AES_128_CBC_SHA256
  18. TLS_RSA_WITH_AES_256_CBC_SHA256
  19. TLS_RSA_WITH_AES_128_GCM_SHA256
  20. TLS_RSA_WITH_AES_256_GCM_SHA384
yangermazi
关注
tencentyun#intlcloud-documents#苹果 ATS 特性服务器配置指南_intl_zh1
07-25
- 需要配置符合 PFS 规范的加密套餐,目前推荐配置:- 需要在服务端 TLS 协议中启用 TLS1.2,目前推荐配置:Nginx 证书配置更新 Nginx
需要tls但服务器不支持,Windows服务器IIS配置符合苹果ATS方法
weixin_42345868的博客
07-29 779
苹果(Apple) ATS的基本要求主要满足三个条件TLS1.2支持、加密套件、SHA-2签名算法即可,在苹果ATS对SSL/TLS的安全检测要求一文中有详解,对于Apache和Nginx来说,只需修改配置文件即可,但对IIS来说相对比较复杂,本文主要介绍IIS服务器配置满足ATS标准的方法。基本要求首先windows server 2008 R2/IIS 7以前的服务器不支持TLS1_2协议,所...
ETS2/ATS Telemetry Web服务器安装与使用指南
最新发布
gitblog_00820的博客
08-15 971
ETS2/ATS Telemetry Web服务器安装与使用指南 ets2-telemetry-serverETS2/ATS Telemetry Web Server + Mobile Dashboard项目地址:https://gitcode.com/gh_mirrors/et/ets2-telemetry-server 一、项目介绍 ETS2 Telemetry Web Server是一款由...
缓存服务器设计与实现(番外篇)
吹牛要纳税的专栏
06-14 4482
这个系列又更新了。今天谈一个问题,目前cache软件在业界的使用现状。cache系统其实最大的使用场景,还是主要集中在CDN厂商里。大概在2010年之前,各大CDN厂商基本清一色的使用squid。那时候的squid是绝对的主力。squid的作为cache领域的鼻祖,正是由于历史的久远,很多近10年左右流行起来的很多系统特性,它本身并不支持。比如sendfile,splice和多核等方面的支持,由于这
苹果ATS(强制HTTPS)审核新政解码
weixin_34032827的博客
11-01 392
0. News [Updated in 2016.12.22],苹果ATS大限时间推迟,参照Apple News and Updates - Supporting App Transport Security,具体实行时间可继续关注News and Updates。 [Updated in 2016.12.09],苹果官网文档2016年11月14日更新,...
苹果ATS对SSL/TLS的安全检测要求
weixin_33946605的博客
01-10 823
原文阅读:苹果ATS对SSL/TLS的安全检测要求 苹果(Apple)公司一向有着对安全性要求极高的著称,如果你申请了SSL证书并且部署到服务器中,但这并不意味SSL部署符合Apple ATS的检测要求,Apple对证书算法、有效期、加密套件、SSL安全漏洞都有极严格的要求。 Apple ATS全App Transport Securit...
iOS10 ATS 配置详细介绍
01-05
iOS10 ATS 配置的一点思考 ATS 无法对 IP 地址进行限制 假设要调用的 api 为 /foo/bar/doSth 如果服务器地址为api.myserver.com,那么http://api.myserver.com/foo/bar/doSth会被 ATS 拦截,因为它是不安全的 ...
Windows Server 2008 R2 下配置证书服务器和HTTPS的图文教程
09-30
总的来说,配置Windows Server 2008 R2的证书服务器和HTTPS服务是一个涉及多个步骤的过程,包括安装证书服务角色、创建自签名证书以及在IIS配置HTTPS绑定。遵循上述指南,你可以为你的服务器提供安全的HTTPS连接,...
ATS学习笔记(一)部署与安装
shengerjianku的专栏
03-04 1803
Apache Traffic ServerATS或TS)是一个高性能的、模块化的HTTP代理和缓存服务器,与 Nginx 和 Squid 类似。 下载地址:http://trafficserver.apache.org/downloads 编译安装ATS 安装依赖包 # yum install gcc gcc-c++ openssl-devel tcl-devel expat-devel...
Cocos Creator 微信小游戏苹果手机锁屏卡死的坑
可疑的程序员
06-17 3283
在制作小游戏项目时遇到了 苹果系列手机 只要游戏过程中进行锁屏后解锁时,整个手机或微信会卡个几秒甚至会黑屏! 所以就这个问题进行了各种 onshow/onhide的操作试验。 第一种:在onshow中设置暂停游戏,在onhide中设置恢复游戏 cc.director.pause() //暂停游戏 cc.Game.pause(); //彻底暂停游戏 包括音效音乐等 cc.dir...
ats系统是什么服务器,ATS系统功能介绍.ppt
weixin_29404509的博客
08-11 3380
ATS系统功能介绍* * * * * * * * * * * * * * * * * * * * * 三、ATS系统功能 ATS功能的子功能如下: 控制中心人机接口功能(CC MMI) 自动列车跟踪功能(ATT) 自动列车进路设定功能(ARS) 时刻表系统功能(TTS) 时刻表比较功能(TTC) 自动列车调整功能(ATR) 列车运行图显示功能(TGI), 列车报告功能 三、ATS系统功能 控制中...
SSL ATS 不合规
陈熙之的博客
07-29 3484
公司弄的一个微信小程序,前端开发说ATS不合规,证书是在阿里上面申请的一个免费证书,在https://myssl.com/这里进行https安全评估。 在网上查了下,大致意思就是,ATS苹果提出的标准,PCI DSS 是支付标准,没有支付不考虑PCI DSS ,保证ATS通过就好了,免得IOS不支持。方法就是修改注册表,PCT 1.0 、SSL 2.0、TLS 1.0 这些该禁用的禁用,该开启的开启。一大堆,人都不好了,还好后面找到一个小工具,IISCrypto.exe,81.6KB,打开看看吧..
ATS 概述
alphaCat的专栏
03-29 1884
本文摘自 《TrafficServer管理员指南》 版权归:【 千石(淘宝网) qianshi@taobao.com 】所有 1.1 TS 是什么? Traffic Server 部署选项 作为一个web代理缓存 作为一个反向代理 部署在多级缓存 1.
解决HTTPS证书安全检测时提示 PCI DSS 不合规问题
我的开发博客(公众号:Web后端技术)
12-24 5765
解决HTTPS证书安全检测时提示 PCI DSS 不合规问题 今天在进行HTTPS证书安全检测时,提示PCI DSS不合规。经查询得知是因为SSL配置时启用了TLS1.0导致的。 关于 PCI DSS 自2018年6月30日起,PCI安全标准委员会规定HTTPS类的网站中开启TLS1.0将不符合PCI支付卡行业安全标准。 PCI DSS,全称 Payment Card Industry Data ...
搭建ATS反向代理服务器压力测试环境
家有三宝
09-01 1935
Apache Traffic ServerATS或TS)是一个高性能的、模块化的 HTTP 代理和缓存服务器。 最近公司现网的视频服务总是出现频繁缓冲现象,因此开发以及运维考虑部署ATS反向代理服务器。在实际现网部署之前,需要进行充分的测试,尤其是并发压力测试。因此首先在内部局域网部署ATS,基本部署情况如下: 首先是源站,源站上安装nginx,普通的http服务配置。 然后选择两台服务器
苹果ATS与微信小程序:搭建Nginx+Let's Encrypt HTTPS服务指南
总结来说,本文档不仅涵盖了搭建Nginx+HTTPS服务的步骤,还包含了选择合适的证书、服务器配置要求以及优化OpenSSL版本的建议,为开发者提供了实用的指南,尤其是在处理苹果ATS和微信小程序这类特定需求时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值