Windows 配置SSL,TLS
IIS加密至少需要Windows Server2012 和 .Net 4.6.2框架或更高版本
一.IISCrypto下载与安装
1.访问Nartac 官网,下载对应版本的 IISCrypto(支持32位和64位的Windows Server)
2.无需安装,直接解压后运行IISCrypto.exe即可启动图形界面
二.基础配置(以启动TLS 1.2为例)
1.选择配置模板
打开IISCrypto后,在“Template”(模板)下拉菜单中,推荐选择“PCI 4.0”或“Best Practices”模板(这些模板已预设启用TLS 1.2/1.3,禁用TLS 1.0/1.1及弱密码套件)
- 若需自定义,可手动勾选”Protocols”(协议)区域的“TLS 1.2”“TLS 1.3”,取消勾选“TLS 1.0”“TLS 1.1”“SSL 2.0”“SSL 3.0”
2.配套密码套件
在“Cipher Suites”(密码套件)区域,建议保留高强度套件(如以TLS_ECDHE_开头的椭圆曲线套件),移除弱套件(如TLS_RSA_开头的旧套件)。可通过“Up”“Down”按钮调整调整套件优先级。
3.应用配置
点击界面底部的“Apply”按钮,IISCrypto会自动修改注册表中的TLS协议和密码套件设置。
4.重启服务器
配置生效需要重启服务器,重启后旧版本TLS协议将被禁用,仅TLS 1.2/1.3生效。
- 选择Server Defaults可以恢复默认设置
三.注意事项
- IISCrypto 仅修改服务器级别的TLS配置,部分应用(如自定义.NET程序)可能需要额外配置 SystemDefaulTlsVersions(参考前文.NET配置步骤)
四.配置文件中指定(仅.NET Framework)
在app.congfig或web.config中添加配置,强制启用TLS1.2:
xml
<configuration>
<system.net>
<settings>
<!--启用 TLS 1.2(需NET Framework 4.5+ 支持) -->
<servicePointManager securityProtocol="Tls12"/>
</settings>
</system.net>
</configuration>作者:test 创建时间:2025-11-03 15:19
最后编辑:test 更新时间:2025-11-03 16:17
最后编辑:test 更新时间:2025-11-03 16:17
