在服务端TLS协议中启用TLS1.2（win2008等服务器）

配置指南：

1. 需要配置符合PFS规范的加密套餐，目前推荐配置：
   ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
2. 需要在服务端TLS协议中启用TLS1.2，目前推荐配置：
   TLSv1 TLSv1.1 TLSv1.2

1.Nginx 证书配置

更新Nginx根目录下 conf/nginx.conf 文件如下：

•  

1. server {

2. ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

3. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

4. }

2.Apache 证书配置

更新Apache根目录下 conf/httpd.conf 文件如下：

•  

3. SSLProtocol TLSv1 TLSv1.1 TLSv1.2

4. SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4

3.Tomcat 证书配置

更新 %TOMCAT_HOME%\conf\server.xml 文件如下：

•  

2. scheme="https" secure="true"

3. SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"

4. SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

4.IIS 证书配置

4.1 方法一

Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 2008R2 TLS1_2协议默认是关闭的 需要启用此协议达到ATS要求

以2008 R2为例，导入证书后没有对协议及套件做任何的调整。
证书导入后检测到套件是支持ATS需求的，但协议TLS1_2没有被启用，ATS需要TLS1_2的支持。可使用的ssltools工具（亚洲诚信提供，单击下载）启用TLS1_2协议

勾选三个TLS协议并重启系统即可。
如果检查到PFS不支持，在加密套件中选中带ECDHE和DHE就可以了。