我已经读了很长时间了,但这是我第一次找到关于该主题的真实帖子,但我找不到解决方案。
我目前在Windows 2012上托管一个网站,希望在该网站上运行最新的TLS 1.2密码套件。
我知道如何在Windows中启用TLS 1.1和TLS 1.2,并且已经这样做(通过注册表编辑)。我也将密码顺序更改为我希望的密码顺序。
我的问题是:在执行此步骤之后,我该如何实际设置密码套件的ECDHE/ECDSA部分?
当我以最新的Chrome Beta(如果您使用支持的曲线支持TLS 1.2,则支持ECDHE和ECDSA)查看网站时,似乎会跳过所有ECHDE密码套件。
为了使ECDHE/ECDSA正确启用,我还需要做其他事情吗?
我已经在网上阅读了很多,试图自己解决这个问题,他们提到要制作根证书的副本,然后对其进行修改以某种方式支持ECDHE。我在吠错树吗?
预先感谢您提供有关此问题的所有支持。
编辑:添加说明/进度
经过更多研究,我发现为了使ECDSA正常工作,您需要ECDSA证书。此时获得证书的唯一方法是自签名,因为证书卡特尔尚未针对椭圆曲线证书提出适当的交叉许可协议(protocol)和费用结构。
由于自签名不是该站点的选项,因此我从密码顺序中删除了所有ECDSA套件。
不幸的是,由于所有AES Galois计数器模式套件也都是ECDSA,因此暂时将其排除在外。
这给我留下了最强大的ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521密码套件,我相信最新版本的Chrome Beta是否支持?我似乎无法让Chrome拾取SHA-1以外的任何东西。没有SHA-2支持吗?即使在最新的Beta中?
最佳答案
AES-GCM关于如何加密连接,EC-DSA或RSA中的数据,以及服务器如何向客户端标识自身。因此,没有理由不能使用RSA身份验证来进行AES-GCM加密。
RFC 5289确实为此定义了所需的套件:
http://tools.ietf.org/html/rfc5289#section-3.2
但是,找到支持它们的客户端和服务器不一定很容易。
关于windows - Windows 2012中带有ECDHE-ECDSA-AES256-GCM-SHA384的https,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/17893579/