我已经读了很长时间了，但这是我第一次找到关于该主题的真实帖子，但我找不到解决方案。

我目前在Windows 2012上托管一个网站，希望在该网站上运行最新的TLS 1.2密码套件。

我知道如何在Windows中启用TLS 1.1和TLS 1.2，并且已经这样做(通过注册表编辑)。我也将密码顺序更改为我希望的密码顺序。

我的问题是:在执行此步骤之后，我该如何实际设置密码套件的ECDHE/ECDSA部分？

当我以最新的Chrome Beta(如果您使用支持的曲线支持TLS 1.2，则支持ECDHE和ECDSA)查看网站时，似乎会跳过所有ECHDE密码套件。

为了使ECDHE/ECDSA正确启用，我还需要做其他事情吗？

我已经在网上阅读了很多，试图自己解决这个问题，他们提到要制作根证书的副本，然后对其进行修改以某种方式支持ECDHE。我在吠错树吗？

预先感谢您提供有关此问题的所有支持。

编辑:添加说明/进度

经过更多研究，我发现为了使ECDSA正常工作，您需要ECDSA证书。此时获得证书的唯一方法是自签名，因为证书卡特尔尚未针对椭圆曲线证书提出适当的交叉许可协议(protocol)和费用结构。

由于自签名不是该站点的选项，因此我从密码顺序中删除了所有ECDSA套件。

不幸的是，由于所有AES Galois计数器模式套件也都是ECDSA，因此暂时将其排除在外。

这给我留下了最强大的ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521密码套件，我相信最新版本的Chrome Beta是否支持？我似乎无法让Chrome拾取SHA-1以外的任何东西。没有SHA-2支持吗？即使在最新的Beta中？

AES-GCM关于如何加密连接，EC-DSA或RSA中的数据，以及服务器如何向客户端标识自身。因此，没有理由不能使用RSA身份验证来进行AES-GCM加密。

RFC 5289确实为此定义了所需的套件:
http://tools.ietf.org/html/rfc5289#section-3.2



但是，找到支持它们的客户端和服务器不一定很容易。