google-chrome - 修复有关 IIS8.5 和 SQL Server 2012 中过时加密的 Chrome 通知

Question

我正在尝试在 Windows 2012 R2 上配置 IIS 8.5，这样我就不会收到来自 Chrome 的通知，即该网站正在使用过时的加密。下图来自 Mac OS X，但我在 Windows 8.1 中收到了类似的消息，其中加密算法是使用 SHA1 哈希的 AES_256_CBC， key 交换是 ECDHE_RSA。问题是 SHA1 消息散列。谷歌正试图让网站使用 SHA2 消息散列。在 Mac 上，用于哈希签名的算法是 SHA256，但这里的问题是 AES 加密的 GCM 修饰符。

我有一个新证书，它是支持 SHA256 消息散列的 2048 位 RSA 证书。

我已经使用 NARTAC IIS Crypto 工具来配置 IIS 服务器。启用的协议(protocol)是 TLS 1.0、TLS 1.1 和 TLS 1.2 启用的密码是 TripleDES 168、AES 12/128 和 AES 256/256。启用的哈希是 SHA、SHA256、SHA384 和 SHA512。启用的 key 交换是 Diffie-Hellman、PKCS 和 ECDH。启用套件的 SSL 密码套件顺序为:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521(最新工具中确实是这样)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_GCM_SHA256

我已经尝试了这种配置的大量变体，但都没有导致 Chrome 的通知消失的工作站点。如果我从启用密码中删除 AES 128/128，它似乎没有影响。如果我从 Hashes Enabled 中删除 SHA，则网站无法与为网站提供数据服务的 SQL Server 2012 通信。如果我从支持的订单中删除基于 SHA1 的 SSL 密码套件，则浏览器将无法连接到服务器。

有没有人使用 SQL Server 获得 Windows IIS 8.5 的工作配置，Chrome 通知消失了？

Answer 1

Windows Server 2012 似乎没有提供消除此错误所需的 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 密码套件。见 https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx链接到列出各种服务器版本的密码套件的页面。你会注意到 Windows Server 2012 确实有这个密码套件，我发现升级到 2016 是我解决 Google 错误的最佳方法。请注意，如果您升级到 Windows Server 2016，您将再次需要使用 IIS_Crypto 2.0 程序来适本地订购密码(或您选择的任何订购接口(interface))。使用最佳实践模板将助您一臂之力。我选择了他们的密码顺序，它在列表顶部产生 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384。