tencent cloud

文档反馈

苹果ATS特性服务器配置指南

最后更新时间:2024-03-06 17:49:10
    注意:
    需要配置符合 PFS 规范的加密套餐,目前推荐配置: ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
    需要在服务端 TLS 协议中启用 TLS1.2,目前推荐配置: TLSv1 TLSv1.1 TLSv1.2

    Nginx 证书配置

    更新 Nginx 根目录下 conf/nginx.conf 文件如下:
    server {
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    }

    Apache 证书配置

    更新 Apache 根目录下 conf/httpd.conf 文件如下:
    <IfModule mod_ssl.c>
    <VirtualHost *:443>
    SSLProtocol TLSv1 TLSv1.1 TLSv1.2
    SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
    </VirtualHost>
    </IfModule>

    Tomcat 证书配置

    更新 %TOMCAT_HOME%\\conf\\server.xml 文件如下:
    <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    scheme="https" secure="true"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

    IIS 证书配置

    方法一

    Windows 2008及更早的版本不支持 TLS1.2 协议,因此无法调整 2008R2 TLS1.2 协议,默认是关闭的,需要启用此协议达到 ATS 要求。
    以 2008 R2 为例,导入证书后没有对协议及套件做任何的调整。 证书导入后检测到套件是支持 ATS 需求的,但协议 TLS1.2 没有被启用,ATS 需要 TLS1.2 的支持。可使用的 ssltools工具(亚洲诚信提供,单击下载)启用 TLS1.2 协议。如下图所示:
    
    
    勾选三个 TLS 协议并重启系统即可。
    如果检查到 PFS 不支持,在加密套件中选中带 ECDHE 和 DHE 就可以了。

    方法二

    1. 开始——运行,输入 regedit
    2. 找到 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols 右键->新建->项->新建 TLS 1.1,TLS 1.2。
    3. TLS 1.1 和 TLS 1.2 右键->新建->项->新建 Server,Client。
    4. 在新建的 Server 和 Client 中新建如下的项(DWORD 32位值), 总共4个。如下图所示:
    DisabledByDefault [Value = 0]
    Enabled [Value = 1]
    2
    
    
    3
    
    
    4
    
    
    5
    
    
    5. 完成后重启系统。
    6. 加密套件调整。开始菜单——运行,输入 gpedit.msc 进行加密套件调整,在此操作之前需要先开启 TLS1_2 协议。如下图所示:
    注意:
    对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。
    
    3
    
    
    7. 双击 SSL 密码套件顺序,填写如下内容。如下图所示:
    4
    
    
    设置为 “已启用”。
    把支持的 ECDHE 加密套件加入 SSL 密码套件中,以逗号(,)分隔。
    填写套件步骤如下: a. 打开一个空白写字板文档。 b. 复制下图中右侧可用套件的列表并将其粘贴到该文档中。 c. 按正确顺序排列套件;删除不想使用的所有套件。 d. 在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。 e. 删除所有换行符,以便密码套件名称位于单独的一个长行上。 f. 将密码套件行复制到剪贴板,然后将其粘贴到编辑框中。最大长度为1023个字符。
    8. 填写完成。如下图所示:
    5
    
    可将以下套件加入密码套件中: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 推荐套件组合: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持