5
我一直是一個很長時間的讀者,但這是我的第一個真正的帖子,我找不到解決方案。https在Windows 2012中使用ECDHE-ECDSA-AES256-GCM-SHA384
我目前在Windows 2012上託管一個網站,希望獲得最新的TLS 1.2密碼套件。
我知道如何在Windows中啓用TLS 1.1和TLS 1.2並已完成(通過註冊表編輯)。我也已將密碼順序改爲我想要的密碼順序。
我的問題是:在這一步之後,我如何實際完成並設置密碼套件的ECDHE/ECDSA部分?
當我查看最新鉻版測試版(它支持TLS 1.2中的ECDHE和ECDSA提供您使用支持的曲線)的網站時,它似乎跳過了所有的ECHDE ciphersuites。
我還需要做些什麼才能使ECDHE/ECDSA正確啓用?
我已經在網上閱讀了試圖解決這個問題,他們提到製作根證書的副本,然後修改它們以某種方式支持ECDHE。我吠叫錯了樹嗎?
預先感謝您對此問題的任何及所有支持。
編輯:添加澄清/進度
更多的研究後,我發現,爲了得到ECDSA工作,你需要一個ECDSA證書。目前獲得一個唯一的方法是自簽名,因爲認證卡特爾尚未針對橢圓曲線證書提出適當的交叉許可協議和費用結構。
由於自簽名不是本網站的選項,我已從密碼順序中刪除了所有ECDSA套件。
不幸的是,因爲所有的AES伽羅瓦計數器模式套件都是ECDSA,所以暫時規定了這些套件。
這給我留下了一個最強大的ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521密碼套件,我相信是由最新版本的Chrome beta正確支持的嗎?我似乎無法讓Chrome獲得除SHA-1以外的任何內容。是否沒有SHA-2支持?即使在最新的測試版中?
更多的研究後,我相信我的選擇密碼套件的問題是,我沒有一個ECDSA CA. 我已經將服務器添加到域(它自己的域)並安裝了AD CS。我使用MS的P-521 ECDSA軟件密鑰提供者創建了企業證書。現在,我不知道如何繼續實際使用IIS8。 另外一個問題:如果我想支持Windows 2012中的所有3個默認曲線,我是否需要爲每條曲線創建一個證書? – user2555174
>「如果我想支持Windows 2012中所有3種默認曲線,我是否需要爲每條曲線創建一個證書?」 - 如果你使用一個Cert來做所有事情,即使是一個未加密的Channel,那麼猜測Cert的代碼也很容易。同樣,如果你爲三條曲線使用一個Cert,一條被破壞,那麼所有其他條目也是如此。單獨的Certs對於更大的安全性(更多的密鑰長度和更難解密算法)密鑰更爲安全,但所有這些都會花費更多(對於您和Attacker)。 – Rob