简单几步让网站支持https，windowsiis下https配置方式

作者：mobiledu2502871951 | 来源：互联网 | 2023-08-11 14:35

1.https证书的分类SSL证书没有所谓的品质和等级之分，只有三种不同的类型。SSL证书需要向国际公认的证书证书认证机构（简称CA࿰

1.https证书的分类

SSL证书没有所谓的"品质"和"等级"之分&＃xff0c;只有三种不同的类型。
SSL证书需要向国际公认的证书证书认证机构&＃xff08;简称CA&＃xff0c;Certificate Authority&＃xff09;申请。
CA机构颁发的证书有3种类型&＃xff1a;
域名型SSL证书&＃xff08;DV SSL&＃xff09;&＃xff1a;信任等级普通&＃xff0c;只需验证网站的真实性便可颁发证书保护网站&＃xff1b;
企业型SSL证书&＃xff08;OV SSL&＃xff09;&＃xff1a;信任等级强&＃xff0c;须要验证企业的身份&＃xff0c;审核严格&＃xff0c;安全性更高&＃xff1b;
增强型SSL证书&＃xff08;EV SSL&＃xff09;&＃xff1a;信任等级最高&＃xff0c;一般用于银行证券等金融机构&＃xff0c;审核严格&＃xff0c;安全性最高&＃xff0c;同时可以激活绿色网址栏。

我们只要使用DV证书就可以了&＃xff0c;一般来说我们申请到的免费ssl证书都是dv证书。

2.申请免费的证书

2.1 自签名惹的祸

Ca证书必须要可信任的机构颁发才可以信任&＃xff0c;自签名证书就是自己给自己签名&＃xff0c;没有通过第三方CA机构颁发。浏览器默认添加了一些可信任的CA机构&＃xff0c;都是通过国际Web Trust认证的。

如果你的CA证书不是这些浏览器里默认添加的可信任的CA机构签发的话&＃xff0c;那么就会出现像12306这样的笑话。

2.2申请免费的DV证书

Let&＃39;s Encrypt是国外一个公共的免费SSL项目&＃xff0c;由 Linux 基金会托管&＃xff0c;由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起&＃xff0c;靠谱&＃xff01;

申请免费的证书可以参考这篇文章&＃xff0c;工具和步骤都非常的完整&＃xff0c;这里就不累述了

http://www.cnblogs.com/teamblog/p/6219204.html

最后申请完之后iis的配置就是新建一个网站&＃xff0c;其他都不用配置&＃xff0c;就可以了&＃xff0c;老的网站不要删除&＃xff0c;如果要强制https访问的话可以再搜索其他的文章&＃xff0c;这里不再展开

3.https网站安全验证

https已经可以访问了&＃xff0c;但是https就一定是安全的吗&＃xff0c;我们可以通过下面这个网站进一步检查你的网站的安全性&＃xff0c;主要是从https的安全性去测试

https://www.ssllabs.com/ssltest/analyze.html

可能一开始测试是个F&＃xff0c;像我一开始测试就是个F&＃xff0c;这是因为操作系统的默认设置里有很多不安全的设置&＃xff0c;需要我们手动来配置修改。

可以仔细看下面的说明&＃xff0c;没有开启TLS1.2 &＃xff0c;RC4已经过时了&＃xff0c;Forward Secrecy支持的不好等等。

4.为了A&＃43;不断修改

这里大段的删除线是我一下午的心血&＃xff0c;哪怕最后发现了powerShell脚本可以一次性完成上面所有的工作&＃xff0c;你可以不看&＃xff0c;但请尊重我的劳动

4.1 关闭SLL2和SSL3

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键->新建->项->新建SSL 2.0&＃xff0c;SSL 3.0
SSL 2.0和SSL 3.0 中间是有空格的&＃xff01;&＃xff01;&＃xff01;

在SSL 2.0 和 SSL 3.0上分别右键->新建->项->新建Server, Client
在新建的Server和Client中都新建如下的项(DWORD 32位值),

DisabledByDefault 值1

Enabled 值0

总共8个

、

4.2 开启TLS1.0 1.1 1.2

还是在刚才的目录下面&＃xff0c;新建3个TLS 1.0 &＃xff0c;TLS 1.1&＃xff0c;TLS 1.2

然后分别在下面建立Client&＃xff0c;Server

然后跟一样在每个里面建立下面的项(DWORD 32位值)

DisabledByDefault 值 0

Enabled 值1

图都一样&＃xff0c;就不重复截图了

完成上面的步骤后重启服务器就可以看到效果了

4.3 关闭RC4

这里的步骤更复杂&＃xff0c;但和上面大同小异 &＃xff0c;无非就是在注册表里创建项&＃xff0c;设置键值。

但是做到这里&＃xff0c;我发现最后一步的powerShell脚本把所有的事都做了。所以后面的步骤我们都省略吧&＃xff01;&＃xff01;&＃xff01;&＃xff01;&＃xff01;&＃xff01;&＃xff01;&＃xff01;

4.5 修改ssl配置设置

别的我就说&＃xff0c;在这个ssl配置的时候我尝试了很多种Cipher Suites的配置方式&＃xff0c;包括参考别人A&＃43;的网站上报告里的配置&＃xff0c;一个一个复制出来&＃xff0c;每次都要重启服务器&＃xff0c;重新测试&＃xff0c;花了好多时间&＃xff0c;最后终于评价成为A-&＃xff0c;剩下一个Forward Secrecy的问题&＃xff0c;结果搜索到一份powershell的脚本&＃xff0c;问题是一步一步处理的&＃xff0c;没毛病&＃xff0c;但最后找到一个脚本一次性解决了前面所有的问题&＃xff0c;所以分享出来给大家&＃xff0c;减少大家走弯路的时间

4.6 最后配置 Forward Secrecy

4.7 一键配置的powershell脚本

Powershell脚本原文&＃xff1a;

https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

使用方法是&＃xff0c;开始-》运行-》输入powershell&＃xff0c;打开类似cmd窗口的命令行工具&＃xff0c;然后直接复制脚本进去执行就ok了。

# Copyright 2016, Alexander Hass # http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12 # # Version 1.7 # - Windows Version compare failed. Get-CimInstance requires Windows 2012 or later. # Version 1.6 # - OS version detection for cipher suites order. # Version 1.5 # - Enabled ECDH and more secure hash functions and reorderd cipher list. # - Added Client setting for all ciphers. # Version 1.4 # - RC4 has been disabled. # Version 1.3 # - MD5 has been disabled. # Version 1.2 # - Re-factored code style and output # Version 1.1 # - SSLv3 has been disabled. (Poodle attack protection)Write-Host &＃39;Configuring IIS with SSL/TLS Deployment Best Practices...&＃39; Write-Host &＃39;--------------------------------------------------------------------------------&＃39;# Disable Multi-Protocol Unified Hello New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;Multi-Protocol Unified Hello has been disabled.&＃39;# Disable PCT 1.0 New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;PCT 1.0 has been disabled.&＃39;# Disable SSL 2.0 (PCI Compliance) New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;SSL 2.0 has been disabled.&＃39;# NOTE: If you disable SSL 3.0 the you may lock out some people still using # Windows XP with IE6/7. Without SSL 3.0 enabled, there is no protocol available # for these people to fall back. Safer shopping certifications may require that # you disable SSLv3. # # Disable SSL 3.0 (PCI Compliance) and enable "Poodle" protection New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 1 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;SSL 3.0 has been disabled.&＃39;# Add and Enable TLS 1.0 for client and server SCHANNEL communications New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server&＃39; -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client&＃39; -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;TLS 1.0 has been enabled.&＃39;# Add and Enable TLS 1.1 for client and server SCHANNEL communications New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server&＃39; -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client&＃39; -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;TLS 1.1 has been enabled.&＃39;# Add and Enable TLS 1.2 for client and server SCHANNEL communications New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server&＃39; -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server&＃39; -name &＃39;DisabledByDefault&＃39; -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client&＃39; -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client&＃39; -name &＃39;DisabledByDefault&＃39; -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null Write-Host &＃39;TLS 1.2 has been enabled.&＃39;# Re-create the ciphers key. New-Item &＃39;HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers&＃39; -Force | Out-Null# Disable insecure/weak ciphers. $insecureCiphers &＃61; &＃64;(&＃39;DES 56/56&＃39;,&＃39;NULL&＃39;,&＃39;RC2 128/128&＃39;,&＃39;RC2 40/128&＃39;,&＃39;RC2 56/128&＃39;,&＃39;RC4 40/128&＃39;,&＃39;RC4 56/128&＃39;,&＃39;RC4 64/128&＃39;,&＃39;RC4 128/128&＃39; ) Foreach ($insecureCipher in $insecureCiphers) {$key &＃61; (Get-Item HKLM:\).OpenSubKey(&＃39;SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers&＃39;, $true).CreateSubKey($insecureCipher)$key.SetValue(&＃39;Enabled&＃39;, 0, &＃39;DWord&＃39;)$key.close()Write-Host "Weak cipher $insecureCipher has been disabled." }# Enable new secure ciphers. # - RC4: It is recommended to disable RC4, but you may lock out WinXP/IE8 if you enforce this. This is a requirement for FIPS 140-2. # - 3DES: It is recommended to disable these in near future. This is the last cipher supported by Windows XP. # - Windows Vista and before &＃39;Triple DES 168&＃39; was named &＃39;Triple DES 168/168&＃39; per https://support.microsoft.com/en-us/kb/245030 $secureCiphers &＃61; &＃64;(&＃39;AES 128/128&＃39;,&＃39;AES 256/256&＃39;,&＃39;Triple DES 168&＃39; ) Foreach ($secureCipher in $secureCiphers) {$key &＃61; (Get-Item HKLM:\).OpenSubKey(&＃39;SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers&＃39;, $true).CreateSubKey($secureCipher)New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\$secureCipher" -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null$key.close()Write-Host "Strong cipher $secureCipher has been enabled." }# Set hashes configuration. New-Item &＃39;HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes&＃39; -Force | Out-Null New-Item &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5&＃39; -Force | Out-Null New-ItemProperty -path &＃39;HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5&＃39; -name Enabled -value 0 -PropertyType &＃39;DWord&＃39; -Force | Out-Null$secureHashes &＃61; &＃64;(&＃39;SHA&＃39;,&＃39;SHA256&＃39;,&＃39;SHA384&＃39;,&＃39;SHA512&＃39; ) Foreach ($secureHash in $secureHashes) {$key &＃61; (Get-Item HKLM:\).OpenSubKey(&＃39;SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes&＃39;, $true).CreateSubKey($secureHash)New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\$secureHash" -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null$key.close()Write-Host "Hash $secureHash has been enabled." }# Set KeyExchangeAlgorithms configuration. New-Item &＃39;HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms&＃39; -Force | Out-Null $secureKeyExchangeAlgorithms &＃61; &＃64;(&＃39;Diffie-Hellman&＃39;,&＃39;ECDH&＃39;,&＃39;PKCS&＃39; ) Foreach ($secureKeyExchangeAlgorithm in $secureKeyExchangeAlgorithms) {$key &＃61; (Get-Item HKLM:\).OpenSubKey(&＃39;SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms&＃39;, $true).CreateSubKey($secureKeyExchangeAlgorithm)New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\$secureKeyExchangeAlgorithm" -name &＃39;Enabled&＃39; -value &＃39;0xffffffff&＃39; -PropertyType &＃39;DWord&＃39; -Force | Out-Null$key.close()Write-Host "KeyExchangeAlgorithm $secureKeyExchangeAlgorithm has been enabled." }# Set cipher suites order as secure as possible (Enables Perfect Forward Secrecy). $os &＃61; Get-WmiObject -class Win32_OperatingSystem if ([System.Version]$os.Version -lt [System.Version]&＃39;10.0&＃39;) {Write-Host &＃39;Use cipher suites order for Windows 2008R2/2012/2012R2.&＃39;$cipherSuitesOrder &＃61; &＃64;(&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256&＃39;,&＃39;TLS_RSA_WITH_AES_256_GCM_SHA384&＃39;,&＃39;TLS_RSA_WITH_AES_128_GCM_SHA256&＃39;,&＃39;TLS_RSA_WITH_AES_256_CBC_SHA256&＃39;,&＃39;TLS_RSA_WITH_AES_128_CBC_SHA256&＃39;,&＃39;TLS_RSA_WITH_AES_256_CBC_SHA&＃39;,&＃39;TLS_RSA_WITH_AES_128_CBC_SHA&＃39;,&＃39;TLS_RSA_WITH_3DES_EDE_CBC_SHA&＃39;) } else {Write-Host &＃39;Use cipher suites order for Windows 10/2016 and later.&＃39;$cipherSuitesOrder &＃61; &＃64;(&＃39;TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA&＃39;,&＃39;TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA&＃39;,&＃39;TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA&＃39;,&＃39;TLS_RSA_WITH_AES_256_GCM_SHA384&＃39;,&＃39;TLS_RSA_WITH_AES_128_GCM_SHA256&＃39;,&＃39;TLS_RSA_WITH_AES_256_CBC_SHA256&＃39;,&＃39;TLS_RSA_WITH_AES_128_CBC_SHA256&＃39;,&＃39;TLS_RSA_WITH_AES_256_CBC_SHA&＃39;,&＃39;TLS_RSA_WITH_AES_128_CBC_SHA&＃39;,&＃39;TLS_RSA_WITH_3DES_EDE_CBC_SHA&＃39;) } $cipherSuitesAsString &＃61; [string]::join(&＃39;,&＃39;, $cipherSuitesOrder) # One user reported this key does not exists on Windows 2012R2. Cannot repro myself on a brand new Windows 2012R2 core machine. Adding this just to be save. New-Item &＃39;HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002&＃39; -ErrorAction SilentlyContinue New-ItemProperty -path &＃39;HKLM:\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002&＃39; -name &＃39;Functions&＃39; -value $cipherSuitesAsString -PropertyType &＃39;String&＃39; -Force | Out-NullWrite-Host &＃39;--------------------------------------------------------------------------------&＃39; Write-Host &＃39;NOTE: After the system has been rebooted you can verify your server&＃39; Write-Host &＃39; configuration at https://www.ssllabs.com/ssltest/&＃39; Write-Host "--------------------------------------------------------------------------------&＃96;n"Write-Host -ForegroundColor Red &＃39;A computer restart is required to apply settings. Restart computer now?&＃39; Restart-Computer -Force -Confirm

4.8 最后成功评价到A

至于A&＃43;还应该怎么做&＃xff0c;我也不知道该怎么做下去了&＃xff0c;一下午的劳动最后一个脚本就全部搞定了&＃xff0c;为了防止大家再走弯路分享给大家&＃xff0c;希望大家都能评价到A&＃43;。

转:https://www.cnblogs.com/JangoJing/p/6769759.html

推荐阅读

web
Webmin远程命令执行漏洞复现及防护方法

本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法，同时提供了防护方法。漏洞存在于Webmin的找回密码页面中，攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外，还指出了参考链接中的数据包不准确的问题，并解释了漏洞触发的条件。最后，给出了防护方法以避免受到该漏洞的攻击。 ... [详细]

蜡笔小新 2023-12-13 16:14:53
web
eBPF和WebAssembly：云原生VM的比较及应用领域

本文比较了eBPF和WebAssembly作为云原生VM的特点和应用领域。eBPF作为运行在Linux内核中的轻量级代码执行沙箱，适用于网络或安全相关的任务；而WebAssembly作为图灵完备的语言，在商业应用中具有优势。同时，介绍了WebAssembly在Linux内核中运行的尝试以及基于LLVM的云原生WebAssembly编译器WasmEdge Runtime的案例，展示了WebAssembly作为原生应用程序的潜力。 ... [详细]

蜡笔小新 2023-12-14 21:27:37
web
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
web
Webpack5内置处理图片资源的配置方法

本文介绍了在Webpack5中处理图片资源的配置方法。在Webpack4中，我们需要使用file-loader和url-loader来处理图片资源，但是在Webpack5中，这两个Loader的功能已经被内置到Webpack中，我们只需要简单配置即可实现图片资源的处理。本文还介绍了一些常用的配置方法，如匹配不同类型的图片文件、设置输出路径等。通过本文的学习，读者可以快速掌握Webpack5处理图片资源的方法。 ... [详细]

蜡笔小新 2023-12-14 15:39:51
go
Open judge C16H: Magical Balls 快速幂+逆元问题解析

本文主要解析了Open judge C16H问题中涉及到的Magical Balls的快速幂和逆元算法，并给出了问题的解析和解决方法。详细介绍了问题的背景和规则，并给出了相应的算法解析和实现步骤。通过本文的解析，读者可以更好地理解和解决Open judge C16H问题中的Magical Balls部分。 ... [详细]

蜡笔小新 2023-12-14 12:03:27
blob
使用在线工具jsonschema2pojo根据json生成java对象

本文介绍了使用在线工具jsonschema2pojo根据json生成java对象的方法。通过该工具，用户只需将json字符串复制到输入框中，即可自动将其转换成java对象。该工具还能解析列表式的json数据，并将嵌套在内层的对象也解析出来。本文以请求github的api为例，展示了使用该工具的步骤和效果。 ... [详细]

蜡笔小新 2023-12-13 21:23:45
client
计算机网络初识及通信流程分析

本文介绍了计算机网络的定义和通信流程，包括客户端编译文件、二进制转换、三层路由设备等。同时，还介绍了计算机网络中常用的关键词，如MAC地址和IP地址。 ... [详细]

蜡笔小新 2023-12-13 16:50:29
client
Linux磁盘的分区、格式化的观察和操作步骤

本文介绍了如何观察Linux磁盘的分区状态，使用lsblk命令列出系统上的所有磁盘列表，并解释了列表中各个字段的含义。同时，还介绍了使用parted命令列出磁盘的分区表类型和分区信息的方法。在进行磁盘分区操作时，根据分区表类型选择使用fdisk或gdisk命令，并提供了具体的分区步骤。通过本文，读者可以了解到Linux磁盘分区和格式化的基本知识和操作步骤。 ... [详细]

蜡笔小新 2023-12-13 15:57:13
web
如何在服务器主机上实现文件共享的方法和工具

本文介绍了在服务器主机上实现文件共享的方法和工具，包括Linux主机和Windows主机的文件传输方式，Web运维和FTP/SFTP客户端运维两种方式，以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外，还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK，以及主机迁移服务会收集的源端服务器信息。 ... [详细]

蜡笔小新 2023-12-13 13:23:48
web
在Mac上使用Pillow加载不同字体的示例

本文介绍了如何在Mac上使用Pillow库加载不同于默认字体和大小的字体，并提供了一个简单的示例代码。通过该示例，读者可以了解如何在Python中使用Pillow库来写入不同字体的文本。同时，本文也解决了在Mac上使用Pillow库加载字体时可能遇到的问题。读者可以根据本文提供的示例代码，轻松实现在Mac上使用Pillow库加载不同字体的功能。 ... [详细]

蜡笔小新 2023-12-11 18:33:06
client
PHP调用实现波场交互[支持TRX/TRC20]的开发包

本文介绍了一个适用于PHP应用快速接入TRX和TRC20数字资产的开发包，该开发包支持使用自有Tron区块链节点的应用场景，也支持基于Tron官方公共API服务的轻量级部署场景。提供的功能包括生成地址、验证地址、查询余额、交易转账、查询最新区块和查询交易信息等。详细信息可参考tron-php的Github地址：https://github.com/Fenguoz/tron-php。 ... [详细]

蜡笔小新 2023-12-11 17:02:09
web
ShiftLeft：将静态防护与运行时防护结合的持续性安全防护解决方案

ShiftLeft公司是一家致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性的公司。传统的安全防护方式存在误报率高、人工成本高、耗时长等问题，而ShiftLeft提供的持续性安全防护解决方案能够解决这些问题。通过将下一代静态代码分析与应用开发自动化工作流中涉及的安全工具相结合，ShiftLeft帮助企业实现DevSecOps的安全部分，提供高效、准确的安全能力。 ... [详细]

蜡笔小新 2023-12-10 10:45:15
web
GSIOpenSSH PAM_USER 安全绕过漏洞

漏洞名称：GSI-OpenSSHPAM_USER安全绕过漏洞CNNVD编号：CNNVD-201304-097发布时间：2013-04-09 ... [详细]

蜡笔小新 2023-12-10 06:34:54
get
Apache Shiro 身份验证绕过漏洞 (CVE202011989) 详细解析及防范措施

本文详细解析了Apache Shiro 身份验证绕过漏洞 (CVE202011989) 的原理和影响，并提供了相应的防范措施。Apache Shiro 是一个强大且易用的Java安全框架，常用于执行身份验证、授权、密码和会话管理。在Apache Shiro 1.5.3之前的版本中，与Spring控制器一起使用时，存在特制请求可能导致身份验证绕过的漏洞。本文还介绍了该漏洞的具体细节，并给出了防范该漏洞的建议措施。 ... [详细]

蜡笔小新 2023-12-09 19:58:36
get
Ubuntu 用户安装 Linux Kernel 3.15 RC1

nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ... [详细]

蜡笔小新 2023-10-17 18:29:07

mobiledu2502871951

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章