(同事親測)
配置指南:
需要配置符合pfs規範的加密**,目前推薦配置:
ecdhe-rsa-aes128-gcm-sha256:ecdhe:ecdh:aes:high:!null:!anull:!md5:!adh:!rc4
需要在服務端tls協議中啟用tls1.2,目前推薦配置:
tlsv1 tlsv1.1 tlsv1.2
nginx證書配置方法1windows 2008及更早的版本不支援tls1_2協議 所以無法調整 2008r2 tls1_2協議預設是關閉的 需要啟用此協議達到ats要求server
apache證書配置
sslprotocol tlsv1 tlsv1.1 tlsv1.2
sslciphersuite ecdhe-rsa-aes128-gcm-sha256:ecdhe:ecdh:aes:high:!null:!anull:!md5:!adh:!rc4
tomcat證書配置
更新 %tomcat_home%\conf\server.xml 檔案如下:
勾選三個tls協議並重啟系統即可。
如果檢查到pfs不支援,在加密套件中選中帶ecdhe和dhe就可以了。
方法2開始——執行 輸入regedit
找到hkey_local_machine\system\currentcontrolset\control\securityproviders\schannel\protocols右鍵->新建->項->新建tls 1.1,tls 1.2
tls 1.1和tls 1.2 右鍵->新建->項->新建server, client
在新建的server和client中都新建如下的項(dword 32位值), 總共4個
完成後重啟系統
加密套件調整
對於前向保密加密套件不支援的話可通過組策略編輯器進行調整。
開始選單——執行、輸入gpedit.msc 進行加密套件調整 在此操作之前需要先開啟tls1_2協議
雙擊ssl密碼套件順序
把支援的ecdhe加密套件加入ssl密碼套件中 以逗號(,)分隔
開啟乙個空白寫字板文件。
複製下圖中右側可用套件的列表並將其貼上到該文件中。
按正確順序排列套件;刪除不想使用的所有套件。
在每個套件名稱的末尾鍵入乙個逗號(最後乙個套件名稱除外)。確保沒有嵌入空格。
刪除所有換行符,以便密碼套件名稱位於單獨的乙個長行上。
將密碼套件行複製到剪貼簿,然後將其貼上到編輯框中。最大長度為 1023 個字元。
可將以下套件加入密碼套件中
tls_ecdhe_rsa_with_aes_128_cbc_sha
tls_ecdhe_rsa_with_aes_256_cbc_sha
tls_ecdhe_rsa_with_aes_128_cbc_sha256
tls_ecdhe_rsa_with_aes_256_cbc_sha384
tls_ecdhe_rsa_with_aes_128_gcm_sha256
tls_ecdhe_rsa_with_aes_256_gcm_sha384
附:推薦套件組合:
tls_ecdhe_rsa_with_aes_128_cbc_sha_p256
tls_ecdhe_rsa_with_aes_128_cbc_sha_p384
tls_ecdhe_rsa_with_aes_128_cbc_sha_p521
tls_ecdhe_rsa_with_aes_256_cbc_sha_p256
tls_ecdhe_rsa_with_aes_256_cbc_sha_p384
tls_ecdhe_rsa_with_aes_256_cbc_sha_p521
tls_ecdhe_rsa_with_aes_128_cbc_sha256_p256
tls_ecdhe_rsa_with_aes_128_cbc_sha256_p384
tls_ecdhe_rsa_with_aes_128_cbc_sha256_p521
tls_ecdhe_rsa_with_aes_256_cbc_sha384_p256
tls_ecdhe_rsa_with_aes_256_cbc_sha384_p384
tls_ecdhe_rsa_with_aes_256_cbc_sha384_p521
tls_dhe_rsa_with_aes_256_gcm_sha384
tls_rsa_with_aes_128_cbc_sha
tls_rsa_with_aes_256_cbc_sha
tls_rsa_with_3des_ede_cbc_sha
tls_rsa_with_aes_128_cbc_sha256
tls_rsa_with_aes_256_cbc_sha256
tls_rsa_with_aes_128_gcm_sha256
tls_rsa_with_aes_256_gcm_sha384
重啟伺服器
pip 安裝報錯ssl
pip 安裝報錯ssl 具體錯誤資訊如下 there was a problem confirming the ssl certificate ssl tlsv1 alert protocol version tlsv1 alert protocol version ssl.c 590 skippi...
nginx配置ssl報錯
錯誤資訊 nginx emerg unknown directive ssl in usr local nginx conf nginx.conf 到解壓的nginx目錄下 nginx之前新增了fastdfs nginx module make 不能執行make install 會覆蓋 把原來ngi...
Python 關於ssl的報錯
import urllib.requset 執行裡面urlopen報錯 這可是我第乙個小爬蟲程式,你就報錯?前面報了一大堆錯記不住了。只有下面這句 urllib.error.urlerror ok,接下來就是解決了。查詢得知 python內建的urllib模組不支援https協議,編譯安裝pytho...