配置指南:
- 需要配置符合PFS规范的加密套餐,目前推荐配置:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
- 需要在服务端TLS协议中启用TLS1.2,目前推荐配置:TLSv1 TLSv1.1 TLSv1.2
1.Nginx 证书配置
在网站的配置文件.conf的server段中加入以下代码:ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
2.Apache 证书配置
更新Apache根目录下 conf/httpd.conf 文件如下:<IfModule mod_ssl.c> <VirtualHost *:443> SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4 </VirtualHost> </IfModule>
3.Tomcat 证书配置
更新 %TOMCAT_HOME%\conf\server.xml 文件如下:<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />
4.IIS 证书配置
Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 2008R2 TLS1_2协议默认是关闭的 需要启用此协议达到ATS要求 以2008 R2为例,导入证书后没有对协议及套件做任何的调整。 证书导入后检测到套件是支持ATS需求的,但协议TLS1_2没有被启用,ATS需要TLS1_2的支持。可使用的ssltools工具(亚洲诚信提供,点击下载)启用TLS1_2协议
勾选三个TLS协议并重启系统即可。
如果检查到PFS不支持,在加密套件中选中带ECDHE和DHE就可以了。
按照以上教程配置完成后,可以去这里检测下:http://s.tool.chinaz.com/ats