IIS上部署多个SSL证书绑定https和使用TLS1.0 TLS1.1 TLS1.2协议
近日站长尝到了转https的好处,这几天也顺便把公司服务器上面的几个网站都由http转成https。实际操作发现IIS弄个SSL还是很多坑的。下面提两点,给大家一点帮助。具体绑定SSL证书的操作很简单,不懂百度一下很多教程的。
坑1:服务器要windows server 2012 + IIS8.5以上才能多个域名同时部署SSL,否则很麻烦。
由于公司的服务器是Windows server 2012,刚好能方便的多个域名同时绑定https,不然真的很麻烦。我建议不得不用Windows服务器的话,建议大家重装到2012以上的版本吧。
还有绑定https域名时,记得勾选上“需要服务器名称指示(N)”,这也是一个小坑,不勾选的话,只能绑定的是第一个绑定的SSL证书。
坑2:IIS默认的是SSL 2.0协议,使用了RC4加密密钥的,这样会造成PCI DSS和Apple ATS规范不及格。
我们需要禁用SSL v2.0、SSL v3.0协议和低强度加密密钥。使用TLS1.0 TLS1.1 TLS1.2版本。
这里如果要改的话,要去注册表改,很麻烦的。我找到了IIS Crypto GUI这个软件很方便就能修改。
直接点“Best Practices”,推荐设置,然后点“Apply”应用即可,要重启一下系统。
软件下载地址:https://www.nartac.com/Products/IISCrypto/Download
点那个“IIS Crypto GUI”,下载,Windows还是用GUI版本吧。。
最后你可以到这里http://s.tool.chinaz.com/https 检查一下https是否还有问题。
SSL证书可以到腾讯云或阿里云申请,点击这里查看腾讯云相关服务,另外推荐一下阿里云的服务,点击这里最高领取1888元红包!你买服务器便宜有优惠,站长能得到返利,一举两得,何乐而不为。