如何在 Windows Server 上启用 TLS 1.2

---

了解如何在 Windows Server 上启用 TLS 1.2 并禁用较旧的 TLS 协议版本。您希望通过 Windows Server 进行安全通信，为此，您必须启用 TLS 1.2 并禁用旧版 TLS。如果您启用了 SSL 协议，则也应该禁用它们。在本文中，我们将在 Windows Server 2016/2019 上启用 TLS 1.2。

什么是传输层安全？

传输层安全性 (TLS) 及其现已弃用的前身安全套接字层 (SSL) 都是加密协议，旨在通过计算机网络提供通信安全。该协议的多个版本在网页浏览、电子邮件、即时消息和 IP 语音 (VoIP) 等应用中得到广泛使用。网站可以使用 TLS 来保护其服务器和 Web 浏览器之间的所有通信。

Windows Server TLS 最佳实践

注意：仅批准 TLS 1.3 和 TLS 1.2。协议 TLS 1.3 仅可在 Windows Server 2022 或更高版本中启用。

Windows Server 2019 及更低版本

仅激活 TLS 1.2 才能在 Windows Server 2019 及更低版本上获得最佳安全性。禁用所有其他协议。

ProtocolStatusEnableDisableTLS 1.3ActiveX✓TLS 1.2Active✓☓TLS 1.1Deprecated☓✓TLS 1.0Deprecated☓✓SSL 3Deprecated☓✓SSL 2Deprecated☓✓

Windows Server 2022 及更高版本

仅激活 TLS 1.2 和 TLS 1.3 才能在 Windows Server 2022 及更高版本上获得最佳安全性。禁用所有其他协议。

ProtocolStatusEnableDisableTLS 1.3Active✓☓TLS 1.2Active✓☓TLS 1.1Deprecated☓✓TLS 1.0Deprecated☓✓SSL 3Deprecated☓✓SSL 2Deprecated☓✓

如何知道 Windows Server 上是否启用了 TLS 1.2？

访问 Qualys SSL Labs 网站并填写您要检查的域名。例如，Windows Server 的外部 URL。在我们的示例中，添加了 Exchange Server 域。等待几分钟查看报告。

向下滚动到配置。您可以查看启用/禁用了哪些 TLS 和 SSL 版本。协议 TLS 1.2 已启用，这非常好。还启用了 TLS 1.1 和 TLS 1.0 协议；这不好。您应该看到的是仅启用了 TLS 1.2。

如何在 Windows Server 上启用 TLS 1.2？

从 Nartac Software 下载 IIS Crypto GUI。它是便携式版本，您无需运行安装程序。

启动应用程序，然后在主窗口 (Schannel) 中，您可以看到哪些选项已选中/未选中。

单击模板。在这里您可以找到内置模板。单击模板并阅读说明。

我们建议您加载模板PCI 3.2。选中重新启动复选框，然后点击应用按钮。

注意： Windows Server 将立即重新启动。

验证 Window Server 上是否启用了 TLS 1.2

前往 Qualys SSL Labs 并填写域名以获取报告。这次它向我们展示了总体评级A。

向下滚动到配置并检查协议。仅启用协议 TLS 1.2。

启动IIS Crypto，您可以看到服务器协议和客户端协议中的仅TLS 1.2复选框被选中。

另一种方法是运行 Get-TLS.ps1 PowerShell 脚本，该脚本将显示 TLS 配置。请阅读使用 PowerShell 脚本检查 Windows Server 上的 TLS 设置一文来了解更多信息。

一切看起来都很棒！本文在 Windows Server 上启用 TLS 1.2 对您有帮助吗？

继续阅读：无法安装 PowerShell 的 NuGet 提供程序 »

结论

您了解了如何在 Windows Server 2016/2019 上启用 TLS 1.2。您还了解了如何禁用已弃用的协议。检查 SSL 实验室中的域并查看 SSL 报告。如果仅启用 TLS 1.2，则一切正常。如果不是，请按照本文中显示的步骤仅启用 TLS 1.2。不要忘记在 SSL 实验室重新运行 SSL 报告并验证一切看起来都很好。

您喜欢这篇文章吗？您可能还喜欢 Windows Server 2008 R2 中的 SIGRed 补丁失败。不要忘记关注我们并分享这篇文章。