use*_*174 6 windows security ssl ssl-certificate ecdsa
我一直是很长时间的读者,但这是我第一篇关于我无法找到解决方案的真实帖子.
我目前正在Windows 2012上托管一个网站,我希望运行最新的TLS 1.2密码套件.
我知道如何在Windows中启用TLS 1.1和TLS 1.2并已完成(通过注册表编辑).我也将密码顺序更改为我希望的顺序.
我的问题是:在这一步之后,我如何实际通过并设置密码套件的ECDHE/ECDSA部分?
当我在最新的chrome beta(在TLS 1.2中支持ECDHE和ECDSA,只要你使用支持的曲线)查看网站时,它似乎跳过了所有的ECHDE密码套件.
为了让ECDHE/ECDSA正常启用,我还需要做些什么吗?
我已经在网上阅读试图自己解决这个问题,他们提到制作根证书的副本,然后修改它们以某种方式支持ECDHE.我在吠叫错了树吗?
提前感谢您对此问题的任何和所有支持.
编辑:添加澄清/进度
经过更多的研究,我发现为了让ECDSA工作,你需要一份ECDSA证书.此时获得一个的唯一方法是自签,因为证书卡尚未提出适当的交叉许可协议和Ellipic Curve证书的费用结构.
由于自签名不是此站点的选项,因此我已从密码订单中删除了所有ECDSA套件.
不幸的是,因为所有的AES Galois Counter Mode套件都是ECDSA,所以暂时将其排除在外.
这让我有一个最强的密码套件ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,我相信最新版本的Chrome beta是否支持?我似乎无法让Chrome获得超越SHA-1的任何东西.没有SHA-2支持吗?即使在最新的测试版中?
AES-GCM 是关于你如何加密你的连接、EC-DSA 或 RSA 中的数据,关于服务器如何向客户端标识自己。因此,没有理由不能使用 RSA 身份验证进行 AES-GCM 加密。
RFC 5289 确实为此定义了所需的套件:http : //tools.ietf.org/html/rfc5289#section-3.2
Run Code Online (Sandbox Code Playgroud)CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 = {0xC0,0x2F}; CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 = {0xC0,0x30}; CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 = {0xC0,0x31}; CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 = {0xC0,0x32};
然而,找到支持它们的客户端和服务器并不一定容易。
| 归档时间: |
|
| 查看次数: |
11821 次 |
| 最近记录: |