无法为SSL / TLS建立安全通道：如何在Windows Server 2008上启用TLS

Question

这个问题与另一个问题的答案有关 。 正确答案的人写道： In our case, the problem was resolved when the configuration on the destination server was changed to accept TLS.

我在评论中询问他是否可以更具体地说明如何实现这一目标。 约翰·桑德斯（John Saunders）建议我为此提出一个单独的问题。 所以这里是：

如何在Windows 2008上启用TLS？ 我基于此进行了注册表更改，并重新启动了服务器。 我一直在努力的错误仍然存​​在。 我还需要做些其他事情来启用TLS吗？

Answer 1

默认情况下，应在Windows Server（WS）2008上启用TLS 1.0，因此我假定客户端需要较新的TLS版本。 WS 2008 R2中引入了对较新的TLS协议版本TLS 1.1和TLS 1.2的支持，但默认情况下将其禁用。 在WS 2012中，默认情况下启用TLS 1.1和TLS 1.2。

如果客户端需要TLS 1.1或TLS 1.2，则必须升级到WS 2008 R2或更高版本。 您可以手动在WS 2008 R2中启用TLS 1.1和TLS 1.2。 在这种情况下，您将需要添加一些注册表设置，如如何限制Schannel.dll中某些加密算法和协议的使用中所述 。 相关条目为：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000

您需要重新启动才能使更改生效。

如果升级到WS 2012，则默认情况下将获得TLS 1.1 / 1.2。 您可以在我的关于强化Windows Server 2008/2012和Azure SSL / TLS配置的博客文章中找到有关TLS配置的更多详细信息。