短信验证码、短信平台开发尽在创新互联实时到达
短信平台服务 028-86922220
苹果ATS特性服务器配置指南

配置指南:

  1. 需要配置符合PFS规范的加密套餐,目前推荐配置:
    ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
  2. 需要在服务端TLS协议中启用TLS1.2,目前推荐配置:
    TLSv1 TLSv1.1 TLSv1.2

1.Nginx 证书配置

更新Nginx根目录下 conf/nginx.conf 文件如下:

  • 复制
    复制成功
server {
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

2.Apache 证书配置

更新Apache根目录下 conf/httpd.conf 文件如下:

  • 复制
    复制成功
<IfModule mod_ssl.c>
        <VirtualHost *:443>
        SSLProtocol TLSv1 TLSv1.1 TLSv1.2
        SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
        </VirtualHost>
</IfModule>

3.Tomcat 证书配置

更新 %TOMCAT_HOME%\conf\server.xml 文件如下:

  • 复制
    复制成功
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    scheme="https" secure="true"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

4.IIS 证书配置

4.1 方法一

Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 2008R2 TLS1_2协议默认是关闭的 需要启用此协议达到ATS要求

以2008 R2为例,导入证书后没有对协议及套件做任何的调整。
证书导入后检测到套件是支持ATS需求的,但协议TLS1_2没有被启用,ATS需要TLS1_2的支持。可使用的ssltools工具(亚洲诚信提供,点击下载)启用TLS1_2协议

1

勾选三个TLS协议并重启系统即可。
如果检查到PFS不支持,在加密套件中选中带ECDHE和DHE就可以了。

4.2 方法二

开始——运行 输入regedit
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键->新建->项->新建TLS 1.1,TLS 1.2
TLS 1.1和TLS 1.2 右键->新建->项->新建Server, Client
在新建的Server和Client中都新建如下的项(DWORD 32位值), 总共4个
DisabledByDefault [Value = 0]
Enabled [Value = 1]

2

完成后重启系统

加密套件调整
对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。
开始菜单——运行、输入gpedit.msc 进行加密套件调整 在此操作之前需要先开启TLS1_2协议

3
双击SSL密码套件顺序

4

把支持的ECDHE加密套件加入SSL密码套件中 以逗号(,)分隔
打开一个空白写字板文档。
复制下图中右侧可用套件的列表并将其粘贴到该文档中。
按正确顺序排列套件;删除不想使用的所有套件。
在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。
删除所有换行符,以便密码套件名称位于单独的一个长行上。
将密码套件行复制到剪贴板,然后将其粘贴到编辑框中。最大长度为 1023 个字符。

5

可将以下套件加入密码套件中
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

附:
推荐套件组合:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384

SSL证书文档

产品简介
产品介绍 产品功能 产品优势 名词解释 HTTPS优势 版本更新 SSL证书产品服务等级协议(SLA)
购买指导
价格总览 购买流程 OV 与 EV 型 SSL 证书材料提交流程 OV 与 EV 型 SSL 证书续费流程 DV 型付费 SSL 证书续费流程 退款流程 Symantec SSL证书澄清公告 浏览器兼容性测试报告
快速入门
域名型(DV)免费SSL证书
操作指南
域名型证书申请流程 域名验证指引 自动诊断结果查看指引 域名身份如何自动验证 部署证书到负载均衡指引 私钥密码指引 证书安装指引 域名型证书吊销指引 苹果ATS特性服务器配置指南 安全签章指引
常见问题
证书是否支持吊销? 安全审核失败的原因? 访问站点提示连接不安全? 什么是OpenSSL? 什么是SSL证书? 什么是私钥? 什么是CSR? 域名型证书是否永久免费? Chrome浏览器提示“您的连接不是私密链接”问题 忘记私钥密码怎么办?

价格更低
性价
优质产品
5

无理由退款
7
*24小时
售后支持
0

免费快速备案
用户评价
创新互联
我们是谁
发展历程
工作机会
加盟合作
网站导航
联系我们
网站建设
800建站
企业网站
品牌设计
集团官网
行业门户
购物商城
网站改版
网站推广
服务产品
域名注册
虚拟主机
云服务器
服务器租用
服务器托管
企业邮箱
企业 400电话
企业短信
移动互联
app应用
手机网站
微信小程序
h5页面制作
微商城
服务与支持
最近活动
网站备案
产品控制面板
支付方式
常用文档
投诉建议

售前咨询:028-86922220

售后咨询:028-86922220

版权所有:成都创新互联科技有限公司 服务电话:028-86922220 13518219792 公司地址:成都市太升南路288号锦天国际A幢1002号 蜀ICP备13010860号