解决Windows Server 2012加密套件过时的问题

给自己网站加了SSL证书后，发现在360极速浏览器浏览时，会显示加密套件已经过时。一直以为是.cn域名的问题，后面才发现是IIS上面加密套件过时的问题。

https://learn.microsoft.com/zh-cn/windows/win32/secauthn/cipher-suites-in-schannel?redirectedfrom=MSDN

 

一开始我以为切换到TLS 1.3就可以解决，因为我另外一个SVN服务器使用的是TLS1.3，360提示没有过时。后面我看到了博客园的也是TLS1.2的，只是加密算法不一样，360没有提示过期。

 

 在网上查了一下，得出的大概结论就是这种AES_128_GCM的加密算法，比AES_256_CBC的更安全快速，而这种AES_256_CBC加密套件被360标记为已过时。

https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-configure-encryption-types-allowed-for-kerberos

 

解决方法如下：

推荐使用后面补充的方法

使用Windows Update/访问Windows Update Catalog，安装 KB2919355 更新，然后启用新的加密套件

https://support.microsoft.com/en-us/topic/update-adds-new-tls-cipher-suites-and-changes-cipher-suite-priorities-in-windows-8-1-and-windows-server-2012-r2-8e395e43-c8ef-27d8-b60c-0fc57d526d94

 

启用方法如下：

运行输入gpedit.msc打开组策略

“计算机配置”“管理模板>”“网络 > SSL 配置>设置”下的“SSL 密码套件顺序”，为要启用的所有密码套件配置优先级列表

 

因为我在安装所有的可用更新后，系统出现了问题，跟InternetExplorer有关的内容全部打不开了，组策略也显示不出来了，这里没办法截图了。

最后我直接升级了Windows Server 2016，默认使用了新的加密套件，浏览器不再提示过时了。

 

========================================================================

2023.12.29补充

可以直接下载IIS Crypto启用加密套件，软件下载地址

https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe

 

钩选新版本的加密套件即可，就不需要进入组策略配置了。

 

 

也可以直接点击 【Best Practices】,一键设置 

 

明明是免费的工具，那些上传到CSDN需要积分下载的，是真的无语，技术圈被搞得乌烟瘴气。