IIS下https配置及安全整改

原文链接：https://www.cnblogs.com/JangoJing/p/6769759.html

1.https证书的分类

SSL证书没有所谓的"品质"和"等级"之分，只有三种不同的类型。

SSL证书需要向国际公认的证书证书认证机构（简称CA，Certificate Authority）申请。

CA机构颁发的证书有3种类型：

域名型SSL证书（DV SSL）：信任等级普通，只需验证网站的真实性便可颁发证书保护网站；

企业型SSL证书（OV SSL）：信任等级强，须要验证企业的身份，审核严格，安全性更高；

增强型SSL证书（EV SSL）：信任等级最高，一般用于银行证券等金融机构，审核严格，安全性最高，同时可以激活绿色网址栏。

我们只要使用DV证书就可以了，一般来说我们申请到的免费ssl证书都是dv证书。

2.申请免费的证书

3.https网站安全验证

https已经可以访问了，但是https就一定是安全的吗，我们可以通过下面这个网站进一步检查你的网站的安全性，主要是从https的安全性去测试

https://myssl.com/

https://www.ssllabs.com/ssltest/analyze.html

4.为了A+不断修改

4.1 关闭SLL2和SSL3

4.2 开启TLS1.0 1.1 1.2

4.3 关闭RC4

4.5 修改ssl配置设置

4.7 一键配置的powershell脚本（持续更新）

脚本作者：https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

4.8 弱密码套件Diffie-Hellman整改

在注册表的SSL Configuration Settings中删除ssllabs测出的weak Diffie-Hellman密码套件。

参考：

https://weakdh.org/sysadmin.html

Microsoft IIS Open the Group Policy Object Editor (i.e. run gpedit.msc in the command prompt). Expand Computer Configuration, Administrative Templates, Network, and then click SSL Configuration Settings. Under SSL Configuration Settings, open the SSL Cipher Suite Order setting. Set up a strong cipher suite order. See this list of Microsoft\'s supported ciphers and Mozilla\'s TLS configuration instructions.

Microsoft has also made official instructions available.

https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx

https://docs.microsoft.com/zh-cn/security-updates/SecurityAdvisories/2015/3042058