禁用 tls 1.0/1.1 和 ssl2.0/3.0 后网站关闭

如何解决禁用 tls 1.0/1.1 和 ssl2.0/3.0 后网站关闭

一直忙于通过禁用 SSL2.0/SSL3.0/TLS1.0/TLS1.1 来保护我的服务器。我有大约 50 台服务器，全部是 Windows Server 2012 和更新版本。首先，我使用 powershell 脚本添加注册表项以禁用 SSL2.0/3.0/TLS1.0/1.1。这是因为当任何服务器出现问题时，我可以轻松回滚这些设置。（是的，全部重启）。

几周后，我决定应用组策略（因此新添加到域的服务器将直接具有安全设置）。我在 groupPolicy 中配置的唯一一件事就是添加注册表项（所有服务器都已经有了）。

所以，现在 groupPolicy 处于活动状态，但是一些安装了 IIS 的服务器给我带来了一些问题。当我浏览到 IIS 服务器上的托管网站时，我的浏览器（在此示例中为 InternetExplorer）出现错误“在高级设置中打开 TLS 1.0、TLS 1.1 和 TLS 1.2 并尝试连接。”。（其他浏览器只是说无法连接）

我确定问题不会在客户端中继..（IE 设置没有任何变化）我似乎无法弄清楚..它与使用powershell脚本的第一次测试相同的设置..所以实际上，应该没有任何改变到具有groupPolicy的注册表.. 我什至再次尝试启用所有协议（SSL2.0/3.0/TLS1.0/1.1）但错误保持不变..

首先使用 powershell 应用密钥，然后使用 groupPolicy：

$RegKey = “HKLM:\SYstem\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols”
New-Item               “$RegKey\TLS 1.2\Server” -Force
New-ItemProperty -path “$Regkey\TLS 1.2\Server” -name 'Enabled' -value '1' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\TLS 1.2\Server” -name 'disabledByDefault' -value 0 -PropertyType 'DWord' -Force
New-Item               “$Regkey\TLS 1.2\Client” -Force
New-ItemProperty -path “$Regkey\TLS 1.2\Client” -name 'Enabled' -value '1' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\TLS 1.2\Client” -name 'disabledByDefault' -value 0 -PropertyType 'DWord' -Force
New-Item               “$Regkey\SSL 2.0\Server” -Force
New-ItemProperty -path “$Regkey\SSL 2.0\Server” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\SSL 2.0\Server” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\SSL 2.0\Client” -Force
New-ItemProperty -path “$Regkey\SSL 2.0\Client” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\SSL 2.0\Client” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\SSL 3.0\Server” -Force
New-ItemProperty -path “$Regkey\SSL 3.0\Server” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\SSL 3.0\Server” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\SSL 3.0\Client” -Force
New-ItemProperty -path “$Regkey\SSL 3.0\Client” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\SSL 3.0\Client” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\TLS 1.0\Server” -Force
New-ItemProperty -path “$Regkey\TLS 1.0\Server” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\TLS 1.0\Server” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\TLS 1.0\Client” -Force
New-ItemProperty -path “$Regkey\TLS 1.0\Client” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\TLS 1.0\Client” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\TLS 1.1\Server” -Force
New-ItemProperty -path “$Regkey\TLS 1.1\Server” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\TLS 1.1\Server” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force
New-Item               “$Regkey\TLS 1.1\Client” -Force
New-ItemProperty -path “$Regkey\TLS 1.1\Client” -name 'Enabled' -value '0' -PropertyType 'DWord' -Force
New-ItemProperty -path “$Regkey\TLS 1.1\Client” -name 'disabledByDefault' -value 1 -PropertyType 'DWord' -Force

附注。是的，每次更改注册表时我都会重新启动..

有什么想法吗？