合适的SSL证书
根据苹果的要求,部署在ATS上的SSL证书,必须满足以下几个条件:
- 由IOS内置可信根证书颁发机构签发。
- 支持RSA-2048位(或者ECC256)以上密钥算法。
- 使用SHA-256签名算法。
Symantec、GeoTrust、RapidSSL品牌的全部SSL证书都满足以上三项条件。您在我们网站购买的任何证书,都可以放心用于部署在您的服务器上,以实现ATS功能。
因为在APP上,实际我们是看不到证书的详细信息,所以我们特别推荐3款DV型证书,申请简单,性价比高:
开启TLS 1.2
在Windows 2012中,缺省就已经开启了TLS 1.2,但在Windows 2008中缺省并没有开启TLS 1.2,所以需要我们通过修改注册表来启动TLS 1.2功能。
- 点击“开始”—“运行”,输入 “Regedit”,点击OK.
- 在注册表中寻找:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server - 如果在Protocols下没有“TLS 1.2”选项,请依次新建“TLS 1.2”和“Server”项。
- 新建一个DWORD值,在名称中输入“Enabled”。
- 双击这个值,在数值数据中,输入“1”。
调整IIS加密套件顺序
1. Windows 2008在命令提示符下,键入 gpedit.msc,并按 Enter 键来启动“本地组策略编辑器”。
2. 依次展开“计算机配置”、“管理模板”、“网络”,然后单击“SSL 配置设置”。
3. 在“SSL 配置设置”下,单击“SSL 密码套件顺序”设置。
4. 在“SSL 密码套件顺序”窗口中,单击“已启用”。
5. 在选项窗格中,双击以突出显示“SSL 密码套件”字段的全部内容,然后使用以下加密套件替换其内容:
以上两步操作完成后,请重启服务器,应用新的配置。
文档编写日期:2016年10月01日