https在Windows 2012中使用ECDHE-ECDSA-AES256-GCM-SHA384

我已经很长时间的读者,但这是我的第一个真正的职位,我无法find解决scheme的主题。

我目前在Windows 2012上托pipe一个网站,我想获得最新的TLS 1.2密码套件。

我知道如何在Windows中启用TLS 1.1和TLS 1.2,并已经这样做(通过registry编辑)。 我也把密码顺序改成了我想要的。

我的问题是:在这一步之后,我怎样才能真正完成密码套件的ECDHE / ECDSA部分?

当我查看最新铬版testing版(它支持TLS 1.2中的ECDHE和ECDSA提供您使用支持的曲线)的网站时,它似乎跳过了所有的ECHDE密码套件。

有什么我需要做的ECDHE / ECDSA正确启用?

我已经在networking上四处阅读,试图自己解决这个问题,他们提到复制你的根证书,然后修改它们以某种方式支持ECDHE。 我吠叫错了树?

提前感谢您对这个问题的任何支持。

编辑:添加澄清/进度

经过更多的研究,我发现为了让ECDSA工作,你需要一个ECDSA证书。 现在唯一的办法是自我签署,因为authentication卡特尔还没有为椭圆曲线证书提出适当的交叉许可协议和费用结构。

由于自签名不是本网站的选项,我已经从密码顺序中删除了所有的ECDSA套件。

不幸的是,由于所有的AES Galois计数器模式套件都是ECDSA,所以暂时规定了这些套件。

这给我留下了一个最强大的ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521密码套件,我相信是由最新版本的Chrome beta支持的吗? 我似乎无法让Chrome获得除SHA-1之外的任何内容。 有没有SHA-2的支持? 即使在最新的testing版?

我有与Win2008 R2类似的经验。 根据证书,GCM密码由服务器提供或不提供。

通过自签名的ECDSA证书,我得到了GCM的工作,但旧版本的浏览器或Windows XP无法连接到这样的https站点。

Windows不支持任何TLS_ECDHE_RSA … GCM …密码: http : //msdn.microsoft.com/en-us/library/aa374757( v=vs.85) .aspx因此,正常的RSA证书不起作用在Windows下的GCM。

浏览器兼容性: http : //www.g-sec.lu/sslharden/SSL_comp_report2011.pdf

AES-GCM是关于如何加密连接,EC-DSA或RSA中有关服务器如何向客户端标识自身的数据。 因此没有理由不能使用RSA认证来进行AES-GCM加密。

RFC 5289确实为此定义了所需的套件: http : //tools.ietf.org/html/rfc5289#section-3.2

CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 = {0xC0,0x2F}; CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 = {0xC0,0x30}; CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 = {0xC0,0x31}; CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 = {0xC0,0x32}; 

找到支持它们的客户端和服务器并不是一件容易的事情。