如何确保 https 服务器的 tls 版本支持1.2及以下版本？

TLS 12要求服务器配置文档：https://wwwgworgcom/ssl/277html。

一台能保证24小时不断电的电脑，一根固定IP地址的光纤，一个域名，安装Windows 2003系统就可以架设服务器了。

下面我们来通过Windows Server 2003提供的POP3服务和SMTP服务架设小型服务器来满足我们的需要。

一、安装POP3和SMTP服务组件

Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的，因此我们要手工添加。

1安装POP3服务组件

以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：POP3服务和POP3服务Web管理。为方便用户远程Web方式管理服务器，建议选中“POP3服务Web管理”。

2安装SMTP服务组件

选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTP Service”选项，最后点击“确定”按钮。此外，如果用户需要对服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。

二、配置POP3服务器

1创建域

点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入服务器的域名，也就是地址“@”后面的部分，如“xxx”，最后点击“确定”按钮。其中“xxx”为在Internet上注册的域名，并且该域名在DNS服务器中设置了MX交换记录，解析到Windows Server 2003服务器IP地址上。

2创建用户邮箱

选中刚才新建的“xxx”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建。

三、配置SMTP服务器

完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中服务器的IP地址即可。点击“确定”按钮，这样一个简单的服务器就架设完成了。

完成以上设置后，用户就可以使用客户端软件连接服务器进行收发工作了。在设置客户端软件的SMTP和POP3服务器地址时，输入服务器的域名“xxx”即可。

四、远程Web管理

Windows Server 2003还支持对服务器的远程Web管理。在远端客户机中，运行IE浏览器，在地址栏中输入“https：//xxx：8098”，将会弹出连接对话框，输入管理员用户名和密码，点击“确定”按钮，即可登录Web管理界面。

微软在Windows 10仪表盘日志中确认最新累积更新可能导致某些不支持扩展主密钥的客户端出现安全连接超时。这个问题实际上是微软修复CVE-2019-1318安全漏洞导致的，攻击者利用这个漏洞可发起中间人攻击窃取数据。严格来说这个问题并不是独立产生的，而是在微软修复漏洞后可能存在兼容性问题，导致系统无法正常安全连接。

TLS连接失败或连接超时：

微软表示如果连接双方都已经安装安全更新修复该安全漏洞，则不太可能会出现这个加密安全连接的兼容性故障。问题在于Windows如果尝试连接到不支持扩展主密钥恢复的TLS客户端或者服务器 , 那么就会无法正常进行连接。用户若尝试连接则系统会提示「请求已中止 : 无法创建爱你SSL/TLS 安全通道」错误然后导致整个连接自动终止。而在Windows系统事件查看器里会记录已从远程端点收到致命警报, TLS安全协议定义的致命警告错误代码为20。

#RFC 7627

The request was aborted: Could not create SSL/TLS secure Channel

SCHANNEL event 36887 is logged in the System event log with the description, A fatal alert was received from the remote endpoint The TLS protocol defined fatal alert code is 20

影响所有受支持的Windows版本：

由于漏洞缘故微软发布的更新是面向所有受支持的 Windows 版本，而这些已安装更新的系统都可能遇到此问题。包括 Windows 7 SP1、1 Update、Windows 10 所有受支持的版本、Windows 10 LTS 所有版本。同时Windows Server 2008 R2 SP1/SP2、Windows Server 2012/2012R2、Windows Server 2019亦受影响。

解决办法倒是非常简单：

针对该问题最直接的解决办法就是直接安装最新的累积更新，只要安装后就可以直接解决该问题无需额外的操作。在安装最新累积更新后微软会为系统自动启动扩展主密钥支持，更新的设备或服务器之间互相连接都会正常通信。而对不支持扩展主密钥支持的操作系统需要管理员手动从TLS客户端加密套件中删除TLS_DHE_，帮助文档点我。需要强调的是微软不建议禁用扩展主密钥，如果用户此前手动禁用过扩展主密钥请通过以下注册表进行恢复启用。

#注册表路径

HEKY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersSchannel

#在 TLS 服务器上

DisableServerExtendedMasterSecret: 0

#在 TLS 客户端上

DisableClientExtendedMasterSecret: 0

SSL/TLS站点应用面临的问题有以下几点：

SSL证书安装错误；因为不熟悉SSL证书技术引发的问题

网站无法访问

升级到 HTTPS 后，网站部分资源不加载或提示不安全

密码通信之前后的数据是不受保护的，SSL/TLS仅对通信过程中的数据进行保护

安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）。较低的层为 TLS 记录协议，位于某个可靠的传输协议（例如 TCP）上面，与具体的应用无关，所以，一般把TLS协议归为传输层安全协议。

他那一项可以不用管，ftp默认都是明文密码传输。你要想安全就想办法用***+ftp进行访问

建议你用flashfxp连接ftp

本文是对 HTTP—TCP/IP—SOCKET理解及浅析 的补充，如有需要，请查看上篇文章。

SSL协议由Netscape公司开发，历史可以追溯到Netscape Navigator浏览器统治互联网的时代。

1996年5月， TLS工作组成立，开始将SSL从Netscape迁移至IETF。由于Microsoft和Netscape当时正在为Web的统治权争得不可开交，整个迁移过程进行得非常缓慢、艰难。最终， TLS 10于1999年1月问世，见RFC 2246。

尽管与SSL 3相比，版本修改并不大，但是为了取悦Microsoft，协议还是进行了更名