如何在IIS 7.5中启用TLS 1.1、1.2

我们希望支持使用TLS 1.1和1.2的Web浏览器，这显然已由Microsoft实现，但默认情况下已关闭。

因此，我在Google上进行搜索，发现每个人似乎都在关注一些页面：

http://support.microsoft.com/kb/245030

https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html

然而！它似乎不适用于我。我已经为DisabledByDefault和TLS 1.1和1.2设置了DWORD值。我可以确认我的客户端正在尝试与TLS 1.2通信，但服务器仅以1.0响应。我已经重新启动IIS，但是并没有改变情况。

Microsoft指出：“警告：协议项下注册表项中的DisabledByDefault值不优先于SCHANNEL_CRED结构中定义的grbitEnabledProtocols值，该结构包含Schannel凭据的数据。”

好吧，这对我来说很模糊。我找不到在任何地方定义或设置SCHANNEL_CRED的地方，我可以确定这是Microsoft库中定义的结构。这是我为什么无法解决问题的唯一猜测，但是我找不到足够的信息来确定这是否是真正的问题。

重启。重新引导系统后，对Schannel设置的更改才会生效。

更改Microsoft SChannel协议和密码（包括密码顺序）的最简单方法是使用IIS Crypto，它是一个完全免费的工具，可以下载而无需任何烦人的注册要求。

该工具在受控情况下操纵注册表项，但它以受控，可靠且安全的方式进行。我们定期使用它。

还值得注意的是，它在自动化方案中可以提供帮助，因为它除了GUI版本外还具有命令行版本。

还有一个博客，讨论了一些更改以及进行更改的原因。出现SSL问题时，该工具往往保持最新状态。

启用TLS 1.1和1.2需要重新启动。直接禁用RC4和DH无需重启服务器或服务。

如果我没记错的话，禁用SSLv2和SSLv3也会立即生效。

https://technet.microsoft.com/zh-CN/library/dn786418.aspx

要启用该协议，请将DWORD值更改为0xffffffff。