张小烦 发表于 2017-2-27 19:51:13

苹果ATS


  苹果ATS - 证书选择及配置
  2017年1月1日开始,苹果要求所有iOS应用必须使用ATS(App Transport Security),即APP内连接必须使用安全的HTTPS并且需要满足ios9中的新特性。
  1、证书颁发机构的要求
  推荐用Symantec/GeoTrust/Godaddy/GlobalSign/comodo品牌的OV及以上证书,个人用户可签发DV证书。而CFCA品牌只在最新的苹果设备上才支持,不推荐CFCA品牌。不推荐使用免费证书;
  2、证书的哈希算法和秘钥长度的要求
  证书的哈希算法:在上面推荐的证书品牌中是哈希算法都是SHA256或者更高强度的算法;
  秘钥长度: 如果自己创建CSR,请使用2048位或以上的RSA加密算法;
  3、传输协议的要求
  必须满足 TLS1.2
  4、web服务器要求
  Apache(2.2.23+) / Nginx(1.0.12+) 依赖 OpenSSL 1.0.1 + 以支持 TLSv1.2.
  Tomcat 7 + Jdk 7.0 + 支持 TLSv1.2
  IIS6(win2003)不支持,IIS7.5 默认未开启 TLSv1.2 需修改注册表以开启 TLSv1.2。
  5、签字算法: 必须满足如下算法
  TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  苹果ATS特性服务器配置指南
  以下举例不同服务器的ATS协议及加密套件如何配置(只列举了与ATS有关的属性,请不要完全复制以下配置)
  1.Nginx 证书配置
  server {   
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;   
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  }
  2.Apache 证书配置
  IfModule mod_ssl.c
  VirtualHost *:443
  SSLProtocol TLSv1 TLSv1.1 TLSv1.2
  SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4      
  /VirtualHost
  /IfModule
  3.Tomcat 证书配置
  Connector port=443 protocol=HTTP/1.1 SSLEnabled=true
  scheme=https secure=true
  ciphers=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256   
  SSLProtocol=TLSv1+TLSv1.1+TLSv1.2   
  SSLCipherSuite=ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
  /
  4.IIS 证书配置4.1 方法一
  Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 2008R2 TLS1_2协议默认是关闭的 需要启用此协议达到ATS要求
  以2008 R2为例,导入证书后没有对协议及套件做任何的调整。
  证书导入后检测到套件是支持ATS需求的,但协议TLS1_2没有被启用,ATS需要TLS1_2的支持。可使用的ssltools工具(亚洲诚信提供,点击下载)启用TLS1_2协议

  勾选三个TLS协议并重启系统即可。
  如果检查到PFS不支持,在加密套件中选中带ECDHE和DHE就可以了。
  4.2 方法二
  开始——运行 输入regedit
  找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键-新建-项-新建TLS 1.1,TLS 1.2
  TLS 1.1和TLS 1.2 右键-新建-项-新建Server, Client
  在新建的Server和Client中都新建如下的项(DWORD 32位值), 总共4个
  DisabledByDefault
  Enabled
  完成后重启系统
  加密套件调整
  对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。
  开始菜单——运行、输入gpedit.msc 进行加密套件调整 在此操作之前需要先开启TLS1_2协议

  双击SSL密码套件顺序

  把支持的ECDHE加密套件加入SSL密码套件中 以逗号(,)分隔
  打开一个空白写字板文档。
  复制下图中右侧可用套件的列表并将其粘贴到该文档中。
  按正确顺序排列套件;删除不想使用的所有套件。
  在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。
  删除所有换行符,以便密码套件名称位于单独的一个长行上。
  将密码套件行复制到剪贴板,然后将其粘贴到编辑框中。最大长度为 1023 个字符。

  可将以下套件加入密码套件中
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  附:
  推荐套件组合:
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
  TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  TLS_RSA_WITH_AES_128_CBC_SHA
  TLS_RSA_WITH_AES_256_CBC_SHA
  TLS_RSA_WITH_3DES_EDE_CBC_SHA
  TLS_RSA_WITH_AES_128_CBC_SHA256
  TLS_RSA_WITH_AES_256_CBC_SHA256
  TLS_RSA_WITH_AES_128_GCM_SHA256
  TLS_RSA_WITH_AES_256_GCM_SHA384
  编辑:器进行调整
页: [1]
查看完整版本: 苹果ATS