【问题标题】:How do I configure Perfect Forward Secrecy in Windows Azure (OS, or Websites)如何在 Windows Azure(操作系统或网站)中配置完美前向保密
【发布时间】:2013-12-25 09:10:26
【问题描述】:

我想将我的网站迁移到 Windows Azure,但需要确保我在所有实例和角色上都使用 PFS。 (常规网络角色和网站也是如此)

我该如何配置,以便每个部署都以这种方式自动配置?

【问题讨论】:

  • 您要允许还是强制执行 PFS(这会排除某些客户端)?
  • @SimonOpelt 我想强制执行。

标签: azure cryptography certificate azure-web-roles azure-web-app-service


【解决方案1】:

This excellent articleAndré N. Klingsheim 解释了用于在 Windows Server 和 Windows Azure 上强化 SSL/TLS 配置的详细选项。这包括

  • 禁用 SSL
  • 启用 TLS
  • 更改密码套件优先级

作者还提供了NuGet packagerelated source code 用于在 Azure 角色启动期间处理这些更新。

如果您想强制执行(perfect) forward secrecy 而不仅仅是启用它,您可能希望禁用所有不支持它的密码套件。查看相关的powershell script,所有TLS_RSA_*-suites 都需要从$preferredCipherSuites 中删除。请注意,这将降低与某些(主要是旧版)浏览器/客户端的兼容性。

另请参阅 this answer,其中包含有关密码套件建议的多个资源。

【讨论】:

    【解决方案2】:

    我认为从服务器端强制 PFS 需要更改注册表。 这可以使用here 中描述的启动脚本为 Web 角色实现

    鉴于需要更改注册表,我认为这对于 Windows Azure 网站是不可能的。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-02-20
      • 1970-01-01
      • 2019-05-27
      • 2013-12-28
      • 2013-06-22
      • 2019-11-25
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多