苹果ATS特性各个服务器配置指南

  • 首页
  • SSL证书、代码签名证书常见的问题

苹果ATS特性各个服务器配置指南

2017年1月1日开始,苹果要求所有iOS应用必须使用ATS(App Transport Security),即APP内连接必须使用安全的HTTPS并且需要满足ios9中的新特性。Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整。windows server 2008 R2 操作系统TLS1_2协议默认是关闭的,需要启用此协议达到ATS要求。

配置指南:

需要配置符合PFS规范的加密套餐,目前推荐配置:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4

需要在服务端TLS协议中启用TLS1.2,目前推荐配置:TLSv1.1 TLSv1.2 TLSv1.3

Nginx 证书配置

更新Nginx根目录下 conf/nginx.conf 文件如下:

server {    SSL_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
}

Apache 证书配置

更新Apache根目录下 conf/httpd.conf 文件如下:

<IfModule mod_ssl.c>
        <VirtualHost *:443>
        SSLProtocol TLSv1.1 TLSv1.2 TLSv1.3
        SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
        </VirtualHost>
</IfModule>

Tomcat 证书配置

更新 %TOMCAT_HOME%\conf\server.xml 文件如下:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    scheme="https" secure="true"
    SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

IIS 证书配置(windows2008 R2)

Windows 2008及更早的版本不支持TLS1_2协议,所以无法调整,win2008R2支持TLS1_2,但协议默认是关闭的,需要启用此协议达到ATS要求。

导入证书后没有对协议及套件做任何的调整。

证书导入后检测到套件是支持ATS需求的,但协议TLS1_2没有被启用,ATS需要TLS1_2的支持。可使用的ssltools工具启用TLS1_2协议。

勾选三个TLS协议并重启系统即可。

如果检查到PFS不支持,在加密套件中选中带ECDHE和DHE就可以了。