TLS/SSL协议目前有很多TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSLv3.0 、SSLv2.0，后面三个算是比较弱的密码协议。

还有密码套件：DES/MD5这些弱密码协议。修改了上面的TLS协议和密码套件后，TLS信任证书生成应用于域名。

---

TLS协议修改：

1. 打开注册表：

2.备份注册表-协议导出

路径：计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

 

3.修改注册表

a.禁止的协议可以在Protocol项里面新建项-名字跟需要禁止的协议的名字相同

b.在协议的项下面新建Client和Server两个项，同时新建DisableByDefault和Enable两个DWORD(32 位) 

"Enabled"=dword:00000000

"DisabledByDefault"=dword:00000001

---

密码套件修改

1. 打开本地组策略编辑器：

2。修改路径如下：

3.备份【SSL密码套件】，Ctrl+A选中全部，Ctrl+c复制，在桌新建文本文件，将SSL密码套件Ctrl+V保存在文件中。（可删除或增加你想要的密码套件）：

4. 修改上面保存的密码套件内容：

5. 将【SSL密码套件】进行替换，复制文本中的密码套件替换。

6. 在【PowerShell】上查看命令Get-TlsCipherSuite

上面的协议和密码套件修改好了，需要重新启动计算机才行，强调一定得重启。

---

TLS信任证书生成：

openssl生成证书命令如下：

1. openssl genrsa -out ca.key 1024

2. openssl req -new -key ca.key -out ca.csr

3.dir路径查看有没有生成成功：

因为测试需要我这边修改是将高协议去掉，上面得操作结果显示如下：

我上面得修改点有两个：

1. 加了证书后，从ip变成了域名

2. 测试需要将之前的高的TLS1.2、TLS1.1的两个协议去掉了。密码套件暂时没动。