一般我们申请下来的证书都是256位加密的，因为2016年开始老版本的证书都会被提示危险网站。

首先看一下服务器开启TLS1.2+256加密之前和开启之后的区别；

开启之前：

开启之后：

由于Chrome40不再支持SSL 3.0了，GOOGLE认为SSL3.0已经不再安全了。

首先在这个网站上测试一下自己的服务器究竟处于什么水平。

https://www.ssllabs.com/ssltest/

要提高服务器的评级，有2点必须做：

1、使用SHA256签名算法的证书。

2、禁用服务器SSL3.0，启用TLS1.2

去网上搜了一下，教程确实非常多，但是基本没有一个靠谱的，可能国内使用windows2008做服务器的比较少...

后来去翻阅一些国外的网站，成功找到一个使用windows powershell修改tls1.2的教程，并且一次性成功，所以分享具体教程到我的博客。当然，中文的哟！

首先我们要明白，windows server2008有个最大的改进就是多了个powershell，这个“终端命令行”不同于CMD，你可以把它理解为linux的终端，只要你输入正确的指令，它可以操控你的整个操作系统。

1.打开powershell使用管理员身份

2.复制下面这些命令，粘贴到powershell

md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2"

md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server"

md "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client"

new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "Enabled" -value 1 -PropertyType "DWord"

new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord"

new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "Enabled" -value 1 -PropertyType "DWord"

new-itemproperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -name "DisabledByDefault" -value 0 -PropertyType "DWord"

执行完毕效果如图：

2-1.当然你也可以去注册表检查一下是否成功改变了以下值：

3.开始菜单输入：gpedit.msc，或者win+R键随便你

4.找到计算机配置 - 管理模板 - 网络 - SSL配置设置

5.选中右侧的SSL 密码套件顺序，双击SSL 密码套件顺序

6.把左侧是未配置，选中已启用

7.把下方SSL 密码套件那个长条里的内容，全选，复制，粘贴到一个新建文本文档，找到：

TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA

8.按照同样的格式放到文本的头部，然后复制全部内容，粘贴到SSL 密码套件那个长条里

也就是把256加密改变一下排序

然后点击确定，成功保存SSL 密码套件顺序，重启服务器，如果不出意外，你的服务器检测之后就会看到这样的结果：