# IIS 站台綁 HTTPS 後卻連不進去！？如何提升伺服器的安全性 ###### tags: `IIS` `HTTPS` 當你使用 IIS 架設一個站台並且綁定 HTTPS 之後，明明憑證是有效的，所有設定看起來都很正常，唯獨使用 Chrome 無法順利連進去，此時心中一定會有滿滿的問號，瀏覽器只顯示一個意義不明的錯誤訊息跟指示 (網路明明沒問題 = =) 如下圖。這篇記錄了我遇到這個問題後是如何解決的。  當我們在使用 IIS 架設網站的時候，如果伺服器的主機是使用較舊的 Windows 系統，像是 Windows Server 2008 R2 這樣年代較久遠的舊伺服器內的網站，我們就會需要考慮到這台伺服器的安全性可能不夠安全，否則架設好的網站，即使在 IE 或是 Firefox 瀏覽器顯示為安全，但是使用 Chrome 就被判定為不安全的網頁如上圖，並顯示 The connection was reset. & 錯誤代碼 ERR_CONNECTION_RESET，其原因可能為： - 伺服器提供的安全協定至少要為 TLS 1.2。 - 伺服器還在使用已經被判定為不安全的 SSL 協定 (2.0 或 3.0 皆已不安全)。 - 伺服器提供的 Cipher Suites 太過老舊。 ## 檢測你的網站 & 伺服器安全性 我們可以使用一些工具去檢測網站的伺服器的安全性： - 使用 [SSL Server Test](https://www.ssllabs.com/ssltest)：這個網站提供了安全性評分以及各個項目的解析，並針對可改善之處提出建議。  我們主要是要檢查「安全協定」以及「Cipher Suites」。  - 使用 [Wireshark](https://www.wireshark.org/)：尚未學習如何使用 ... 🤔 這裡提供網友使用 Wireshark 去分析某網站的截圖：  做了這些檢測之後就可以大致知道伺服器不安全的地方在哪裡了。 ## 簡介 IIS Crypto 接下來要介紹一個便利的工具「[IIS Crypto](https://www.nartac.com/Products/IISCrypto)」，他提供了能夠非常快速地設定安全性的功能，一般在解決這些問題時會去網路上爬文章，他們通常要你手動去執行一些註冊檔，並手動設定登入編輯程式，甚至下一堆沒看過的指令，過程很繁瑣又容易漏東漏西，因此這個工具之所以強大，正是因為他都幫我們想好了，可以一鍵搞定！也包含了這次我們需要優化伺服器的安全性項目： - 一鍵最佳化伺服器的安全性設定。 - 在進行任何操作前先「備份」任何的註冊設定。 - 啟動 TLS 1.1 & 1.2 協定。 - 重新排序 Cipher Suites。 - 關閉那些不安全的安全協定與 Cipher Suites。 ## 使用 IIS Crypto 優化伺服器安全性過程 1. 確認伺服器版本：過舊的伺服器可能有安全性的疑慮。 **Windows Server 2008 R2 & IIS 7.5**  2. 安裝 IIS Cryoto :   3. 清楚明瞭的 UI 介面：  4. 在做任何設定前，記得先「**備份**」，免得改壞了！  5. 這個工具還內建 SSL Server Test 的服務，真貼心！😄  6. 備份好之後，馬上點選「一鍵設定」執行安全性最佳化的設定。  7. 設定完成後，必須重新啟動伺服器，設定才會生效。  8. 也可以勾選「Reboot」，按「Apply」之後便會自動幫你重新啟動。  9. 重新啟動之後，伺服器終於被 Chrome 視為安全了！我們再次使用 SSL Server Test 來看一下變化： - 雖然還是 B，但是 Key Exchange 合格達標！而且提示與建議也變少了，要達成 A 可能就要升級成 TLS 1.3 了 ?!  - 重新設定 Cipher Suites 過後，我們可以看到被標示為不安全的 (紅色的) 項目已被移除，這應該就是被 Chrome 擋的真正原因。  10. 完成！皆大歡喜。 ## 結語 由此可知，IIS Cypto 真的非常快速又好用，所以哪天各位朋友如果也遇到有安全性的問題，趕快去抓下來試試看，安裝後只需要一鍵設定 & 重開機，就能輕鬆解決！ 如果還是無法解決，那真的只好請更新你的伺服器版本了，Windows Server 2008 R2 以下的我沒有嘗試過 ...。 以上，希望能幫助到遇到類似問題的架站人員 😊