windows2012 IIS部署GeoTrust证书踩过的坑。

系统：windows2012

环境：IIS8

在阿里云上买了GeoTrust证书， 按照说明下载证书到服务器，  导入证书， 给IIS站点部署https。  

  阿里云部署帮助文档：https://help.aliyun.com/knowledge_detail/44596.html

第一个坑：

国内壳子浏览器： 数字，搜狗， Maxthon， webkit内核， 和IE，Edge通通ok。 但chrome浏览器52、53、54这三个版本地址栏全显示红叉”您的连接不是私密连接，攻击者可能会试图从xxx窃取您的信息“。

使用https://cryptoreport.geotrust.com/checker/views/certCheck.jsp 检测，   

结果如下：

Warnings

   SSLv3

   Your server's encryption settings are vulnerable. This server uses the SSLv3 protocol, which is not secure.  

 

     This server is vulnerable to:

  Poodle (SSLv3 protocol)

  This server is vulnerable to a Poodle (SSLv3) attack.  

windows2012 默认开启了这些，  google了一把，  要关闭这些， 可以手动改注册表， 也可以借用工具。 特意记录下。 

1. 注册表修改脚本打包：http://files.cnblogs.com/files/jackrebel/DisableSSLv3AndRC4.reg_.zip 
2. 用GUI工具：http://files.cnblogs.com/files/jackrebel/IISCrypto.zip
3. 自己动手改注册表：http://cloudacademy.com/blog/how-to-fix-poodle-on-windows-server-2012/

以上操作3选1。  都是修改的注册表，都需要重启服务器。 

第二个坑：

　　泛域名证书，  加了https后， 需要把所有http链接、引用的资源都改成https， 否则浏览器依旧是警告标识。  没有绿标。 

     修改所有代码。 如：  <a href="http://www.8kmm.com/meinvheji/63027_2.html"><img src='http://img.8kmm.com/2014/11/201411120940405748.jpg'></a>

                       改成： <a href="//www.8kmm.com/meinvheji/63027_2.html"><img src='//img.8kmm.com/2014/11/201411120940405748.jpg'></a>

                 去掉红色的http头

    

 　　　　需要把所有引用的资源都改成https， 否则浏览器依旧是警告标识。  

其它参考资料：https://blog.qualys.com/ssllabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack

更全面的检查工具：https://www.ssllabs.com/ssltest/analyze.html?d=certtest.crd.cn