嘿，针对你提到的Exchange 2010 RU17要启用并默认使用TLS 1.2的需求，我整理了一套完整的操作步骤，连注册表项缺失的情况也覆盖到了，你可以一步步跟着来：

一、准备工作 #

• 确认已安装Exchange 2010 RU17：这是启用TLS 1.2的前提，只有RU17及以上版本才正式支持TLS 1.2
• 安装系统补丁：如果是Windows Server 2008 R2，需安装支持TLS 1.2的核心补丁（比如KB3140245、KB3154518）；Windows Server 2012及以上默认支持，但建议更新到最新累积补丁

二、注册表配置（核心步骤，缺失项手动新建） #

既然你说注册表中没有TLS 1.2相关项，我们需要手动创建这些键值对，同时建议禁用旧版本TLS以强制系统默认使用1.2：

1. 启用TLS 1.2客户端与服务器支持 #

打开注册表编辑器（regedit），依次创建以下路径和键值：

• 客户端设置：
  路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • 新建DWORD值 DisabledByDefault，设置为 0
  • 新建DWORD值 Enabled，设置为 1
• 服务器设置：
  路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • 新建DWORD值 DisabledByDefault，设置为 0
  • 新建DWORD值 Enabled，设置为 1

2. 禁用TLS 1.0和TLS 1.1（可选但推荐） #

同样在注册表中创建/修改以下路径的键值，确保系统不再使用旧版本TLS：

• 禁用TLS 1.0客户端：
  路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
  • DisabledByDefault = 1
  • Enabled = 0
• 禁用TLS 1.0服务器：
  路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
  • DisabledByDefault = 1
  • Enabled = 0
• 禁用TLS 1.1客户端：
  路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
  • DisabledByDefault = 1
  • Enabled = 0
• 禁用TLS 1.1服务器：
  路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
  • DisabledByDefault = 1
  • Enabled = 0

注意：操作注册表前务必导出备份，避免误操作导致系统异常。

三、IIS站点配置 #

Exchange的OWA、ECP等Web服务依赖IIS，需要单独设置SSL协议：

1. 打开IIS管理器，找到Exchange对应的站点（比如Default Web Site）
2. 右键站点 → 选择SSL设置
3. 确认勾选要求SSL，点击右侧的编辑按钮
4. 在SSL协议列表中，只勾选TLS 1.2，取消TLS 1.0和TLS 1.1的勾选
5. 点击确定保存设置

四、Exchange服务专属配置 #

1. 接收连接器设置 #

通过Exchange管理控制台（EMC）或PowerShell配置：

• EMC方式：
  转到集线器传输 → 接收连接器，右键目标连接器（比如默认服务器名、客户端服务器名）→ 属性 → 安全选项卡
  勾选启用TLS，然后在传输安全中设置最低TLS版本为TLS 1.2
• PowerShell方式：

  # 替换为你的接收连接器名称
  Set-ReceiveConnector "默认服务器名" -TlsMinVersion 1.2 -RequireTls $true
  

2. 发送连接器设置 #

• EMC方式：
  转到集线器传输 → 发送连接器，右键目标连接器 → 属性 → 安全选项卡
  勾选启用TLS，设置最低TLS版本为TLS 1.2
• PowerShell方式：

  # 替换为你的发送连接器名称
  Set-SendConnector "互联网发送连接器" -TlsMinVersion 1.2
  

3. Outlook Anywhere设置 #

使用PowerShell配置：

# 替换为你的Exchange服务器名
Set-OutlookAnywhere -Identity "服务器名\Rpc (Default Web Site)" -TlsVersion 1.2

五、重启服务生效 #

完成以上配置后，需要重启相关服务让设置生效：

• 重启IIS服务：运行命令 iisreset /restart
• 重启Exchange传输服务：在服务管理器中找到Microsoft Exchange Transport，右键选择重启
• （可选）重启整个服务器，确保所有注册表和服务设置完全生效

六、验证TLS 1.2是否正常工作 #

• Web服务验证：用PowerShell测试OWA的TLS 1.2连接

  Invoke-WebRequest -Uri https://你的Exchange服务器域名/owa -SslProtocol Tls12
  

  如果返回200 OK状态码，说明TLS 1.2连接正常
• SMTP验证：使用telnet工具连接服务器25端口，发送EHLO test.com，如果返回250-STARTTLS，再发送STARTTLS，确认能成功协商TLS 1.2

注意事项 #

• 先在测试环境验证所有步骤，避免影响生产环境
• 确保客户端支持TLS 1.2：比如Outlook 2010需要安装KB3161949补丁才能支持TLS 1.2，Outlook 2013及以上默认支持但建议更新到最新版本
• 若遇到连接问题，可以临时恢复旧TLS版本排查原因

内容的提问来源于stack exchange，提问作者JonHeinzig