我之前帮客户排查过一模一样的问题，Windows Server 2012默认的SSL/TLS配置里，AEAD加密套件要么没启用，要么优先级太低，导致现代客户端握手时抛出这个错误。下面是我亲测有效的分步修复方案：

1. 启用并优先配置AEAD加密套件 #

AEAD套件（比如AES-GCM系列）是现代SSL/TLS握手必需的，我们需要确保它们被启用并放在加密套件列表的前面。

方式一：通过组策略快速配置 #

• 按下Win+R输入gpedit.msc打开组策略编辑器
• 依次展开：计算机配置 > 管理模板 > 网络 > SSL配置设置
• 找到「SSL密码套件顺序」策略，双击启用它
• 在弹出的配置框里，把AEAD套件加到最前面，示例顺序（兼顾兼容性和安全性）：

  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  

• 点击确定后，重启服务器或者执行命令重启HTTP服务：

  net stop http && net start http
  

方式二：注册表手动配置（组策略失效时用） #

如果组策略没生效，直接改注册表更可靠：

1. 打开regedit，导航到路径：
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
2. 检查是否有AES 256 GCM和AES 128 GCM这两个项，如果没有就右键新建：
   • 右键「Ciphers」> 新建 > 项，命名为AES 256 GCM
   • 在该项下新建DWORD值Enabled，设置数值为1
   • 重复步骤创建AES 128 GCM项，同样设置Enabled为1
3. 接着确保TLS 1.2已启用（Server 2012默认可能没开全）：
   导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
   • 新建DWORD值Enabled，设为1
   • 新建DWORD值DisabledByDefault，设为0
4. 重启服务器让配置生效

2. 验证配置是否生效 #

重启后，我们需要确认AEAD套件已经正常启用：

• 打开PowerShell，运行命令：

  Get-TlsCipherSuite | Where-Object {$_.Name -match "GCM"}
  

  如果能列出带GCM的套件，说明配置成功了
• 也可以用浏览器测试：访问服务器的HTTPS站点，打开开发者工具（F12）>「安全」标签>「查看证书」>「连接详情」，查看使用的加密套件是否包含GCM字样

3. 检查SSL证书的兼容性 #

有时候证书本身的问题也会导致这个错误：

• 检查证书签名算法：确保是SHA-256或更高版本，SHA-1已经被现代客户端弃用了，如果是旧证书，建议重新颁发
• 确认证书密钥长度：至少2048位，推荐4096位，太短的密钥会被客户端拒绝
• IIS站点绑定配置：打开IIS管理器，找到对应站点>「绑定」>编辑HTTPS绑定>只勾选TLS 1.2（如果不需要兼容非常旧的客户端），取消SSL 3.0、TLS 1.0/1.1的勾选

4. 额外小贴士 #

• 如果需要兼容Windows XP这类旧客户端，不要完全删除非AEAD套件，只是把AEAD套件放在列表最前面即可
• 推荐用IIS Crypto工具来可视化配置（本地工具，直接搜官方下载），比手动改注册表省心，还能一键应用安全配置模板
• 改完配置后，一定要测试所有依赖该服务器的业务系统，避免出现兼容性问题

内容的提问来源于stack exchange，提问作者DevÁsith