一、注册表配置是否正确？ #

你的当前配置是正确的，核心原因和逻辑如下：

• 你的服务器进程需要同时承担两个TLS角色：
  • 作为TLS服务端：要接收客户端发起的TLS 1.0连接，因此必须启用TLS 1.0\Server项，否则客户端无法完成TLS 1.0握手
  • 作为TLS客户端：要主动连接后端的TLS 1.2服务，因此必须启用TLS 1.2\Client项，才能和后端协商出TLS 1.2连接
• TLS握手的版本协商机制是：双方会从各自支持的版本列表里，自动选择最高的共同兼容版本。所以哪怕你同时启用了TLS 1.0/1.1/1.2，也不会出现问题：
  • 客户端连服务器时，因为客户端只支持TLS 1.0，协商结果就是TLS 1.0
  • 服务器连后端时，后端支持TLS 1.2，协商结果就是TLS 1.2
• 如果你禁用TLS 1.0的Server项，直接会导致客户端连接失败，不符合你的需求；禁用TLS 1.1不会影响当前场景，但保留启用也不会产生负面作用，只是非必要。核心必须保留的是TLS 1.0\Server和TLS 1.2\Client的启用状态。

二、Windows Server 2008 R2 SP1是否需要额外补丁？ #

是的，必须安装特定补丁才能让系统原生支持TLS 1.2：

• Windows Server 2008 R2 SP1默认不支持TLS 1.2，KB3140245是启用TLS 1.2支持的核心补丁，必须先安装它
• 为了保证TLS 1.2的稳定性和兼容性，还建议安装配套的更新补丁（比如KB3063858等），否则即使注册表配置正确，TLS 1.2也无法正常工作

额外建议 #

因为你的环境非常敏感，建议先在隔离的测试环境完成验证：

• 用TLS测试工具验证客户端到服务器的TLS 1.0连接是否正常
• 验证服务器到后端的TLS 1.2连接是否稳定
  确认无问题后，再在生产环境执行配置和重启操作

内容的提问来源于stack exchange，提问作者Graham Walsh