Không có bộ mật mã nào được ứng dụng khách hỗ trợ được máy chủ hỗ trợ

9

Tôi nhận được lỗi này trong nhật ký sự kiện windows của máy chủ của tôi:

Yêu cầu kết nối TLS 1.0 được nhận từ ứng dụng khách từ xa, nhưng không có bộ mật mã nào được ứng dụng khách hỗ trợ được máy chủ hỗ trợ. Yêu cầu kết nối SSL không thành công.

Khi tôi cố gắng kết nối với một dịch vụ web trên hộp windows 7 từ hộp windows server 2003.

Làm cách nào để thêm bộ mật mã vào bộ mật mã mà bộ kia hỗ trợ?

(sửa máy khách là lý tưởng, nhưng thất bại là giải pháp máy chủ vẫn ổn - Tôi có quyền truy cập vào tất cả các hộp liên quan, tôi chỉ muốn một số mã hóa cơ bản giữa chúng để bảo mật).

Cùng với hàng giờ googling và đọc, tôi đã thử:

  • Đã xem cửa sổ máy chủ xem sự kiện (tìm thấy lỗi bộ mật mã)
  • Đã thêm bộ mật mã vào test1 từ http://support.microsoft.com/kb/936163 (không trợ giúp)
  • Đã thêm TLS 1.0 vào các giao thức trong bộ mật mã trong sổ đăng ký windows của máy chủ (không thay đổi)
  • Cài đặt các công cụ IIS với hy vọng sẽ thêm nhiều giao thức vào Schannel (không phải vậy)
  • Xuất chứng chỉ cho khách hàng, một lần nữa, nhưng có khóa riêng (không thay đổi)
  • Kiểm tra xem các bộ mật mã được cài đặt có khớp với máy chủ và máy khách không (tìm thấy nơi win2k3 liệt kê chúng)
  • Thêm TLS_RSA_WITH_AES_256_CBC_SHA (được cài đặt bởi hotfix trên) vào bộ mật mã của máy chủ (không, đã có trên đó)
windows-server-2003  windows-7  tls  ssl 
MGOwen
nguồn
@sohnee serverfault.com/questions/166750/ Câu trả lời của Gary Gary về câu hỏi này đi theo một cách nào đó để trả lời đây là chi tiết.
Drind104
Có thể bạn đã biết điều này, nhưng dù sao tôi cũng sẽ đăng nó cho những người không biết. Windows 2003 không còn được Microsoft hỗ trợ và sẽ không còn nhận được các bản cập nhật. Nếu bạn đang sử dụng 2k3, bạn nên di chuyển hoặc nâng cấp.
Liczyrzepa
Vấn đề này cũng xuất hiện trên Server 2008 (và có lẽ là năm 2012 mặc dù tôi chưa có SSL nào vào năm 2012 tại đây).
Fenton

Câu trả lời:

5

Windows 7 sử dụng API CNG (Mật mã thế hệ tiếp theo) mới khi chọn mật mã. CNG cho Windows 2003 không có sẵn như tôi biết.

Tuy nhiên, bạn có thể cài đặt các bộ mật mã dựa trên AES này để sử dụng trên Windows 2003:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Đây là những bộ ứng dụng khách Windows Vista và Windows 7 đầu tiên sẽ cố gắng đàm phán để sử dụng với TLS 1.0 trở lên và cũng được hỗ trợ bởi các máy khách OpenSSL.

Để sử dụng những thứ này, hãy cài đặt KB936163

Mathias R. Jessen
nguồn
1
Cảm ơn! Tôi nên đã đề cập rằng tôi đã thử điều đó - nó đã không giải quyết vấn đề cho tôi. Có lẽ hộp kia vẫn từ chối chúng vì CBC không còn được coi là an toàn? Tuy nhiên, chúng nằm trong danh sách bộ mật mã, vậy tôi có thể làm gì khác? :(
MGOwen
Thú vị như thế nào cộng đồng làm việc. Bây giờ câu trả lời hàng đầu cho câu hỏi này là câu trả lời chưa bao giờ có hiệu quả và câu trả lời thực sự bị hạ thấp ... Tôi cho rằng do SHA1 bị phản đối vài năm sau khi câu hỏi này bị lãng quên từ lâu. Hy vọng câu trả lời này sẽ giúp ai đó - hoặc không ai bị buộc phải hỗ trợ giành được máy chủ 2k3 nữa ...
MGOwen
1
@MGOwen Tôi xin lỗi tôi đã không thể giúp bạn. Cá nhân tôi đã giải quyết một vấn đề tương tự như của bạn, với hotfix mà tôi đã liên kết. Hy vọng rằng, các upvote phản ánh số người tìm thấy câu trả lời này hữu ích
Mathias R. Jessen
-1

Giải pháp là tạo lại chứng chỉ của tôi, lần này buộc RSA và SHA1 (mặc dù SHA1 là mặc định). Vì một số lý do, Win Server 2k3 không thể hoặc không sử dụng các mật mã phù hợp với chứng chỉ makecert mặc định. Đây là dòng lệnh làm việc cho tôi:

makecert -pe -r -ss my -sr localMachine -n ​​"CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky trao đổi -sp "Microsoft RSA SChannel Nhà cung cấp mật mã "-sy 12

Để biết chi tiết, hãy xem http://mgowen.com/2013/06/19/codes-suites-su/http://msdn.microsoft.com/en-us/l Library / bfsktky3 ( v = vs.110) .aspx .

MGOwen
nguồn
3
sha1 không được chấp nhận Tôi đoán vấn đề phát sinh vì tất cả các mật mã được hỗ trợ bởi ứng dụng khách 2003 của bạn đều không dùng nữa do sự phát triển bảo mật trong vài năm qua. Việc bạn mở các mật mã đó một lần nữa có khả năng sẽ mở các lỗ hổng bảo mật. Cũng lưu ý rằng google sẽ phạt bạn nếu bạn sử dụng SHA1 cho chứng chỉ trang web. Community.qualys.com/bloss/securitylabs/2014/09/09/ từ
mc0e
1
Cụm từ "SHA1 dù sao cũng phải là mặc định" có thể đúng trong bối cảnh bạn có thể đang sử dụng, nhưng như @ mc0e nói, nó không được dùng nữa do vấn đề bảo mật và hiện tại cụm từ đó sẽ khiến các chuyên gia CNTT và bảo mật rùng mình . Đảm bảo sử dụng SHA-2 (SHA-256) bất cứ khi nào có thể, vì bây giờ nó là tiêu chuẩn.
rubynorails
Cảm ơn rubynorails. Tôi đã chỉnh sửa câu trả lời của mình, ý tôi là SHA1 là mặc định trên makecert (năm 2013 khi tôi viết điều đó, không chắc có phiên bản mới hơn của makecert mà điều này không còn đúng nữa). Tôi sẽ xem liệu chúng tôi có còn sử dụng SHA1 hay không và xem xét liệu có đáng để cố gắng để makecert sử dụng thứ khác và làm lại chứng chỉ của chúng tôi không (nó không dành cho sản phẩm đối mặt với công chúng).
MGOwen
Để Server2003 SP2 chấp nhận (xác minh) chứng chỉ SHA-256, nó yêu cầu một hotfix hỗ trợ khác.microsoft.com / en-us / kb / 938394 . (XP SP2 cũng yêu cầu điều này, nhưng nó đã có SP3 với bản sửa lỗi trước khi hỗ trợ kết thúc.)
dave_thedom_085
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.