Tidak ada suite sandi yang didukung oleh aplikasi klien yang didukung oleh server

9

Saya mendapatkan kesalahan ini di log peristiwa windows server saya:

Permintaan koneksi TLS 1.0 diterima dari aplikasi klien jarak jauh, tetapi tidak ada suite sandi yang didukung oleh aplikasi klien yang didukung oleh server. Permintaan koneksi SSL telah gagal.

Ketika saya mencoba untuk terhubung ke layanan web pada kotak windows 7 dari kotak windows server 2003.

Bagaimana cara menambahkan cipher suite ke salah satu yang didukung yang lain?

(memperbaiki klien itu ideal, tetapi gagal karena solusi server baik-baik saja - Saya memiliki akses ke semua kotak yang terlibat, saya hanya ingin beberapa enkripsi dasar di antara mereka untuk privasi).

Seiring dengan jam googling dan membaca, saya telah mencoba:

  • Pengecek acara windows server yang diperiksa (ditemukan kesalahan suite sandi)
  • Menambahkan suite sandi ke test1 dari http://support.microsoft.com/kb/948963 (tidak membantu)
  • Menambahkan TLS 1.0 ke protokol di cipher suites di registry windows server (tidak ada perubahan)
  • Instal alat IIS berharap yang menambahkan lebih banyak protokol ke Schannel (tidak)
  • Ekspor sertifikat untuk klien, lagi, tetapi dengan kunci pribadi disertakan (tidak ada perubahan)
  • Periksa kecocokan cipher suite yang diinstal pada server dan klien (tidak dapat menemukan di mana win2k3 mencantumkannya)
  • Tambahkan TLS_RSA_WITH_AES_256_CBC_SHA (diinstal oleh perbaikan terbaru di atas) ke suite sandi server (tidak, sudah ada di sana)
windows-server-2003 windows-7 tls ssl MGOwen
sumber
@sohnee serverfault.com/questions/166750/... Garys menjawab pertanyaan ini dengan beberapa cara untuk menjawab ini detail.
Drifter104
Anda mungkin sudah mengetahui hal ini, tetapi saya tetap akan mempostingnya bagi mereka yang mungkin tidak sadar. Windows 2003 tidak lagi didukung oleh Microsoft dan tidak akan lagi menerima pembaruan. Jika Anda menggunakan 2k3, Anda harus bermigrasi atau meningkatkan.
Liczyrzepa
Masalah ini juga terlihat pada Server 2008 (dan mungkin 2012 meskipun saya belum mendapatkan SSL pada 2012 di sini).
Fenton

Jawaban:

5

Windows 7 menggunakan API CNG (Cryptography Next Generation) baru ketika memilih cipher. CNG untuk Windows 2003 tidak tersedia sejauh yang saya tahu.

Namun Anda dapat, menginstal suite sandi berbasis AES ini untuk digunakan pada Windows 2003:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Ini adalah suite pertama klien Windows Vista dan Windows 7 akan mencoba bernegosiasi untuk digunakan dengan TLS 1.0 dan di atasnya, dan juga didukung oleh klien OpenSSL.

Untuk menggunakan ini, instal KB948963

Mathias R. Jessen
sumber
1
Terima kasih! Saya seharusnya mengatakan bahwa saya sudah mencobanya - itu tidak menyelesaikan masalah bagi saya. Mungkin kotak lain masih menolaknya karena CBC tidak lagi dianggap aman? Mereka ada di daftar cipher suites, jadi apa lagi yang bisa saya lakukan? :(
MGOwen
Menarik bagaimana komunitas bekerja. Sekarang jawaban teratas untuk pertanyaan ini adalah salah satu yang tidak pernah berhasil, dan jawaban sebenarnya diturunkan ... Saya berasumsi karena SHA1 tidak digunakan lagi beberapa tahun setelah pertanyaan ini lama terlupakan. Semoga jawaban ini membantu seseorang - atau tidak ada seorang pun yang dipaksa untuk mendukung server win 2k3 lagi ...
MGOwen
1
@ MOGOwen saya minta maaf saya tidak bisa membantu Anda. Saya pribadi telah memecahkan masalah yang serupa dengan masalah Anda, dengan perbaikan terbaru yang saya tautkan. Mudah-mudahan, upvotes mencerminkan jumlah orang yang menemukan jawaban ini berguna
Mathias R. Jessen
-1

Solusinya adalah untuk menghasilkan sertifikat saya lagi, kali ini memaksa RSA dan SHA1 (meskipun SHA1 adalah defaultnya). Untuk beberapa alasan, Win Server 2k3 tidak bisa atau tidak akan menggunakan sandi yang tepat dengan sertifikat makecert default. Inilah baris perintah yang berfungsi untuk saya:

makecert -pe -r -ss my -sr localMachine -n ​​"CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sukar pertukaran -sp "Microsoft RSA SChannel Penyedia Kriptografi "-sy 12

Untuk perincian, lihat http://mgowen.com/2013/06/19/cipher-suites-issue/ dan http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .

MGOwen
sumber
3
sha1 sudah usang. Saya menduga masalah muncul karena semua cipher yang didukung oleh klien 2003 Anda sudah usang karena perkembangan keamanan selama beberapa tahun terakhir. Pembukaan sandi Anda lagi kemungkinan besar akan membuka celah keamanan. Perhatikan juga bahwa Google akan menghukum Anda jika Anda menggunakan SHA1 untuk sertifikat situs web. community.qualys.com/blogs/securitylabs/2014/09/09/…
mc0e
1
Ungkapan "SHA1 harus menjadi default, bagaimanapun juga" sepertinya benar dalam konteks yang mungkin Anda gunakan, tetapi seperti yang dikatakan @ mc0e, kata itu sudah tidak berlaku lagi karena masalah keamanan, dan saat ini frasa itu akan membuat para profesional TI dan profesional keamanan menggigil. . Pastikan untuk menggunakan SHA-2 (SHA-256) bila memungkinkan, karena ini adalah standar sekarang.
rubynorails
Terima kasih rubynorails. Saya telah mengedit jawaban saya, maksud saya SHA1 adalah default pada makecert (pada 2013 ketika saya menulis itu, tidak yakin apakah ada versi makecert yang lebih baru yang tidak lagi menjadi masalah). Saya akan melihat apakah kami masih menggunakan SHA1 dan mempertimbangkan untuk melihat apakah layak mencoba membuat makecert untuk menggunakan sesuatu yang lain dan melakukan sertifikat kami lagi (ini bukan untuk produk yang menghadap publik).
MGOwen
Untuk Server2003 SP2 untuk menerima (memverifikasi) sertifikat SHA-256 memerlukan lain hotfix support.microsoft.com/en-us/kb/938397 . (XP SP2 juga mensyaratkan ini, tetapi ia mendapatkan SP3 dengan perbaikan sebelum dukungan berakhir.)
dave_thompson_085