Nessuna delle suite di crittografia supportata dall'applicazione client è supportata dal server

9

Ricevo questo errore nel registro eventi di Windows del mio server:

È stata ricevuta una richiesta di connessione TLS 1.0 da un'applicazione client remota, ma nessuna delle suite di crittografia supportata dall'applicazione client è supportata dal server. La richiesta di connessione SSL non è riuscita.

Quando provo a connettermi a un servizio Web su una finestra di Windows 7 da una finestra di Windows Server 2003.

Come faccio ad aggiungere una suite di crittografia a una supportata dall'altra?

(La correzione dei client è l'ideale, ma in mancanza di una soluzione server va bene: ho accesso a tutte le caselle coinvolte, voglio solo una crittografia di base tra loro per la privacy).

Insieme a ore di ricerche su Google e lettura, ho provato:

  • Visualizzatore eventi windows server verificato (errore della suite di crittografia trovato)
  • Aggiunte suite di crittografia a test1 da http://support.microsoft.com/kb/948963 (non ha aiutato)
  • Aggiunto TLS 1.0 ai protocolli nelle suite di crittografia nel registro di Windows del server (nessuna modifica)
  • Installa gli strumenti IIS sperando che aggiunga più protocolli a Schannel (non è così)
  • Esporta certificato per client, ancora una volta, ma con chiave privata inclusa (nessuna modifica)
  • Verifica che le suite di crittografia installate corrispondano sul server e sul client (impossibile trovare dove Win2k3 le elenca)
  • Aggiungi TLS_RSA_WITH_AES_256_CBC_SHA (installato dall'aggiornamento rapido sopra) alle suite di crittografia del server (no, già presente)
windows-server-2003  windows-7  tls  ssl 
MGOwen
fonte
@sohnee serverfault.com/questions/166750/… La risposta di Garys a questa domanda va in qualche modo a rispondere che questo è dettaglio.
Drifter104
Probabilmente lo sai già, ma lo posterò comunque per coloro che potrebbero non esserne a conoscenza. Windows 2003 non è più supportato da Microsoft e non riceverà più aggiornamenti. Se stai usando 2k3, dovresti migrare o aggiornare.
Liczyrzepa,
Questo problema è visibile anche su Server 2008 (e probabilmente 2012 anche se non ho ancora SSL sul 2012 qui).
Fenton,

Risposte:

5

Windows 7 utilizza la nuova API CNG (Cryptography Next Generation) per la scelta delle cifre. CNG per Windows 2003 non è disponibile per quanto ne so.

È tuttavia possibile installare queste suite di crittografia basate su AES per l'uso su Windows 2003:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Queste sono le prime suite che i client Windows Vista e Windows 7 proveranno a negoziare per l'utilizzo con TLS 1.0 e versioni successive e sono supportati anche dai client OpenSSL.

Per usarli, installa KB948963

Mathias R. Jessen
fonte
1
Grazie! Avrei dovuto menzionare che l'avevo già provato - non ha risolto il problema per me. Forse l'altro riquadro li rifiuta ancora perché CBC non è più considerato sicuro? Sono nella sua lista delle suite di crittografia, quindi, cos'altro posso fare? :(
MGOwen,
Interessante come funziona la comunità. Ora la risposta migliore per questa domanda è quella che non ha mai funzionato, e la vera risposta è sottovalutata ... Presumo a causa del fatto che SHA1 è stato deprecato alcuni anni dopo che questa domanda è stata a lungo dimenticata. Spero che questa risposta aiuti qualcuno - o nessuno è più costretto a supportare più server 2k3 vincenti ...
MGOwen
1
@MGOwen Mi dispiace non essere stato in grado di aiutarti. Personalmente ho risolto un problema simile al tuo, con l'aggiornamento rapido a cui ho collegato. Speriamo che i voti riflettano il numero di persone che hanno trovato utile questa risposta
Mathias R. Jessen
-1

La soluzione era di generare nuovamente il mio certificato, questa volta forzando RSA e SHA1 (sebbene SHA1 sia comunque il valore predefinito). Per qualche motivo Win Server 2k3 non ha potuto o non ha voluto usare le cifre giuste con un certificato makecert predefinito. Ecco la riga di comando che ha funzionato per me:

makecert -pe -r -ss my -sr localMachine -n ​​"CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Provider crittografico "-sy 12

Per i dettagli, vedere http://mgowen.com/2013/06/19/cipher-suites-issue/ e http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .

MGOwen
fonte
3
sha1 è deprecato. Immagino che il problema sia sorto perché tutte le cifre supportate dal tuo client 2003 sono state deprecate a causa degli sviluppi della sicurezza negli ultimi due anni. Aprendo di nuovo quelle cifre è probabile che si aprano falle di sicurezza. Nota anche che google ti penalizzerà se usi SHA1 per un certificato del sito web. community.qualys.com/blogs/securitylabs/2014/09/09/…
mc0e
1
La frase "SHA1 dovrebbe essere comunque il valore predefinito" è probabilmente vera nel contesto che probabilmente stavi usando, ma come ha detto @ mc0e, è deprecata a causa di problemi di sicurezza e al giorno d'oggi quella frase manderebbe brividi lungo le spine di IT e professionisti della sicurezza . Assicurati di usare SHA-2 (SHA-256) quando possibile, poiché è lo standard ora.
rubynorails,
Grazie rubynorails. Ho modificato la mia risposta, intendevo dire che SHA1 era l'impostazione predefinita su makecert (nel 2013 quando l'ho scritto, non sono sicuro che ci siano versioni più recenti di makecert per le quali non è più il caso). Vedrò se usiamo ancora SHA1 e prenderemo in considerazione la possibilità di provare a fare in modo che Makecert usi qualcos'altro e faccia di nuovo i nostri certificati (non è per un prodotto pubblico).
MGOwen
Affinché Server2003 SP2 accetti (verifica) un certificato SHA-256, richiede un altro aggiornamento rapido support.microsoft.com/en-us/kb/938397 . (Anche XP SP2 ha richiesto questo, ma ha ottenuto SP3 con la correzione prima della fine del supporto.)
dave_thompson_085
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.