Ich erhalte diesen Fehler im Windows-Ereignisprotokoll meines Servers:
Eine TLS 1.0-Verbindungsanforderung wurde von einer Remoteclientanwendung empfangen, aber keine der von der Clientanwendung unterstützten Cipher Suites wird vom Server unterstützt. Die SSL-Verbindungsanforderung ist fehlgeschlagen.
Wenn ich versuche, über eine Windows Server 2003-Box eine Verbindung zu einem Webdienst auf einer Windows 7-Box herzustellen.
Wie füge ich einer von der anderen unterstützten eine Verschlüsselungssuite hinzu?
(Das Reparieren von Clients ist ideal, aber wenn eine Serverlösung nicht in Ordnung ist, habe ich Zugriff auf alle beteiligten Boxen. Ich möchte aus Datenschutzgründen nur eine grundlegende Verschlüsselung zwischen ihnen.)
Zusammen mit stundenlangem googeln und lesen habe ich versucht:
- Überprüfte Server-Windows-Ereignisanzeige (Fehler in der Cipher Suite gefunden)
- Es wurden Cipher Suites zu test1 von http://support.microsoft.com/kb/948963 hinzugefügt (hat nicht geholfen)
- TLS 1.0 zu Protokollen in Cipher Suites in der Windows-Registrierung des Servers hinzugefügt (keine Änderung)
- Installieren Sie IIS-Tools in der Hoffnung, dass Schannel um weitere Protokolle erweitert wird (dies ist nicht der Fall).
- Exportzertifikat für Clients erneut, jedoch mit privatem Schlüssel (keine Änderung)
- Überprüfen Sie, ob die installierten Cipher Suites auf Server und Client übereinstimmen (kann nicht finden, wo win2k3 sie auflistet).
- Fügen Sie TLS_RSA_WITH_AES_256_CBC_SHA (installiert durch den obigen Hotfix) zu den Cipher Suites des Servers hinzu (nein, bereits vorhanden).
quelle
Antworten:
Windows 7 verwendet bei der Auswahl von Chiffren die neue CNG-API (Cryptography Next Generation). CNG für Windows 2003 ist meines Wissens nicht verfügbar.
Sie können diese AES-basierten Cipher Suites jedoch für die Verwendung unter Windows 2003 installieren:
Dies sind die ersten Suites, die Windows Vista- und Windows 7-Clients versuchen, für die Verwendung mit TLS 1.0 und höher auszuhandeln. Sie werden auch von OpenSSL-Clients unterstützt.
Um diese zu verwenden, installieren Sie KB948963
quelle
Die Lösung bestand darin, mein Zertifikat erneut zu generieren und diesmal RSA und SHA1 zu erzwingen (obwohl SHA1 sowieso die Standardeinstellung ist). Aus irgendeinem Grund konnte oder wollte Win Server 2k3 nicht die richtigen Chiffren mit einem Standard-Makecert-Zertifikat verwenden. Hier ist die Befehlszeile, die für mich funktioniert hat:
makecert -pe -r -ss my -sr localMachine -n "CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Kryptografieanbieter "-sy 12
Weitere Informationen finden Sie unter http://mgowen.com/2013/06/19/cipher-suites-issue/ und http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .
quelle