Nenhum dos conjuntos de criptografia suportados pelo aplicativo cliente é suportado pelo servidor

8

Estou recebendo este erro no log de eventos do meu servidor:

Um pedido de conexão TLS 1.0 foi recebido de um aplicativo cliente remoto, mas nenhum dos conjuntos de criptografia suportados pelo aplicativo cliente é suportado pelo servidor. A solicitação de conexão SSL falhou.

Quando tento conectar-me a um serviço da Web em uma caixa do Windows 7 a partir de uma caixa do Windows Server 2003.

Como eu adiciono um conjunto de criptografia a um que o outro suporta?

(consertar clientes é o ideal, mas na falta de uma solução de servidor está bem - eu tenho acesso a todas as caixas envolvidas, eu só quero alguma criptografia básica entre eles para privacidade).

Além de horas de pesquisa e leitura, tentei:

  • Visualizador de eventos de janelas do servidor verificado (erro de conjunto de códigos encontrado)
  • Adicionados conjuntos de criptografia ao test1 do link (não ajudou)
  • Adicionou o TLS 1.0 aos protocolos em conjuntos de criptografia no registro do Windows do servidor (sem alteração)
  • Instale as ferramentas do IIS na esperança de adicionar mais protocolos ao Schannel (isso não acontece)
  • Exportar certificado para clientes, novamente, mas com chave privada incluída (sem alteração)
  • Verifique se os conjuntos de criptografia instalados correspondem no servidor e no cliente (não é possível encontrar onde o win2k3 os lista)
  • Adicione TLS_RSA_WITH_AES_256_CBC_SHA (instalado pelo hotfix acima) aos conjuntos de cifras do servidor (não, já lá)
por MGOwen 17.06.2013 / 14:44

2 respostas

-1

A solução foi gerar meu certificado novamente, desta vez forçando o RSA e o SHA1 (embora o SHA1 seja o padrão, de qualquer forma). Por alguma razão, o Win Server 2k3 não podia ou não usaria as cifras corretas com um certificado makecert padrão. Aqui está a linha de comando que funcionou para mim:

makecert -pe -r -ss my -sr localMachine -n "CN = nome_do_domíniooripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Fornecedor Criptográfico Microsoft RSA SChannel" -se 12

Para detalhes, consulte link e link .

    
por 19.06.2013 / 03:25
5

O Windows 7 usa a nova API CNG (Cryptography Next Generation) ao escolher cifras. O CNG para Windows 2003 não está disponível, tanto quanto eu sei.

Você pode, no entanto, instalar esses conjuntos de criptografia baseados em AES para uso no Windows 2003:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Estas são as primeiras suítes que os clientes Windows Vista e Windows 7 tentarão negociar para uso com o TLS 1.0 e superior, e também são suportadas pelos clientes OpenSSL.

Para usá-los, instale o KB948963

    
por 17.06.2013 / 14:57