Pedido do cipher suite do Exchange 2007

5

Estou com problemas para receber e-mails criptografados por TLS de um domínio específico. Firmamos um contrato para usar uma codificação de 256 bits e, aparentemente, o nosso servidor Exchange 2007 no Windows Server 2003 não oferece isso como uma opção, portanto, tudo está sendo rejeitado por oferecer apenas criptografia de 128 bits.

Em vez de fazê-los mudar as coisas, eu gostaria de resolver isso no nosso. Eu encontrei um hotfix que me permite adicionar cifras AES de 256 bits à lista de cifras disponíveis. Eu instalei o hotfix, mas ele não resolveu meu problema.

Depois de ler este artigo , estou suspeitando que a ordem de codificação do nosso servidor Exchange 2007 está oferecendo criptografia de 128 bits primeiro e, em seguida, o servidor remoto está fazendo a conexão RSET quando fazemos assim. Gostaria de verificar se o nosso servidor está oferecendo a opção de criptografia de 256 bits primeiro.

A Configuração do computador | Modelos Administrativos | Rede | Configurações de Configuração SSL | A chave SSL Order Cipher Suite não existe na minha caixa Exchange do Windows Server 2003, por isso não posso modificá-la.

ALGUÉM tem alguma dica sobre como resolver esse problema?

    
por pk. 22.03.2011 / 18:31

2 respostas

4

Aparentemente, não é possível reordenar o SSL Cipher Suite. Meu Windows Server 2003 servidor do Exchange 2007 sempre oferecerá para sempre o AES-128 antes do AES-256, a menos que eu desative o uso do AES-128, modificando a seguinte chave de registro.

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128 : DWORD Enabled=0x0

Com o Windows Server 2008, você pode apenas alterar a Ordem do conjunto de codificação SSL .

    
por 22.03.2011 / 22:03
2

Eu sei que este é um post antigo, mas talvez ajude alguém. Aqui está como alterar a ordem de cifra para 2008. Eu tive esse mesmo problema que me levou meses para trabalhar entre a Microsoft eo outro lado que exigia AES 256. O outro lado não poderia nem me dizer como fazer isso. Eu tive que ser encaminhado em torno da Microsoft por semanas 19 vezes antes de eu conseguir isso:

Na sua cabeça de ponte do Exchange: gpedit.msc > Política de computador local > Configuração do Computador > Modelos administrativos > Rede > Configurações de configuração SSL > Pedido de conjunto de codificação SSL > Ativado

Recorte o que está no campo "SSL Ciper Suites" (cole no bloco de notas para manter em segurança) e copie o seguinte no campo "SSL Cipher Suites" (não se preocupe, tudo vai caber)

TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA

Pode ser necessário reiniciar alguns serviços ou reinicializar o servidor. Espero que funcione.

    
por 11.03.2012 / 01:29