Estou recebendo esse erro no log de eventos do Windows do meu servidor:
Uma solicitação de conexão TLS 1.0 foi recebida de um aplicativo cliente remoto, mas nenhum dos conjuntos de cifras suportados pelo aplicativo cliente é suportado pelo servidor. A solicitação de conexão SSL falhou.
Quando tento conectar-me a um serviço da Web em uma caixa do Windows 7 a partir de uma caixa do Windows Server 2003.
Como adiciono um conjunto de criptografia a um que o outro suporta?
(corrigir clientes é o ideal, mas, na falta de uma solução de servidor - eu tenho acesso a todas as caixas envolvidas, só quero uma criptografia básica entre eles para privacidade).
Junto com horas de pesquisa e leitura, tentei:
- Visualizador de eventos do Windows verificado do servidor (erro encontrado no conjunto de cifras)
- Pacotes de cifras adicionados ao test1 em http://support.microsoft.com/kb/948963 (não ajudou)
- Adicionado TLS 1.0 aos protocolos em conjuntos de criptografia no registro do Windows do servidor (sem alterações)
- Instale as ferramentas do IIS na esperança de adicionar mais protocolos ao Schannel (isso não acontece)
- Certificado de exportação para clientes, novamente, mas com chave privada incluída (sem alteração)
- Verifique se os conjuntos de cifras instalados correspondem no servidor e no cliente (não consegue encontrar onde o win2k3 os lista)
- Adicione TLS_RSA_WITH_AES_256_CBC_SHA (instalado pelo hotfix acima) aos conjuntos de cifras do servidor (não, já estão lá)
windows-server-2003
windows-7
tls
ssl
MGOwen
fonte
fonte
Respostas:
O Windows 7 usa a nova API CNG (Cryptography Next Generation) ao escolher cifras. O CNG para Windows 2003 não está disponível até onde eu sei.
No entanto, você pode instalar esses conjuntos de criptografia baseados em AES para uso no Windows 2003:
Esses são os primeiros pacotes que os clientes Windows Vista e Windows 7 tentam negociar para usar com o TLS 1.0 e superior e também são suportados pelos clientes OpenSSL.
Para usá-los, instale o KB948963
fonte
A solução foi gerar meu certificado novamente, desta vez forçando RSA e SHA1 (embora SHA1 seja o padrão de qualquer maneira). Por alguma razão, o Win Server 2k3 não poderia ou não usaria as cifras corretas com um certificado makecert padrão. Aqui está a linha de comando que funcionou para mim:
makecert -pe -r -ss my -sr localMachine -n "CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Fornecedor de criptografia "-sy 12
Para obter detalhes, consulte http://mgowen.com/2013/06/19/cipher-suites-issue/ e http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .
fonte