클라이언트 응용 프로그램에서 지원하는 암호 스위트가 서버에서 지원되지 않습니다

9

서버의 Windows 이벤트 로그에이 오류가 발생합니다.

TLS 1.0 연결 요청이 원격 클라이언트 애플리케이션에서 수신되었지만 클라이언트 애플리케이션이 지원하는 암호화 스위트가 서버에서 지원되지 않습니다. SSL 연결 요청이 실패했습니다.

Windows Server 2003 상자에서 Windows 7 상자의 웹 서비스에 연결하려고합니다.

다른 하나가 지원하는 암호 모음을 어떻게 추가합니까?

(클라이언트를 고정하는 것이 이상적이지만 서버 솔루션이 제대로 작동하지 않는 경우-관련된 모든 상자에 액세스 할 수 있으며 개인 정보 보호를 위해 그들 사이에 기본적인 암호화가 필요합니다).

몇 시간의 인터넷 검색 및 읽기와 함께 다음을 시도했습니다.

  • 확인 된 서버 창 이벤트 뷰어 (발견 된 암호 스위트 오류)
  • http://support.microsoft.com/kb/948963 에서 test1에 암호화 제품군을 추가했습니다 (도움이 없음).
  • 서버의 Windows 레지스트리에있는 암호화 제품군의 프로토콜에 TLS 1.0을 추가했습니다 (변경 사항 없음).
  • Schannel에 더 많은 프로토콜을 추가 할 것으로 기대하는 IIS 도구 설치 (그렇지 않음)
  • 클라이언트 용 인증서를 다시 내보내지만 개인 키가 포함 된 경우 (변경 사항 없음)
  • 설치된 암호 스위트가 서버 및 클라이언트에서 일치하는지 확인하십시오 (win2k3이 나열한 위치를 찾을 수 없음)
  • TLS_RSA_WITH_AES_256_CBC_SHA (위의 핫픽스에 의해 설치됨)를 서버의 암호화 제품군에 추가
windows-server-2003  windows-7  tls  ssl 
MGOwen
소스
@sohnee serverfault.com/questions/166750/… 이 질문에 대한 Garys의 답변은 자세한 내용에 대한 답변을 제공합니다.
Drifter104
당신은 아마 이것을 이미 알고있을 것입니다. Windows 2003은 더 이상 Microsoft에서 지원 하지 않으며 더 이상 업데이트를받지 않습니다. 2k3을 사용하는 경우 마이그레이션하거나 업그레이드해야합니다.
Liczyrzepa
이 문제는 Server 2008에서도 볼 수 있습니다 (2012 년에는 아직 SSL을 얻지 못했지만 2012 일 것입니다).
Fenton

답변:

5

Windows 7은 암호를 선택할 때 새로운 CNG (Cryptography Next Generation) API를 사용합니다. 내가 아는 한 Windows 2003 용 CNG를 사용할 수 없습니다.

그러나 Windows 2003에서 사용하기 위해 이러한 AES 기반 암호 제품군을 설치할 수 있습니다.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

이들은 Windows Vista 및 Windows 7 클라이언트가 TLS 1.0 이상에서 사용하기 위해 협상하려고 시도하는 첫 번째 제품군이며 OpenSSL 클라이언트에서도 지원됩니다.

이를 사용하려면 KB948963을 설치 하십시오.

마티아스 알 제시
소스
1
감사! 나는 이미 그것을 시도했다고 언급 했어야했다. 그것은 나를 위해 문제를 해결하지 못했다. CBC가 더 이상 안전한 것으로 간주되지 않기 때문에 다른 상자가 여전히 거부 할 수 있습니까? 그들은 암호 그룹 목록에 있습니다. 그래서 다른 무엇을 할 수 있습니까? :(
MGOwen
커뮤니티가 어떻게 작동하는지 흥미 롭습니다. 이제이 질문에 대한 최고의 답변은 결코 효과가 없었으며 실제 답변은 다운 투표되었습니다 ...이 질문을 오랫동안 잊어 버린 몇 년 후에 SHA1이 더 이상 사용되지 않기 때문에 가정합니다. 이 답변이 누군가에게 도움이 되었으면합니다. 그렇지 않으면 아무도 2k3 서버를 더 이상 지원할 수 없습니다.
MGOwen
1
@MGOwen 도와 드릴 수 없어서 죄송합니다. 내가 연결된 핫픽스를 사용하여 귀하와 유사한 문제를 개인적으로 해결했습니다. 바라건대, upvotes는이 답변이 유용하다고 생각한 사람들의 수를 반영합니다
Mathias R. Jessen
-1

해결책은 RSA와 SHA1을 강제로 내 인증서를 다시 생성하는 것이 었습니다 (하지만 SHA1이 기본값이지만). 어떤 이유로 Win Server 2k3은 기본 makecert 인증서로 올바른 암호를 사용할 수 없거나 사용할 수 없습니다. 나를 위해 일한 명령 줄은 다음과 같습니다.

makecert -pe -r -ss my -sr localMachine -n ​​"CN = domainnameoripaddressgoeshere.com"-e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel 암호화 공급자 "-sy 12

자세한 내용은 http://mgowen.com/2013/06/19/cipher-suites-issue/http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx 를 참조하십시오 . .

MGOwen
소스
3
sha1은 더 이상 사용되지 않습니다. 지난 몇 년 동안 보안 개발로 인해 2003 클라이언트에서 지원하는 모든 암호가 더 이상 사용되지 않기 때문에 문제가 발생한 것 같습니다. 암호를 다시 열면 보안 허점이 생길 수 있습니다. 또한 웹 사이트 인증서로 SHA1을 사용하면 Google에서 불이익을받습니다. community.qualys.com/blogs/securitylabs/2014/09/09/…
mc0e
1
"SHA1은 기본 설정이어야합니다."라는 문구는 아마도 사용하고있는 상황에서 사실 일 것입니다. 그러나 @ mc0e가 말했듯이 보안 문제로 인해 더 이상 사용되지 않으며, 오늘날에는 IT 및 보안 전문가의 관심을 끌고 있습니다. . 가능한 한 항상 SHA-2 (SHA-256)를 표준으로 사용하십시오.
rubynorails
감사합니다 rubynorails. 내 대답을 편집했습니다 .SHA1이 makecert의 기본값임을 의미했습니다 (2013 년에 작성했을 때 더 이상 해당되지 않는 최신 makecert 버전이 있는지 확실하지 않음). 우리가 여전히 SHA1을 사용하고 있는지 확인하고 makecert가 다른 것을 사용하고 인증서를 다시 시도 할 가치가 있는지 살펴볼 것입니다 (공개 제품이 아닙니다).
MGOwen
Server2003 SP2에서 SHA-256 인증서 를 수락 (확인)하려면 다른 핫픽스 support.microsoft.com/en-us/kb/938397 이 필요 합니다 . (XP SP2는 또한이 필요하지만 지원이 종료하기 전에 수정 프로그램에 SP3를 얻었다.)
dave_thompson_085
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.