클라이언트 응용 프로그램에서 지원하는 암호 스위트가 서버에서 지원되지 않습니다 Windows 이벤트 로그에이 오류가

서버의 Windows 이벤트 로그에이 오류가 발생합니다.

TLS 1.0 연결 요청이 원격 클라이언트 애플리케이션에서 수신되었지만 클라이언트 애플리케이션이 지원하는 암호화 스위트가 서버에서 지원되지 않습니다. SSL 연결 요청이 실패했습니다.

Windows Server 2003 상자에서 Windows 7 상자의 웹 서비스에 연결하려고합니다.

다른 하나가 지원하는 암호 모음을 어떻게 추가합니까?

(클라이언트를 고정하는 것이 이상적이지만 서버 솔루션이 제대로 작동하지 않는 경우-관련된 모든 상자에 액세스 할 수 있으며 개인 정보 보호를 위해 그들 사이에 기본적인 암호화가 필요합니다).

몇 시간의 인터넷 검색 및 읽기와 함께 다음을 시도했습니다.

  • 확인 된 서버 창 이벤트 뷰어 (발견 된 암호 스위트 오류)
  • http://support.microsoft.com/kb/948963 에서 test1에 암호화 제품군을 추가했습니다 (도움이 없음).
  • 서버의 Windows 레지스트리에있는 암호화 제품군의 프로토콜에 TLS 1.0을 추가했습니다 (변경 사항 없음).
  • Schannel에 더 많은 프로토콜을 추가 할 것으로 기대하는 IIS 도구 설치 (그렇지 않음)
  • 클라이언트 용 인증서를 다시 내보내지만 개인 키가 포함 된 경우 (변경 사항 없음)
  • 설치된 암호 스위트가 서버 및 클라이언트에서 일치하는지 확인하십시오 (win2k3이 나열한 위치를 찾을 수 없음)
  • TLS_RSA_WITH_AES_256_CBC_SHA (위의 핫픽스에 의해 설치됨)를 서버의 암호화 제품군에 추가


답변

Windows 7은 암호를 선택할 때 새로운 CNG (Cryptography Next Generation) API를 사용합니다. 내가 아는 한 Windows 2003 용 CNG를 사용할 수 없습니다.

그러나 Windows 2003에서 사용하기 위해 이러한 AES 기반 암호 제품군을 설치할 수 있습니다.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

이들은 Windows Vista 및 Windows 7 클라이언트가 TLS 1.0 이상에서 사용하기 위해 협상하려고 시도하는 첫 번째 제품군이며 OpenSSL 클라이언트에서도 지원됩니다.

이를 사용하려면 KB948963을 설치 하십시오.


답변

해결책은 RSA와 SHA1을 강제로 내 인증서를 다시 생성하는 것이 었습니다 (하지만 SHA1이 기본값이지만). 어떤 이유로 Win Server 2k3은 기본 makecert 인증서로 올바른 암호를 사용할 수 없거나 사용할 수 없습니다. 나를 위해 일한 명령 줄은 다음과 같습니다.

makecert -pe -r -ss my -sr localMachine -n ​​”CN = domainnameoripaddressgoeshere.com”-e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp “Microsoft RSA SChannel 암호화 공급자 “-sy 12

자세한 내용은 http://mgowen.com/2013/06/19/cipher-suites-issue/http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx 를 참조하십시오 . .


답변