TLS 1. 2 client hello запускает сброс TCP из 2012 R2

Борюсь с реализацией PKI в моей лаборатории (ADCS 2012 R2) и не могу, хоть убей, понять, где я ошибся.

Дошло до того, что можно было сгенерировать сертификаты SSL / TLS для сервера IIS и выполнить привязку. Также использовался инструмент NARTAC для отключения SSLv2 / 3 + включить TLS 1.0-1.2. Используя testssl.sh, я могу проверить, что SSL отключен и могу получить подтверждение для TLS 1.0 и 1.1, но каждый раз, когда получено приветствие клиента для TLS 1.2, сервер отправляет TCP Reset. Системные журналы показывают пару идентификаторов ошибок SCHANNEL 36874 и 36888, которые соответствуют сбросам. Ошибка 36874 предполагает, что клиент hello представляет наборы шифров, которые не поддерживаются сервером.

Здесь я наткнулся на кирпичную стену, и мой поиск в сети не дал результата. Я могу почти гарантировать, что упустил из виду что-то совершенно очевидное. Однако шоры разочарования мешают мне увидеть это.

Мысли?

Подробности приветствия клиента:

Кадр 136: 377 байтов по проводам (3016 бит), 377 байтов захвачено (3016 бит) на интерфейсе 0 Ethernet II, Src: CiscoInc_07: be: 7f (fc: 5b: 39: 07: be: 7f), Dst: Vmware_01: 02: 14 (00: 50: 56: 01: 02: 14) Интернет Версия протокола 4, Src: 192.168.6.75, Dst: 10.22.163.219 Передача Протокол управления, порт Src: 35836 (35836), порт Dst: 443 (443), Seq: 1, Ack: 1, Len: 311 Уровень защищенных сокетов Уровень записи SSL: протокол установления связи: клиент Hello Тип содержимого: рукопожатие (22) Версия: TLS 1.0 (0x0301) Длина: 306 Протокол рукопожатия: клиент Hello Тип рукопожатия: Привет клиенту (1) Длина: 302 Версия: TLS 1.2 (0x0303) Случайный Длина идентификатора сеанса: 0 Длина набора шифров: 176 Cipher Suites (88 номеров) Комплект шифров: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Комплект шифров: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Комплект шифров: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) Комплект шифров: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024) Комплект шифров: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Комплект шифров: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Комплект шифров: TLS_DH_DSS_WITH_AES_256_GCM_SHA384 (0x00a5) Комплект шифров: TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (0x00a3) Комплект шифров: TLS_DH_RSA_WITH_AES_256_GCM_SHA384 (0x00a1) Комплект шифров: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f) Комплект шифров: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006b) Комплект шифров: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a) Комплект шифров: TLS_DH_RSA_WITH_AES_256_CBC_SHA256 (0x0069) Комплект шифров: TLS_DH_DSS_WITH_AES_256_CBC_SHA256 (0x0068) Комплект шифров: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039) Комплект шифров: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038) Комплект шифров: TLS_DH_RSA_WITH_AES_256_CBC_SHA (0x0037) Комплект шифров: TLS_DH_DSS_WITH_AES_256_CBC_SHA (0x0036) Комплект шифров: TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0088) Комплект шифров: TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA (0x0087) Комплект шифров: TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0086) Комплект шифров: TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA (0x0085) Комплект шифров: TLS_GOSTR341001_WITH_28147_CNT_IMIT (0x0081) Комплект шифров: TLS_GOSTR341094_WITH_28147_CNT_IMIT (0x0080) Комплект шифров: TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 (0xc032) Комплект шифров: TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02e) Комплект шифров: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 (0xc02a) Комплект шифров: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 (0xc026) Комплект шифров: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA (0xc00f) Комплект шифров: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA (0xc005) Комплект шифров: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d) Комплект шифров: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d) Комплект шифров: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) Комплект шифров: TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0084) Комплект шифров: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Комплект шифров: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Комплект шифров: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) Комплект шифров: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023) Комплект шифров: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Комплект шифров: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Комплект шифров: TLS_DH_DSS_WITH_AES_128_GCM_SHA256 (0x00a4) Комплект шифров: TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (0x00a2) Комплект шифров: TLS_DH_RSA_WITH_AES_128_GCM_SHA256 (0x00a0) Комплект шифров: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e) Комплект шифров: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067) Комплект шифров: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040) Комплект шифров: TLS_DH_RSA_WITH_AES_128_CBC_SHA256 (0x003f) Комплект шифров: TLS_DH_DSS_WITH_AES_128_CBC_SHA256 (0x003e) Комплект шифров: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033) Комплект шифров: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032) Комплект шифров: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031) Комплект шифров: TLS_DH_DSS_WITH_AES_128_CBC_SHA (0x0030) Комплект шифров: TLS_DHE_RSA_WITH_SEED_CBC_SHA (0x009a) Комплект шифров: TLS_DHE_DSS_WITH_SEED_CBC_SHA (0x0099) Комплект шифров: TLS_DH_RSA_WITH_SEED_CBC_SHA (0x0098) Комплект шифров: TLS_DH_DSS_WITH_SEED_CBC_SHA (0x0097) Комплект шифров: TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0045) Комплект шифров: TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA (0x0044) Комплект шифров: TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0043) Комплект шифров: TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA (0x0042) Комплект шифров: TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 (0xc031) Комплект шифров: TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02d) Комплект шифров: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 (0xc029) Комплект шифров: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 (0xc025) Комплект шифров: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA (0xc00e) Комплект шифров: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004) Комплект шифров: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c) Комплект шифров: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) Комплект шифров: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) Комплект шифров: TLS_RSA_WITH_SEED_CBC_SHA (0x0096) Комплект шифров: TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0041) Комплект шифров: TLS_RSA_WITH_IDEA_CBC_SHA (0x0007) Комплект шифров: TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) Комплект шифров: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA (0xc007) Комплект шифров: TLS_ECDH_RSA_WITH_RC4_128_SHA (0xc00c) Комплект шифров: TLS_ECDH_ECDSA_WITH_RC4_128_SHA (0xc002) Комплект шифров: TLS_RSA_WITH_RC4_128_SHA (0x0005) Комплект шифров: TLS_RSA_WITH_RC4_128_MD5 (0x0004) Комплект шифров: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012) Комплект шифров: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008) Комплект шифров: TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x0016) Комплект шифров: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013) Комплект шифров: TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA (0x0010) Комплект шифров: TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA (0x000d) Комплект шифров: TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA (0xc00d) Комплект шифров: TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc003) Комплект шифров: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) Комплект шифров: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff) Методы сжатия Длина: 1 Методы сжатия (1 метод) Длина удлинителей: 85 Расширение: ec_point_formats Расширение: elliptic_curves Расширение: SessionTicket TLS Расширение: signature_algorithms Тип: signature_algorithms (0x000d) Длина: 32 Длина алгоритмов хеширования подписи: 30 Алгоритмы хеширования подписи (15 алгоритмов) Расширение: Heartbeat

И сброс TCP:

137 2.086290 10.22.163.219 192.168.6.75 TCP 54 443 → 35836 [RST, ACK] Seq = 1 Ack = 312 Win = 0 Len = 0 Кадр 137: 54 байта на проводе (432 бита), 54 захвачено байтов (432 бита) на интерфейсе 0 Ethernet II, Src: Vmware_01: 02: 14 (00: 50: 56: 01: 02: 14), Dst: IETF-VRRP-VRID_19 (00: 00: 5e: 00: 01: 19) Интернет-протокол версии 4, Src: 10.22.163.219, Dst: 192.168.6.75 Протокол управления передачей, порт Src: 443 (443), Порт Dst: 35836 (35836), Seq: 1, Ack: 312, Len: 0 Исходный порт: 443 Порт назначения: 35836 [Индекс потока: 3] [Длина сегмента TCP: 0] Порядковый номер: 1 (относительный порядковый номер) Номер подтверждения: 312 (относительный номер подтверждения) Длина заголовка: 20 байт Флаги: 0x014 (RST, ACK) Значение размера окна: 0 [Расчетный размер окна: 0] [Коэффициент масштабирования размера окна: 256] Контрольная сумма: 0x74ff [проверка отключена] Срочный указатель: 0 [Анализ SEQ / ACK]

SCHANNEL 36874

Имя журнала: Источник системы: Дата канала: 5/4/2016 9:48:36 Код события: 36874 Категория задачи: Нет Уровень:
Ключевые слова ошибки: Пользователь: SYSTEM Computer:
OCSP.corp.contoso.com Описание: запрос подключения TLS 1.2 был получено от удаленного клиентского приложения, но не зашифровано наборы, поддерживаемые клиентским приложением, поддерживаются сервер. Запрос на соединение SSL не выполнен.

SCHANNEL 36888:

Имя журнала: Системный источник: Дата канала: 5/4/2016 9:48:36 Код события: 36888 Категория задачи: Нет Уровень:
Ключевые слова ошибки: Пользователь: SYSTEM Computer:
OCSP.corp.contoso.com Описание: было создано критическое предупреждение и отправлено на удаленную конечную точку. Это может привести к прекращению подключение. Код фатальной ошибки протокола TLS - 40. Состояние ошибки Windows SChannel - 1205.

РЕДАКТИРОВАТЬ 1

Обнаружено, что я могу успешно заставить сервер IIS 2012 R2 2012 R2, не подключенный к домену, ответить на приветственный пакет TLS 1.2. Итак, моя проблема, похоже, связана с системой, присоединенной к домену. До сих пор не решил эту часть уравнения.