TLS 1.1+ нарушает TFS 2013
Недавно мы внесли изменения в реестр, чтобы заставить нашу систему использовать только TLS 1.1 и 1.2 и отключить все TLS 1.0 и ниже. После изменения большинство наших сервисов в порядке, кроме TFS 2013, и я не могу найти для него исправление. Веб-приложение доступно по https, но у разработчиков возникают проблемы с возвратом из Visual Studio 2017. Попытка сборки помещается в очередь, а затем завершается неудачей после запуска в течение нескольких минут. Что еще более странно, у меня также возникают проблемы с консолью администратора TFS. Несмотря на то, что веб-приложение доступно в консоли администратора, я получаю ошибки и не могу открыть «Членство в группе», «Администрирование безопасности» или проверить URL-адреса в разделе «Изменить URL-адреса».
Все сертификаты сервера и привязки IIS настроены правильно для TLS 1.1+ (как я уже сказал, веб-приложение доступно), и я уверен, что изменения в реестре, чтобы включить TLS 1.1+ и отключить все остальные, являются причиной, потому что откат назад изменения устранили все проблемы.
Кто-нибудь знает, что здесь происходит и как это исправить?
У меня сегодня была такая же проблема. См. http://www.diaryofaninja.com/blog/2016/02/28/pci-compliant-web-deploy-getting-webdeploy-working-after-disables-insecure-ciphers-like-ssl-30 -and-tls-10
Это решило проблему для нас.
В случае, если указанная выше ссылка станет неработающей в будущем, вот решение:
.NET имеет параметр под названием «useStrongCrypto», который позволяет клиентский ПК для использования TLS 1.1 и выше. По умолчанию он не включен. Чтобы заставить .NET использовать эту функцию, необходимо внести 2 или более правок в реестр. Эти ключи, скорее всего, не существуют, поэтому их нужно будет добавить, или, если они существуют, они будут иметь значение 0.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319\SchUseStrongCrypto = 00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319\SchUseStrongCrypto = 00000001
В .NETFramework второго может быть несколько ключей, в зависимости от того, какие версии .NET установлены. Рекомендуется добавить SchUseStrongCrypto под каждый из них, чтобы избежать проблем в будущем. Если / когда будет установлена новая версия .NET, возможно, придется сделать это снова.