Почему Набор шифров SSL Окна становится ограниченным в соответствии с определенными сертификатами SSL?
Я никогда не пробовал его, но я "услышал", что использование сервера Apache с "записываемым" веб-сайтом является модной вещью сделать (защитите его с брандмауэром), использование чего-то вроде этого: http://www.g-loaded.eu/2008/12/09/making-a-directory-writable-by-the-webserver/
Кроме того, Windows7/Vista позволяет Вам MAP диска по протоколу FTP. Это - то, что я рекомендовал бы, если Вы используете Windows 7: http://www.redmondpie.com/access-ftp-sites-natively-in-windows-7/
Если сертификат, используемый на сервере, был сгенерирован с помощью опции Legacy Key в бланке запроса сертификата, закрытый ключ для того сертификата будет сохранен в Криптографической платформе API Microsoft прежней версии. Когда веб-сервер пытается обработать запросы с помощью своей новой платформы Криптографического следующего поколения (CNG), кажется, что что-то связанное с закрытым ключом RSA, сохраненным в платформе прежней версии, недоступно к новой платформе. В результате использование наборов шифров RSA сильно ограничено.
Решение:
Генерируйте запрос сертификата с помощью шаблона CNG Key в пользовательском мастере запроса сертификата.
MMC | менеджер по Сертификату Локального компьютера | Персональная Папка Сертификатов | (щелчок правой кнопкой) | Все Задачи-> Усовершенствованные Операции | Создают Пользовательский Запрос |, "Продолжаются без политики приема" | выбор" (никакой шаблон), ключ кпг" | продолжает завершать запрос сертификата согласно Вашим потребностям.
Проверка, что ключ находится в правильном месте:
http://msdn.microsoft.com/en-us/library/bb204778 (По сравнению с 85) .aspx
http://www.jensign.com/KeyPal/index.html
Инструменты для проверки корректных наборов шифров:
http://pentestit.com/2010/05/16/ssltls-audit-audit-web-servers-ssl-ciphers/
https://www.ssllabs.com/
Настройки набора шифров SSL:
http://support.microsoft.com/kb/245030
http://blogs.technet.com/b/steriley/archive/2007/11/06/changing-the-ssl-cipher-order-in-internet-explorer-7-on-windows-vista.aspx
Это взяло нас неделя для выяснения. Я надеюсь, что это сохраняет кого-то та же проблема.
Спасибо, Ваше сообщение действительно помогло мне, хотя моя проблема была не совсем такой.
Однако причиной была ошибка конфигурации WINHTTP SERVER API с моей стороны. Мой IP-адрес изменился, и когда я поместил новый сертификат сервера в машину "MY", я проигнорировал код возврата ALREADY_EXISTS для HttpSetServiceConfiguration.
Поэтому я использовал предыдущий сертификат TLS сервера, который имел неправильное общее имя и не совпадал с моим новое имя сервера.
Если нет ' Если правильно выполнить HttpDeleteServiceConfiguration () или командную строку «netsh http delete sslcert 0.0.0.0:8443», вы получите неприятную ошибку со следующими симптомами:
1) В TLS ваш Client Hello немедленно встречает TCP-пакет от ваш сервер с установленными битами флагов Ack и Reset. (Я думаю, предупреждение об ошибке установления связи?)
2) Средство просмотра событий получает «Было создано следующее критическое предупреждение: 40. Состояние внутренней ошибки - 107.»
«От удаленного клиентского приложения был получен запрос на соединение SSL 3.0, но ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером. Запрос на соединение SSL не удался ».
Поэтому, прежде чем вы начнете искать несоответствие набора шифров, убедитесь, что вы действительно используете сертификат сервера, который хотите использовать с:
netsh http show sslcert
, и проверьте значения хэша!
Это может быть проблема KeySpec = 2 - AT_SIGNATURE
certutil -verifystore -v Мой «отпечаток сертификата» для проверки значения KeySpec. Если это 2, вам нужно будет экспортировать сертификат как файл PFX, а затем запустить certutil -importpfx AT_KEYEXCHANGE, чтобы исправить это.
У меня была точно такая же проблема, и этот пост сэкономил мне массу времени, так что спасибо всем!
Решение Гэри идеально подходит, но мне удалось решить проблему просто преобразование PFX в PEM, а затем снова обратно в PFX с помощью openssl. Новый PFX импортировал сертификат в IIS точно так же, с той разницей, что я могу видеть недостающие шифры.
Вот как:
openssl pkcs12 -in mycert.pfx -out mycert.cer -nodes
Затем разделите файл cer на три части: ключ, сертификат и промежуточный сертификат [ s]
openssl pkcs12 -export -out mycert-new.pfx -inkey mycert.key \
-in mycert.crt -certfile mycert-intermediate.crt
Затем, если вы импортируете новый файл .pfx в IIS, он будет использовать все шифры, которые вы ожидаете увидеть.
Таким образом, нет необходимости повторно выпускать сертификат.