web-dev-qa-db-ja.com

クライアントアプリケーションでサポートされている暗号スイートは、サーバーではサポートされていません

サーバーのWindowsイベントログに次のエラーが表示されます。

TLS 1.0接続要求がリモートクライアントアプリケーションから受信されましたが、クライアントアプリケーションでサポートされている暗号スイートがサーバーでサポートされていません。 SSL接続要求が失敗しました。

Windows Server 2003ボックスからWindows 7ボックスのWebサービスに接続しようとすると、.

他の人がサポートする暗号スイートを追加するにはどうすればよいですか?

(クライアントの修正は理想的ですが、サーバーソリューションが問題ないことに失敗しました-関連するすべてのボックスにアクセスできます。プライバシーのためにクライアント間の基本的な暗号化が必要です)。

何時間ものグーグルと読書に加えて、私は試しました:

  • サーバーウィンドウのイベントビューアを確認しました(暗号スイートエラーが見つかりました)
  • http://support.Microsoft.com/kb/94896 からtest1に暗号スイートを追加(助けなかった)
  • サーバーのWindowsレジストリの暗号スイートのプロトコルにTLS 1.0を追加(変更なし)
  • インストールIISツールがSchannelにプロトコルを追加することを期待して(それはしません))
  • クライアントの証明書をエクスポートしますが、秘密鍵が含まれています(変更なし)
  • インストールされた暗号スイートがサーバーとクライアントで一致することを確認します(win2k3がそれらをリストする場所を見つけることができません)
  • TLS_RSA_WITH_AES_256_CBC_SHA(上記の修正プログラムによってインストールされた)をサーバーの暗号スイートに追加します(いいえ、すでにそこにあります)
9
MGOwen

Windows 7は、暗号を選択するときに新しいCNG(Cryptography Next Generation)APIを使用します。 Windows 2003のCNGは、私の知る限り利用できません。

ただし、次のAESベースの暗号スイートをインストールして、Windows 2003で使用できます。

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

これらは、Windows VistaおよびWindows 7クライアントがTLS 1.0以降で使用するために交渉しようとする最初のスイートであり、OpenSSLクライアントでもサポートされています。

これらを使用するには、インストール KB94896

5