El servidor no admite ninguno de los conjuntos de cifrado admitidos por la aplicación cliente.

9

Recibo este error en el registro de eventos de Windows de mi servidor:

Se recibió una solicitud de conexión TLS 1.0 de una aplicación cliente remota, pero el servidor no admite ninguno de los conjuntos de cifrado admitidos por la aplicación cliente. La solicitud de conexión SSL ha fallado.

Cuando intento conectarme a un servicio web en un cuadro de Windows 7 desde un cuadro de Windows Server 2003.

¿Cómo agrego un conjunto de cifrado a uno que admite el otro?

(arreglar clientes es ideal, pero en caso de que una solución de servidor esté bien, tengo acceso a todos los cuadros involucrados, solo quiero un cifrado básico entre ellos para mayor privacidad).

Junto con horas de googlear y leer, he intentado:

  • Comprobado el visor de eventos de Windows del servidor (error de conjunto de cifrado encontrado)
  • Se agregaron conjuntos de cifrado a test1 desde http://support.microsoft.com/kb/948963 (no ayudó)
  • Se agregó TLS 1.0 a los protocolos en los conjuntos de cifrado en el registro de Windows del servidor (sin cambios)
  • Instale las herramientas de IIS con la esperanza de que agregue más protocolos a Schannel (no lo hace)
  • Certificado de exportación para clientes, nuevamente, pero con clave privada incluida (sin cambios)
  • Verifique que las suites de cifrado instaladas coincidan en el servidor y el cliente (no puede encontrar dónde win2k3 las enumera)
  • Agregue TLS_RSA_WITH_AES_256_CBC_SHA (instalado por la revisión anterior) a los conjuntos de cifrado del servidor (no, ya está allí)
windows-server-2003 windows-7 tls ssl MGOwen
fuente
@sohnee serverfault.com/questions/166750/… La respuesta de Garys a esta pregunta responde de alguna manera a los detalles.
Drifter104
Probablemente ya lo sepas, pero lo publicaré de todos modos para aquellos que quizás no lo sepan. Windows 2003 ya no es compatible con Microsoft y ya no recibirá actualizaciones. Si está utilizando 2k3, debe migrar o actualizar.
Liczyrzepa
Este problema también es visible en Server 2008 (y probablemente en 2012, aunque todavía no tengo SSL en 2012 aquí).
Fenton

Respuestas:

5

Windows 7 usa la nueva API CNG (Cryptography Next Generation) al elegir los cifrados. CNG para Windows 2003 no está disponible hasta donde yo sé.

Sin embargo, puede instalar estos conjuntos de cifrado basados ​​en AES para usar en Windows 2003:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Estas son las primeras suites que los clientes de Windows Vista y Windows 7 intentarán negociar para usar con TLS 1.0 y superior, y también son compatibles con los clientes OpenSSL.

Para usarlos, instale KB948963

Mathias R. Jessen
fuente
1
¡Gracias! Debería haber mencionado que ya lo intenté, no resolvió el problema para mí. ¿Quizás la otra caja todavía los rechaza porque CBC ya no se considera seguro? Sin embargo, están en su lista de suites de cifrado, entonces, ¿qué más puedo hacer? :(
MGOwen
Interesante cómo funciona la comunidad. Ahora la respuesta principal para esta pregunta es una que nunca funcionó, y la respuesta real es rechazada ... Supongo que debido a que SHA1 fue desaprobado algunos años después de que esta pregunta se olvidara hace mucho tiempo. Esperemos que esta respuesta ayude a alguien, o ya nadie se ve obligado a soportar ganar servidores 2k3 ...
MGOwen
1
@ MGOwen Lo siento, no pude ayudarte. Personalmente he resuelto un problema similar al tuyo, con el hotfix al que me vinculé. Con suerte, los votos a favor reflejan el número de personas que encontraron útil esta respuesta
Mathias R. Jessen
-1

La solución fue generar mi certificado nuevamente, esta vez forzando RSA y SHA1 (aunque SHA1 es el valor predeterminado de todos modos). Por alguna razón, Win Server 2k3 no pudo o no utilizó los cifrados correctos con un certificado makecert predeterminado. Aquí está la línea de comando que funcionó para mí:

makecert -pe -r -ss my -sr localMachine -n ​​"CN = domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Proveedor criptográfico "-sy 12

Para más detalles, consulte http://mgowen.com/2013/06/19/cipher-suites-issue/ y http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .

MGOwen
fuente
3
sha1 está en desuso. Supongo que el problema surgió porque todos los cifrados admitidos por su cliente 2003 están en desuso debido a desarrollos de seguridad en los últimos años. Es probable que la apertura de esos cifrados nuevamente esté abriendo agujeros de seguridad. Tenga en cuenta también que google lo penalizará si utiliza SHA1 para un certificado de sitio web. community.qualys.com/blogs/securitylabs/2014/09/09/…
mc0e
1
La frase "SHA1 debería ser el valor predeterminado de todos modos" probablemente sea cierta en el contexto que probablemente estaba usando, pero como dijo @ mc0e, está en desuso debido a problemas de seguridad, y hoy en día esa frase enviaría escalofríos a los profesionales de TI y seguridad . Asegúrese de usar SHA-2 (SHA-256) siempre que sea posible, ya que es el estándar ahora.
rubynorails
Gracias rubynorails. Edité mi respuesta, quise decir que SHA1 era el valor predeterminado en makecert (en 2013, cuando escribí eso, no estoy seguro de si hay versiones más nuevas de makecert para las que este ya no es el caso). Veré si todavía usamos SHA1 y consideraré si vale la pena intentar obtener un certificado para usar otra cosa y volver a hacer nuestros certificados (no es para un producto público).
MGOwen
Para que Server2003 SP2 acepte (verifique) un certificado SHA-256, se requiere otra revisión support.microsoft.com/en-us/kb/938397 . (XP SP2 también requería esto, pero obtuvo SP3 con la corrección antes de que finalizara el soporte).
dave_thompson_085