Windows Server 2012 R2でSSLを有効にするとSChannelエラーが発生する。
私はAzure上にWindows Server 2012 R2インスタンスを持っています。新しいウェブサイトのために、グローバルサインに証明書を注文しました。GlobalSignから証明書を受け取った後、IISで証明書要求を行い、ルート証明書をインストールしました。
ウェブサイトを新しいインスタンスに移動したので、証明書とその秘密鍵をエクスポートし、新しいインスタンスにインポートしました。
これが私のインストールで、かなりうまくいったようです。
しかし、SChannelのエラーが多発しています。それは
`A fatal alert was generated and sent to the remote endpoint.この結果、接続が終了する可能性があります。TLSプロトコルで定義された致命的なエラーコードは40です。Windows SChannelのエラー状態は1205です。
A fatal alert was generated and sent to the remote endpoint.この結果、接続が終了する可能性があります。TLSプロトコルで定義された致命的なエラーコードは20です。WindowsのSChannelのエラー状態は960.です。
リモートクライアントアプリケーションからSSL 3.0接続リクエストを受信しましたが、クライアントアプリケーションがサポートする暗号スイートのどれもサーバーではサポートされていません。SSL接続要求は失敗しました。
SSLを使うのは初めてで、正直言って何をしているのかさっぱりわかりません。私の場合、ウェブサイト(http://laola.biz)をリクエストするときは問題ないようです。
GlobalSign社のSSLチェックを使用しましたが、グレードCでした。https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl
ここにmmcの証明書のリストがあります(私のウェブサイトはlaola.bizです)。
ここで何か間違ったことをしたのか、何かアイデアはありませんか?
さまざまな人(善意の人もそうでない人も)が、さまざまなOSのさまざまなブラウザを搭載したさまざまなデバイスからあなたのサイトにアクセスしようとすると、その通信を保護するために選択したプロトコルに応じて、チャネルソースのメッセージが表示されてしまいます。
以下のブログは、ログに表示されるメッセージのいくつかを理解するのに役立ちます。http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
この成績はちょっと気になりますね。サイトをAzure Websitesに直接公開した場合、SSL3が有効になっていません。
こちらのガイダンスでSSL3を無効にすることができます。 http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
サイトをVMからAzure Webサイト自体に移動できれば、より良いでしょう。これにより、WebサイトをホストするためのVMにパッチを当てたり、セキュリティを確保したりする必要がなくなります。代わりに、ウェブサイトをホストするためのプラットフォームを提供するAzure PaaSに依存します。あなたはWebサイトのコードを管理し、AzureはIIS/プラットフォームのセキュリティとメンテナンスを行います。
TLS の観点からのプラットフォームへの今後の変更は、https://testsslclient.trafficmanager.net/ に反映されています。WebサイトをAzureのWebサイトに直接移行した場合に、Webサイトがどの程度のグレードになるかをテストすることができます。