Windows Server 2012 R2에서 SSL을 사용하도록 설정한 후 발생하는 SC채널 오류
Azure에 Windows Server 2012 R2 인스턴스가 있습니다. 새 웹 사이트의 경우 GlobalSign에서 인증서를 주문했습니다. 인증서를 받은 후 IIS에서 인증서 요청을 완료하고 루트 인증서를 설치했습니다.
웹 사이트를 새 인스턴스로 옮겼으므로 개인 키와 함께 인증서를 내보내고 새 인스턴스에서 가져왔습니다.
그렇게 설치했는데 꽤 잘 작동하는 것 같았습니다.
이제 많은 SC채널 오류가 발생합니다. 그렇습니다:
'치명적인 경고가 생성되어 원격 엔드포인트로 전송되었습니다. 이로 인해 연결이 종료될 수 있습니다. TLS 프로토콜에 정의된 치명적인 오류 코드는 40입니다. Windows SChannel 오류 상태는 1205입니다.
치명적인 경고가 생성되어 원격 엔드포인트로 전송되었습니다. 이로 인해 연결이 종료될 수 있습니다. TLS 프로토콜에 정의된 치명적인 오류 코드는 20입니다. Windows SChannel 오류 상태는 960입니다.
원격 클라이언트 응용 프로그램에서 SSL 3.0 연결 요청을 받았지만 클라이언트 응용 프로그램에서 지원하는 암호 모음 중 서버에서 지원하는 암호 모음은 없습니다. SSL 연결 요청이 실패했습니다.` `
SSL을 사용하는 것은 처음이고 솔직히 말해서 제가 무엇을 하고 있는지 전혀 모르겠습니다. 웹 사이트(http://laola.biz)를 요청할 때는 정상적으로 보입니다.
이미 GlobalSign의 SSL 검사에서 C 등급을 받았습니다(https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl).
다음은 mmc의 인증서 목록입니다(제 웹사이트는 laola.biz입니다):
제가 뭘 잘못했을까요?
다양한 운영 체제에서 다양한 브라우저를 실행하는 다양한 기기에서 다양한 사람들(선의든 악의든)이 사이트에 액세스하려고 시도할 때, 통신 보안을 위해 선택한 프로토콜에 따라 채널 소스에 의해 메시지가 표시될 수 있습니다.
다음 블로그는 로그에 표시되는 메시지 중 일부를 이해하는 데 도움이 될 것입니다. http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
거기서 받은 등급은 약간 우려스럽습니다. Azure 웹사이트에 직접 사이트를 게시한 경우 SSL3을 사용하도록 설정하지 않았을 것입니다.
다음 지침을 사용하여 SSL3을 사용하지 않도록 설정할 수 있습니다. http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
사이트를 VM에서 Azure 웹사이트 자체로 이동할 수 있다면 더 좋습니다. 그러면 웹 사이트를 호스팅하는 데 사용되는 VM을 패치하고 보호할 필요가 없습니다. 대신 웹 사이트를 호스팅할 플랫폼을 제공하기 위해 Azure PaaS를 사용합니다. 웹 사이트 코드는 관리자가 처리하고 Azure는 IIS/플랫폼을 보호 및 유지 관리합니다.
TLS 관점에서 플랫폼에 대한 향후 변경 사항은 https://testsslclient.trafficmanager.net/ 에 반영되어 있습니다. 이를 테스트하여 사이트를 Azure 웹 사이트로 직접 마이그레이션할 경우 웹 사이트에서 받을 수 있는 등급을 확인할 수 있습니다.