Windows Server 2012 R2 üzerinde SSL etkinleştirildikten sonra SChannel hataları

Question

Daha

Kaynak Non AMP-version Düzenle

Windows Server 2012 R2 üzerinde SSL etkinleştirildikten sonra SChannel hataları

Azure üzerinde bir Windows Server 2012 R2 örneğim var. Yeni bir web sitesi için GlobalSign tarafından bir sertifika sipariş ettim. Sertifikaları onlardan aldıktan sonra IIS'de sertifika isteğini tamamladım ve kök sertifikayı yükledim.

Web sitesini yeni bir örneğe taşıdım, bu nedenle sertifikayı özel anahtarıyla birlikte dışa aktardım ve yeni örneğe içe aktardım.

Benim kurulumum buydu ve oldukça iyi çalışıyor gibi görünüyordu.

Şimdi çok fazla SChannel hatası alıyorum. Bunlar:

`Ölümcül bir uyarı oluşturuldu ve uzak uç noktaya gönderildi. Bu, bağlantının sonlandırılmasına neden olabilir. TLS protokolü tanımlı ölümcül hata kodu 40'tır. Windows SChannel hata durumu 1205'tir.

`Ölümcül bir uyarı oluşturuldu ve uzak uç noktaya gönderildi. Bu, bağlantının sonlandırılmasına neden olabilir. TLS protokolü tanımlı ölümcül hata kodu 20'dir. Windows SChannel hata durumu 960'tır.

Uzak bir istemci uygulamasından bir SSL 3.0 bağlantı isteği alındı, ancak istemci uygulaması tarafından desteklenen şifre takımlarının hiçbiri sunucu tarafından desteklenmiyor. SSL bağlantı isteği başarısız oldu.

SSL'i ilk kez kullanıyorum ve dürüst olmak gerekirse ne yaptığım hakkında hiçbir fikrim yok. Web sitesini talep ettiğimde benim için iyi görünüyor (http://laola.biz).

GlobalSign'ın SSL Kontrolünü zaten kullandım ve bu da bana C Notu verdi. https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl

İşte mmc'den alınan sertifikaların bir listesi (web sitem laola.biz):

Orta seviye

Kök

Kişisel

Burada neyi yanlış yapmış olabileceğime dair bir fikriniz var mı?

Sistem yönetimi

ssl windows-server-2012 schannel

2015ööp14öö8 Nisan 2015 в 8:14

9 görünümler

maweeras · Answer 1 · 2015-06-06T21:04:23+00:00

Farklı insanlar (iyi niyetli veya başka türlü) çeşitli işletim sistemlerinde çeşitli tarayıcılar çalıştıran çeşitli cihazlardan sitenize erişmeye çalıştıkça, bu iletişimi güvence altına almak için seçtikleri protokole bağlı olarak, mesajlar kanal kaynağı tarafından görülecektir.

Aşağıdaki blog, günlüklerinizde gördüğünüz bazı mesajları anlamanıza yardımcı olacaktır. http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

Orada aldığınız not biraz endişe verici. Siteyi doğrudan Azure Web Siteleri'nde yayınlasaydınız SSL3'ü etkinleştirmezdiniz.

Buradaki kılavuzu kullanarak SSL3'ü devre dışı bırakabilirsiniz http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx

Siteyi bir VM'den Azure Web sitesine taşıyabilirseniz bu daha iyi olur. Bu sayede web sitesini barındırmak için kullanılan VM'lere yama uygulamak ve güvenliğini sağlamak zorunda kalmazsınız. Bunun yerine web sitesini barındıracak platformu sağlamak için Azure PaaS'a güvenirsiniz. Azure, IIS/platformun güvenliğini ve bakımını sağlarken siz web sitesi koduyla ilgilenirsiniz.

TLS perspektifinden platformda yapılacak değişiklikler https://testsslclient.trafficmanager.net/ adresinde yansıtılmaktadır. Sitenizi doğrudan bir Azure web sitesine geçirmeniz durumunda web sitenizin alabileceği derecelendirmeyi görmek için bunu test edebilirsiniz.