在Windows Server 2012 R2上启用SSL后出现S通道错误
我在Azure上有一个Windows Server 2012 R2实例。我为一个新网站订购了GlobalSign的证书。从他们那里得到证书后,我在IIS中完成了证书申请,并安装了根证书。
我把网站移到了一个新的实例上,所以我把证书和它的私钥一起导出,并把它导入到新的实例上。
这就是我的安装,似乎工作得很好。
现在我得到了很多Schannel错误。它们是:
产生了一个致命的警报,并发送给了远程端点。这可能导致连接的终止。TLS协议定义的致命错误代码是40。Windows SChannel的错误状态是1205.`。
产生了一个致命的警报并发送给远程端点。这可能导致连接的终止。TLS协议定义的致命错误代码是20。Windows SChannel的错误状态是960.。
收到远程客户端应用程序的SSL 3.0连接请求,但服务器不支持客户端应用程序支持的密码套件。该SSL连接请求已经失败。
这是我第一次使用SSL,说实话,我不知道我在做什么。对我来说,当我请求网站(http://laola.biz)时,它看起来很好。
我已经使用了GlobalSign的SSL检查,它给了我C级。https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl
这里是mmc的证书列表(我的网站是laola.biz):
中级 在此输入图片描述]1 。
根部 在此输入图片描述 !
个人 在此输入图片描述 !
有什么想法,我在这里可能做错了什么?
2
1
当不同的人(无论是善意的还是其他的)试图从不同的设备上运行不同的浏览器访问你的网站时,根据他们选择的协议来保证该通信的安全,你最终会看到由信源发出的信息。
下面的博客应该有助于你理解你在日志中看到的一些信息。http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
你在那里得到的成绩有点令人担忧。如果你把网站直接发布到Azure网站,你就不会启用SSL3。
你可以使用这里的指导来禁用SSL3 http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
如果你能把网站从虚拟机移到Azure网站上,那会更好。这将使你不必对用于托管网站的虚拟机进行修补和保护。你可以依靠Azure PaaS来提供托管网站的平台。你负责网站的代码,而Azure则负责IIS/平台的安全和维护。
从TLS的角度来看,平台即将发生的变化反映在https://testsslclient.trafficmanager.net/。你可以测试一下,看看如果你直接把网站迁移到Azure网站上,你的网站可以得到怎样的分级。