9 votes

Aucune des suites de chiffrement supportées par l'application client n'est supportée par le serveur.

J'obtiens cette erreur dans le journal des événements Windows de mon serveur :

Une demande de connexion TLS 1.0 a été reçue d'une application client distante, mais aucune des suites de chiffrement prises en charge par l'application client n'est prise en charge par le serveur. La demande de connexion SSL a échoué.

Lorsque j'essaie de me connecter à un service web sur une boîte Windows 7 à partir d'une boîte Windows server 2003.

Comment ajouter à l'une une suite de chiffrement que l'autre supporte ?

(l'idéal serait de fixer les clients, mais à défaut, une solution serveur conviendrait - j'ai accès à toutes les boîtes concernées, je veux juste un cryptage de base entre elles pour la confidentialité).

Après des heures de recherche sur Internet et de lecture, j'ai essayé :

  • J'ai vérifié l'observateur d'événements Windows du serveur (j'ai trouvé une erreur de suite de chiffrement).
  • Ajout de suites de chiffrement à test1 à partir de http://support.microsoft.com/kb/948963 (n'a pas aidé)
  • Ajout de TLS 1.0 aux protocoles dans les suites de chiffrement dans le registre Windows du serveur (pas de changement)
  • Installer les outils IIS en espérant que cela ajoute des protocoles à Schannel (ce n'est pas le cas).
  • Exportation du certificat pour les clients, encore une fois, mais avec la clé privée incluse (pas de changement)
  • Vérifiez que les suites de chiffrement installées correspondent sur le serveur et le client (je ne trouve pas où win2k3 les liste).
  • Ajouter TLS_RSA_WITH_AES_256_CBC_SHA (installé par le correctif ci-dessus) aux suites de chiffrement du serveur (non, déjà là).

0 votes

@sohnee serverfault.com/questions/166750/ La réponse de Gary à cette question permet de répondre en partie à ce détail.

0 votes

Vous le savez probablement déjà, mais je le signale quand même pour ceux qui ne le sauraient pas. Windows 2003 n'est plus pris en charge par Microsoft et ne recevra plus de mises à jour. Si vous utilisez 2k3, vous devriez migrer ou mettre à jour.

0 votes

Ce problème est également visible sur le serveur 2008 (et probablement 2012, bien que je n'aie pas encore obtenu de SSL sur 2012).

5voto

Mathias R. Jessen Points 24807

Windows 7 utilise la nouvelle API CNG (Cryptography Next Generation) pour choisir les algorithmes de chiffrement. CNG pour Windows 2003 n'est pas disponible pour autant que je sache.

Vous pouvez toutefois installer ces suites de chiffrement basées sur AES pour les utiliser sur Windows 2003 :

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

Ce sont les premières suites que les clients de Windows Vista et Windows 7 essaieront de négocier pour l'utilisation de TLS 1.0 et plus, et elles sont également prises en charge par les clients OpenSSL.

Pour les utiliser, il faut installer KB948963

1 votes

Merci de votre attention ! J'aurais dû mentionner que j'ai déjà essayé cela - cela n'a pas résolu le problème pour moi. Peut-être que l'autre boîte les rejette encore parce que CBC n'est plus considéré comme sûr ? Ils sont pourtant dans sa liste de suites de chiffrement, alors que puis-je faire d'autre ? :(

0 votes

Le fonctionnement de la communauté est intéressant. Maintenant, la première réponse à cette question est une réponse qui n'a jamais fonctionné, et la vraie réponse est downvotée... Je suppose que c'est dû au fait que SHA1 est devenu obsolète quelques années après que cette question ait été oubliée depuis longtemps. J'espère que cette réponse aidera quelqu'un - ou que plus personne ne sera obligé de supporter les serveurs win 2k3...

1 votes

@MGOwen Je suis désolé de ne pas avoir pu vous aider. J'ai personnellement résolu un problème similaire au vôtre, avec le correctif que j'ai mis en lien. J'espère que les votes positifs reflètent le nombre de personnes qui ont trouvé cette réponse utile.

-1voto

ajoyfuldawn Points 11

La solution a été de générer à nouveau mon certificat, cette fois-ci en forçant RSA et SHA1 (bien que SHA1 soit de toute façon la valeur par défaut). Pour une raison quelconque, Win Server 2k3 ne pouvait ou ne voulait pas utiliser les bons chiffres avec un certificat makecert par défaut. Voici la ligne de commande qui a fonctionné pour moi :

makecert -pe -r -ss my -sr localMachine -n "CN=domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

Pour plus de détails, voir http://mgowen.com/2013/06/19/cipher-suites-issue/ y http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .

3 votes

Sha1 est obsolète. Je suppose que le problème est dû au fait que tous les algorithmes de chiffrement pris en charge par votre client de 2003 sont obsolètes en raison de l'évolution de la sécurité au cours des deux dernières années. Si vous ouvrez à nouveau ces codes, vous risquez d'ouvrir des failles de sécurité. Notez également que Google vous pénalisera si vous utilisez SHA1 pour un certificat de site web. community.qualys.com/blogs/securitylabs/2014/09/09/

1 votes

La phrase "SHA1 devrait être la valeur par défaut de toute façon" est probablement vraie dans le contexte que vous avez probablement utilisé, mais comme @mc0e l'a dit, elle est dépréciée en raison de problèmes de sécurité, et de nos jours, cette phrase ferait frémir les professionnels de l'informatique et de la sécurité. Veillez à utiliser SHA-2 (SHA-256) dans la mesure du possible, car il s'agit de la norme actuelle.

0 votes

Merci rubynorails. J'ai modifié ma réponse, je voulais dire que SHA1 était la valeur par défaut sur makecert (en 2013 quand j'ai écrit cela, pas sûr qu'il y ait des versions plus récentes de makecert pour lesquelles ce n'est plus le cas). Je vais voir si nous utilisons toujours SHA1 et envisager de voir si cela vaut la peine d'essayer de faire en sorte que makecert utilise quelque chose d'autre et de refaire nos certificats (ce n'est pas pour un produit destiné au public).

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X