J'obtiens cette erreur dans le journal des événements Windows de mon serveur :
Une demande de connexion TLS 1.0 a été reçue d'une application client distante, mais aucune des suites de chiffrement prises en charge par l'application client n'est prise en charge par le serveur. La demande de connexion SSL a échoué.
Lorsque j'essaie de me connecter à un service web sur une boîte Windows 7 à partir d'une boîte Windows server 2003.
Comment ajouter à l'une une suite de chiffrement que l'autre supporte ?
(l'idéal serait de fixer les clients, mais à défaut, une solution serveur conviendrait - j'ai accès à toutes les boîtes concernées, je veux juste un cryptage de base entre elles pour la confidentialité).
Après des heures de recherche sur Internet et de lecture, j'ai essayé :
- J'ai vérifié l'observateur d'événements Windows du serveur (j'ai trouvé une erreur de suite de chiffrement).
- Ajout de suites de chiffrement à test1 à partir de http://support.microsoft.com/kb/948963 (n'a pas aidé)
- Ajout de TLS 1.0 aux protocoles dans les suites de chiffrement dans le registre Windows du serveur (pas de changement)
- Installer les outils IIS en espérant que cela ajoute des protocoles à Schannel (ce n'est pas le cas).
- Exportation du certificat pour les clients, encore une fois, mais avec la clé privée incluse (pas de changement)
- Vérifiez que les suites de chiffrement installées correspondent sur le serveur et le client (je ne trouve pas où win2k3 les liste).
- Ajouter TLS_RSA_WITH_AES_256_CBC_SHA (installé par le correctif ci-dessus) aux suites de chiffrement du serveur (non, déjà là).
0 votes
@sohnee serverfault.com/questions/166750/ La réponse de Gary à cette question permet de répondre en partie à ce détail.
0 votes
Vous le savez probablement déjà, mais je le signale quand même pour ceux qui ne le sauraient pas. Windows 2003 n'est plus pris en charge par Microsoft et ne recevra plus de mises à jour. Si vous utilisez 2k3, vous devriez migrer ou mettre à jour.
0 votes
Ce problème est également visible sur le serveur 2008 (et probablement 2012, bien que je n'aie pas encore obtenu de SSL sur 2012).