Điểm:0

Sự cố Windows Server 2012 R2 TLS 1.2

lá cờ cn

Tôi đang gặp sự cố với TLS 1.2 trên Windows Server 2012 R2 (máy chủ web ứng dụng, IIS), nơi tôi không thể truy cập https://api.nuget.org/v3/index.json qua Internet Explorer ngay cả sau khi tôi thấy rằng TLS 1.2 đã được bật.

Tôi có một máy chủ khác có cùng hệ điều hành và các bản cập nhật hệ điều hành giống nhau (nhưng không có IIS) và máy chủ này không gặp sự cố khi truy cập API hoặc bất kỳ điểm cuối nào khác với TLS 1.2)

Trên máy chủ có vấn đề, tôi đã thử các cách sau:

  1. Đã sử dụng IISCrypto để kích hoạt mọi thứ -> Khởi động lại -> KHÔNG ĐẠT
  2. Thay đổi cài đặt Sổ đăng ký theo cách thủ công theo tài liệu của Microsoft - https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2 - THẤT BẠI
  3. Đã sử dụng Tập lệnh sau để đặt lại hoàn toàn và chỉ bật lại TLS 1.2 - https://www.hass.de/content/setup-microsoft-windows-or-iis-ssl-perfect-forward-secrecy-and-tls-12 - THẤT BẠI

Tại thời điểm này, tôi đã dành hơn 3 ngày để cố gắng khắc phục sự cố và xem vấn đề giữa hai máy chủ này là gì, tại sao một máy chủ windows hoạt động còn một máy chủ khác thì không.

Mọi mẹo, bước khắc phục sự cố hoặc công cụ sẽ được hoan nghênh nhất!

Ảnh chụp màn hình nhập mô tả hình ảnh ở đây

  • thông qua Nuget CLR
  • trên máy chủ có vấn đề nhập mô tả hình ảnh ở đây
  • Trên máy chủ hoạt động nhập mô tả hình ảnh ở đây
lá cờ in
Ngay cả việc bật TLS 1.2 cũng không giúp ích gì cho bạn vì Windows 2012 R2 không hỗ trợ mật mã mà API.nuget.org hỗ trợ. Máy chủ API yêu cầu [Mật mã dựa trên RSA](https://www.ssllabs.com/ssltest/analyze.html?d=api.nuget.org&s=2620%3a1ec%3a46%3a0%3a0%3a0%3a0%3a69) và những thứ đó đơn giản là không có và do đó không thể bật được https://docs.microsoft.com/en-us/answers/questions/227738/windows-server-2012-r2-tls-12-cipher-suites.html
lá cờ cn
@Robert, như tôi đã nói, tôi có một máy chủ khác cũng có trên API Windows 2012 R2 có thể truy cập được trên đó, làm sao có thể thực hiện được nếu đó là sự cố mật mã không được hỗ trợ? đây là lý do tôi rất bối rối và lạc lối, hoạt động trên một máy chủ chứ không phải trên máy chủ khác
lá cờ cn
Tôi không thấy nơi này có liên quan đến TLS 1.2.
lá cờ cn
@GregAskew xem ảnh chụp màn hình từ IE (ảnh chụp màn hình thứ 2)
Điểm:0
lá cờ cn

Vì vậy, sau nhiều giờ khắc phục sự cố, cuối cùng tôi cũng có thể giải quyết vấn đề và truy cập được API từ máy chủ của chúng tôi qua TLS 1.2.

Chúng tôi có khung .net trên máy chủ đang gặp sự cố khi truy cập API. Microsoft khuyên chúng tôi đặt sổ đăng ký sau để buộc SystemDefaultTlsVersions

Windows Registry Editor Phiên bản 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
Điểm:0
lá cờ se

Danh tiếng của tôi ở mức thấp nhất nên tôi phải viết câu trả lời.

Thông báo của trình duyệt có thể gây hiểu nhầm

Bạn nên xác thực Nếu DNS giải quyết cùng một mục tiêu và nếu máy khách phát hiện bất kỳ loại proxy nào.

Chúng có thể là kiểm tra gói bằng tường lửa có thể bằng proxy minh bạch.

Xác thực phản hồi bạn nhận được với s_client trong openssl: https://stackoverflow.com/questions/7885785/using-openssl-to-get-the-certificate-from-a-server

Sử dụng DeveloperTools trong trình duyệt để xem "Mạng" và xem nơi gửi yêu cầu của bạn (có thể thông qua proxy) và phản hồi bạn nhận được.

Vô hiệu hóa một số kiểm tra SSL/TLS trong Powershell: https://stackoverflow.com/questions/34331206/ignore-ssl-warning-with-powershell-downloadstring

Xác thực cả hai đều có cùng cấu hình Mạng liên quan đến IPv6. Có thể một trong số họ kết nối với máy chủ khác vì điều đó.

CHỈNH SỬA: ít nhất hãy thực hiện kiểm tra openssl để đảm bảo rằng bạn có thể nhận được chứng chỉ chính xác. Vô hiệu hóa SSL/TLS Kiểm tra Powershell và thử nghiệm sẽ giúp bạn chắc chắn về sự cố.

lá cờ cn
cả hai máy chủ đều nằm trong DMZ và sự khác biệt duy nhất giữa chúng là một máy chủ đang chạy IIS và một máy chủ khác thì không
lá cờ se
Đó không phải là lý do vì tôi không thể tái tạo sự cố của bạn trong các môi trường khác. Các chính sách tường lửa có thể khác nhau đối với các máy chủ.
lá cờ cn
Tôi đã yêu cầu nhóm máy chủ kiểm tra chính sách tường lửa giữa các máy chủ.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.