3

当我的 ASP.NET 网站在 Windows 7 机器上运行时,它可以很好地连接(以编程方式作为“客户端”)到另一台 Windows 7 机器上的 SSL 加密服务(“服务器”)。

但如果我的网站在生产环境(windows server 2003)上,服务的 windows 日志会显示:

从远程客户端应用程序接收到 TLS 1.0 连接请求,但服务器不支持客户端应用程序支持的任何密码套件。SSL 连接请求失败。

(服务正在使用由 makecert.exe 创建的自签名证书,但我看不到如何使 makecert 允许更多密码套件......或者我是否在 2003 盒子上安装了一些东西......?这个:https:/ /serverfault.com/questions/166750对我不起作用,因为我没有使用 CSR)

4

1 回答 1

5

解决方案是再次生成我的证书,这次强制使用 RSA 和 SHA1(尽管 SHA1 应该是默认值)。由于某种原因,Win Server 2k3 不能或不会使用带有默认 makecert 证书的正确密码。这是对我有用的命令行:

makecert -pe -r -ss my -sr localMachine -n​​ "CN=domainnameoripaddressgoeshere.com" -e 01/01/2098 -a sha1 -eku 1.3.6.1.5.5.7.3.1 -sky exchange -sp "Microsoft RSA SChannel加密提供程序”-sy 12

有关详细信息,请参阅http://mgowen.com/2013/06/19/cipher-suites-issue/http://msdn.microsoft.com/en-us/library/bfsktky3(v=vs.110).aspx .

如果有人发现这个确实想了解密码套件,这里有一些我在此过程中发现的可能对您有所帮助的东西:

  • 您可以使用此修补程序将两个 RSA 密码套件添加到 Windows Server 2003:http: //support.microsoft.com/kb/948963
  • 您可以在HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers下的 regedit(Windows 注册表编辑器)中查看支持哪些密码
  • 您可以使用 IIS Crypto(一个免费的密码配置应用程序,https://www.nartac.com/Products/IISCrypto/)来查看和启用/禁用密码(包括上面的那些修补程序密码)。
于 2013-06-19T01:07:22.917 回答