问题说明：

我正在尝试从 Windows 笔记本电脑连接到 TLS 1.0 到 Windows IIS 服务器。我们在 IIS 上设置了相互身份验证。

请参阅下面的握手电话：

所以它从第 4 帧的客户端问候开始。然后在接下来的步骤中，服务器发送它的证书并协商密码。然后在第 12 帧，握手似乎完成了。在第 13 帧，客户端开始发送应用程序数据。

但是在第 14 帧，Server 再次发送了一个 hello，我们看到了第二次握手。请您回答我的以下问题。

问题>> 在相互认证中，客户端请求服务器证书。然后服务器请求客户端证书。当他们双方都验证了对方的证书时，客户端开始发送应用程序数据。这不是相互认证的正常过程吗？

问题>> 在第 13 帧，客户端已经开始共享应用程序数据。那么为什么 IIS 要求在第 21 帧进行第二次握手呢？

问题>> 似乎第二次握手是为了获取客户端证书（第 24 帧）。但是服务器不应该在第 13 帧之前要求客户端证书。

如果您同意此 IIS 行为是错误的，请您建议如何解决此问题。

提前致谢。

我在 Server 2012 R2 上做了以下事情： -> Disabled TLS 1.0 -> To enable TLS 1.1 。应用程序池更改为“.NET CLR 版本 v4.0.30319”，之前是“V2.50727”-> 在代码 TLS 1.1 中启用为：- ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11；

当我在本地运行应用程序时，即在 localhost 上使用“http”和“https”可以正常工作。但是，当我从另一台机器的浏览器运行应用程序时，它可以与“http”一起正常工作，但对于 https 给出的错误是“与服务器的连接异常终止”。

为了解决这个问题，我进行了调试..以下是收到错误的代码..

在上面的代码中，当调用 send() 方法时，会发生异常并显示消息“与服务器的连接异常终止”。

请建议需要什么设置或代码更改...我使用的是 Windows 2012 R2 服务器，IIS 8.5 版本

谢谢.. 桑巴吉。

我的 nginx 机密文件如下所示：

不幸的是，Android 4.0-4.3 不支持 TLS1.2，我已经更改了配置：

但在使用SSLTest后，它显示我报告不支持 TLS1 和 TLS1.1。

我是否错过了更改配置文件的内容？提前致谢。

更新：我已经通过命令检查了证书：

并为每个协议启用证书。

我正在为radius服务器使用TLS_RSA_WITH_3DES_EDE_CBC_SHA密码套件，在从客户端ChangeCipherSpec之后立即收到加密的握手消息（40字节），我曾尝试使用3des和cbc模式来解密这些字节，但有一个例外（坏数据），试图在https://www.rfc-editor.org/rfc/rfc2246上查找 peap tls v1.0但是，没有找到很多关于完成握手加密/解密的详细信息。任何帮助都会很棒，非常感谢！！

这是我用来计算主密钥和密钥材料的代码。

我正在使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA 密码套件，并且我已经成功完成了握手过程，所以我应该拥有服务器端和客户端的正确密钥，但是当我使用服务器写入密钥和 iv 加密数据并放在记录层下时（应用程序类型）发送到客户端，但是当我使用wireshark ssl调试时，我发现wireshark没有正确解密应用程序数据，想知道应用程序数据是否使用不同的密钥来进行加密和解密？谢谢

我正在尝试通过 HTTP 适配器从 IBM Worklight 6.1 应用程序服务器访问第 3 方 SOAP 服务（ secureSOAPService ）。

以下是 HTTP Adapter 的 adapter.xml 的配置，

以下是观察结果：

• 当服务“<em>securedSOAPService”使用 TLS1.2 配置时，服务返回“ javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated ”。

• 当我们将服务更改为使用 TLS1.0 时，它工作正常。

我想在 TLS1.2 上配置 Service 时启用 HTTP 适配器。

注意：未在 Worklight 服务器上配置 SSL。

相反，从 ServerHello(2) 发送了其他内容。我不明白它是什么。它看起来像一个证书，但它是一个。然后发送证书链。我使用 WireShark。帮助！为了帮助我，我以字节为单位发送了整个数据包

图片

背景

我已经接管了对运行非常旧版本 PHP 的站点的更新。在将站点从 5.3 移动到 7.1 之后，我注意到 authorize.net 不断发送电子邮件，说明，

我们将不再允许 TLS 1.0 和 1.1

它声明它将在接下来的几周内完全停止工作，我不确定如何知道该站点是否使用了这个已弃用的 TLS 版本。我假设我应该能够通过应用程序中的 authorize.net 类知道。但代码并没有以任何方式引用TLS。我还假设我可以通过正在使用的端点知道，但我还没有看到任何关于正在使用的 TLS 版本与正在使用的端点有关的任何信息。

有谁知道一种可靠的方法来测试并知道我们是否确实在我们的站点中使用了旧版本的 TLS？或者，如果我们可能在站点中使用了一个非常旧版本的 authorize.net，它根本不依赖 TLS？

示例代码

这些是应用程序中使用的一些类的开始。也许有人对TLS您正在使用的版本指定您正在使用的版本有所了解authorize.net api。

类.aim.cc.license.php

目标类.php

问题

我最近在推送到 GitHub 存储库时遇到以下消息：

"fatal: HttpRequestException encountered. " 然后再次提示输入我的用户名和密码。

从以前的搜索来看，Visual Studio和其他各种有相同的根本问题。对于那些比我更懒的人，这里有针对不同应用程序/操作系统的各种解决方案的总结以及相关讨论。希望人们觉得这很有帮助。

原因

不能真正将更新安全性称为问题，所以这就是原因。问题是 GitHub 已删除 TLS-1.0 支持，这导致客户端出现问题，包括 Microsoft Visual Studio 的内置 git 客户端、低于 1.14 的 Git 版本以及 GUI 客户端（包括 TortoiseGit）等。完整的发行说明可以在这里找到： https://githubengineering.com/crypto-removal-notice/

Bitbucket将从 2018 年 12 月 1 日开始放弃 TLSv1.0 和 TLSv1.1。我预计会出现与以前类似的问题。

解决方案

编辑：将我的自我回答移至答案框。见下文。

有没有办法将 Apache mod_ssl 配置为允许对一个特定 IP 使用 TLS 1.0，同时对所有其他 IP 强制使用 TLS 1.2？我需要支持来自仅支持 TLS 1.0 的旧系统的连接，但我不想为每个主机完全打开 TLS 1.0。我知道 IP 欺骗等，但基于 IP 的限制 - 如果可能的话 - 似乎是在旧系统被替换之前的最佳折衷方案。