Mac OSX 10.11.1, TLS1.2 şifre paketini IIS 8.5 ile pazarlayamaz


0

Exchange 2013 sunucusuna bağlanamayan OSX 10.11.1 çalıştıran bir Mac teşhis ediyorum (Win 2012R2 ile IIS 8.5'te). Exchange sunucusundaki kayıt defteri anahtarlarıyla TLS 1.1 ve 1.2'yi etkinleştirdim, ancak istemci bağlanmaya çalıştığında, sunucuda 36874 ve 36888 olaylarını metinle görüyorum:

An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.

Mac ve Win sunucusunun karşılıklı olarak kabul edilebilir bir şifre paketi üzerinde anlaşmasını nasıl sağlayabilirim? (Bir şifre paketinin ne olduğundan bile emin değilim). Önemli olması durumunda, sunucunun sertifikası SHA512 ile imzalanmıştır ve ayrıca SHA512 ile birlikte kendi kendine oluşturulan bir kök CA sertifikası kullanmaktadır.

TLS1.2'nin SHA512'yi desteklemediğini öne süren bu makaleyi buldum: http://blogs.technet.com/b/silvana/archive/2014/03/14/schannel-errors-on-scom-agent.aspx

Bu, ROOT sertifikamı (SHA512 ile imzalanmış) veya sadece değişim sunucusunun sertifikasını (SHA512 ile de imzalanmış) yeniden düzenlemem gerektiği anlamına mı geliyor?

Yanıtlar:


0

Başkası için - kök sertifikanın tamamının sunucu sertifikası değil, SHA512 ile imzalandığını doğruladım. Mac OS X (10.11.x) onu anlayamayacak / çalışmayacak. SHA384 kullanarak bir sertifika düzenlerseniz, Mac mutlu olur


Böylece, sunucu sertifikanız SHA512 kullanmış gibi görünüyor, bu yüzden Mac'in şifreleme paketinin bir parçası olarak kullanmaya çalıştı (çünkü neden sunucunun yapabileceğinden daha az şifreleme isteyin, doğru değil mi?) Sunucu aslında bir TLS 1.2'nin bir parçası olarak SHA512'yi etkinleştirmedi, bu yüzden IIS sessiz kaldı. Görünüşe göre, düzgün şekilde SHA512'yi desteklemesi için IIS'ye bir düzeltme eki yükleyebilirsiniz: support.microsoft.com/en-us/kb/2973337
Spiff

MS düzeltme eki 1 yaşında görünüyor - Windows sunucusu tamamen güncelleştirilmişse bu otomatik olarak yüklenmemeli mi?
TSG
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.