Назад | Перейти на главную страницу

Ошибки SChannel после включения SSL на Windows Server 2012 R2

У меня есть экземпляр Windows Server 2012 R2 в Azure. Для нового сайта я заказал сертификат GlobalSign. Получив от них сертификаты, я выполнил запрос сертификата в IIS и установил корневой сертификат.

Я переместил веб-сайт в новый экземпляр, поэтому я экспортировал сертификат с его закрытым ключом и импортировал его в новый экземпляр.

Это была моя установка, и она работала очень хорошо.

Теперь я получаю много ошибок SChannel. Они есть:

A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 40. The Windows SChannel error state is 1205.

A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.

An SSL 3.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.

Я впервые использую SSL и, честно говоря, понятия не имею, что делаю. Для меня это выглядит нормально, когда я запрашиваю веб-сайт (http://laola.biz).

Я уже использовал проверку SSL от GlobalSign, которая дает мне оценку C. https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl

Вот список сертификатов от mmc (мой сайт laola.biz):

Средний

Корень

Личное

Есть идеи, что я мог сделать здесь неправильно?

Поскольку разные люди (из лучших побуждений и из других побуждений) пытаются получить доступ к вашему сайту с различных устройств, работающих под управлением различных браузеров в разных операционных системах, в зависимости от протокола, который они выбирают для защиты этой связи, вы в конечном итоге увидите сообщения от источника schannel.

Следующий блог должен помочь вам понять некоторые сообщения, которые вы видите в своих журналах. http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

Полученная вами оценка вызывает некоторое беспокойство. У вас не был бы включен SSL3, если бы вы опубликовали сайт напрямую на веб-сайтах Azure.

Вы можете отключить SSL3, следуя инструкциям здесь http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx

Было бы лучше, если бы вы могли переместить сайт с виртуальной машины на сам веб-сайт Azure. Это избавит вас от необходимости исправлять и защищать виртуальные машины, используемые для размещения веб-сайта. Вместо этого вы полагаетесь на Azure PaaS как на платформу для размещения веб-сайта. Вы заботитесь о коде веб-сайта, пока Azure защищает и поддерживает IIS / платформу.

Предстоящие изменения платформы с точки зрения TLS отражены в https://testsslclient.trafficmanager.net/. Вы можете протестировать это, чтобы увидеть, какую оценку сможет получить ваш веб-сайт, если бы вы перенесли его напрямую на веб-сайт Azure.