我正在诊断一台运行 OSX 10.11.1 的 Mac,它无法连接到 Exchange 2013 服务器(在 Win 2012R2 上,带有 IIS 8.5)。我通过 Exchange 服务器上的注册表项启用了 TLS 1.1 和 1.2,但当客户端尝试连接时,我在服务器上看到事件 36874 和 36888,其中包含以下文本:
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
我如何确保 Mac 和 Win 服务器协商出一个双方都可接受的密码套件?(我甚至不确定密码套件是什么)。如果重要的话,服务器的证书是用 SHA512 签名的,并且它使用自生成的根 CA 证书,也是用 SHA512 签名的。
我发现这篇文章表明 TLS1.2 不支持 SHA512: http://blogs.technet.com/b/silvana/archive/2014/03/14/schannel-errors-on-scom-agent.aspx
这是否意味着我必须重新生成我的 ROOT 证书(使用 SHA512 签名),还是只需重新生成 Exchange 服务器的证书(也使用 SHA512 签名)?
答案1
对于其他人 - 我确认根证书可以使用 SHA512 签名,但服务器证书不行。Mac OS X (10.11.x) 无法理解/使用它。如果您使用 SHA384 重新生成证书,那么 Mac 会很开心