我已禁用 SSLv2 并启用 SSLv3。但是我无法连接到远程服务器,并出现以下错误:
客户端和服务器无法通信,因为它们没有通用算法
运行了 SSL 检查(http://www.serversniff.net/sslcheck.php) 在远程服务器和我们的服务器上,发现他们接受的密码都没有我们服务器上的密码。如何配置?(Windows Web Server 2008)
远程服务器接受的 SSL 密码:
DHE-RSA-AES256-SHA
AES256-SHA
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
DHE-RSA-AES128-SHA
AES128-SHA
我们的服务器默认接受:
DES-CBC3-SHA
RC4-SHA
RC4-MD5
答案1
如果你没有修改过配置,默认情况下会启用强密码套件。Vista 和 Server 2008 中的默认密码套件列表位于微软。
您列出的并不是密码套件名称,因为它们缺少部分内容。AES128-SHA 只是其中的一部分。密码套件有几个部分 - 密钥交换算法、加密/解密算法和 hmac 算法,因此 AES128-SHA 示例缺少密钥交换算法。正确的名称将是 TLS_RSA_WITH_AES_128_CBC_SHA。
我推荐 ssllabs.com 用于测试可公开访问的 Web 服务器。
答案2
我最近刚刚遵循这些说明(但针对服务器 2003)。
如何限制某些加密算法和协议的使用
http://support.microsoft.com/kb/245030
(regedit 部分)
(适用于服务器 2008 和 2003)如何在 Internet 信息服务中禁用 PCT 1.0、SSL 2.0、SSL 3.0 或 TLS 1.0
http://support.microsoft.com/kb/187498
(我保留了 SSL 3.0 / TLS 1.0)
进行这些更改后,您必须重新启动 IIS。
答案3
你可以在以下位置找到非常有用的 Python 脚本http://www.thesprawl.org/projects/sslmap/