我在接收来自特定域的 TLS 加密电子邮件时遇到问题。我们达成协议使用 256 位密码,但显然我们的 Windows Server 2003 上的 Exchange 2007 服务器没有提供该选项,因此所有内容都被拒绝,因为只提供 128 位加密。
我不想让他们改变现状,而是想在我们这边解决这个问题。我找到了一个热修复允许我将 256 位 AES 密码添加到可用密码列表中。我安装了修补程序,但它没有解决我的问题。
读完本文后文章,我怀疑我们的 Exchange 2007 服务器的密码顺序首先提供 128 位加密,然后当我们这样做时,远程服务器正在 RSET 连接。我想验证我们的服务器是否首先提供 256 位加密选项。
这计算机配置 | 管理模板 | 网络 | SSL 配置设置 | SSL 密码套件顺序我的 Windows Server 2003 Exchange 框中不存在该密钥,所以我无法修改它。
有人知道如何解决这个问题吗?
答案1
显然,无法重新排序 SSL 密码套件。我的Windows 服务器 2003Exchange 2007 服务器将永远在 AES-256 之前提供 AES-128,除非我通过修改以下注册表项禁用 AES-128。
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\AES 128/128 : DWORD Enabled=0x0
使用 Windows Server 2008,您只需更改SSL 密码套件顺序。
答案2
我知道这是一篇旧帖子,但也许它会对其他人有所帮助。以下是如何更改 2008 年的密码顺序。我遇到了同样的问题,花了几个月的时间才在微软和需要 AES 256 的另一方之间解决。另一方甚至无法告诉我如何实现这一点。我不得不在微软周围转了 19 周才得到这个:
在您的 Exchange 桥头上:gpedit.msc > 本地计算机策略 > 计算机配置 > 管理模板 > 网络 > SSL 配置设置 > SSL 密码套件顺序 > 已启用
剪下“SSL 密码套件”字段中的内容(粘贴到记事本中以便安全保存),然后将以下内容复制到“SSL 密码套件”字段中(不用担心,所有内容都适合)
TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384、TLS_ECDHE_ ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_ AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA
可能需要重启某些服务或重启服务器。希望一切顺利。