这个问题让我抓狂了好久。我们有三台 Web 服务器,分别服务于东部、西部和中央办公室。我们首先构建了中央服务器,对其进行了映像处理,并在通过内部安全扫描并确保符合 FIPS 140-2 标准后,将映像复制到其他两个站点。这些服务器运行的是 Windows 2008 Standard R2、IIS 7.5,并且尽可能接近各自环境允许的相同。所有三台 Web 服务器都限制在端口 443 上使用 https。每台服务器的证书都是使用相同的证书颁发机构和加密算法生成的。
我们的用户可以顺利连接到东部和中部。但是当他们访问西部时,有些用户(不是全部,但有些用户)无法连接,除非他们启用 SSL 2.0。我们的大多数用户在工作站和笔记本电脑上都使用标准设置:Windows 7、IE8。由于这种情况并非每个人都会遇到,而且那些无法访问西部的用户在访问其他网站时也没有遇到任何问题,所以我觉得这不是客户端问题。
任何服务器上都没有启用 SSL 2.0。仅启用了 TLS — 任何服务器上都没有启用任何版本的 SSL,甚至 3.0 也没有。我运行了诊断软件来检查已安装的密码,结果确认服务器上没有运行 SSL 2.0。我甚至进行了实际测试:我在浏览器中禁用了 TLS,并尝试使用 SSL 2.0、3.0 或两者进行连接。我的连接被拒绝了,这是理所当然的。我还从我的位置运行了几个网络嗅探器,然后 IT 检测到我并关闭了我……他们确认 SSL 2.0 已被禁用。
我认为加密连接必须是直接的、未经修改的,才能保证安全。但是,我们的服务器和客户端请求之间的网络上是否存在某些东西(例如,一个坏的代理)在某些情况下会以某种方式干扰连接?
如果有人有什么建议,我会很感激。我已经束手无策了。
(请注意,我不在这三个地点中的任何一个,也无法直接访问网络基础设施进行诊断。我必须知道在我开始接触 IT 之前,我想解决的具体问题。无论如何,提前感谢!