我正在努力从 Exchange 2007 迁移到 Exchange Online。我已经到了需要 ADFS 在我的域外工作的地步。我从 GD 获得了受信任的第三方证书,在防火墙中进行了适当的设置更改,并且可以验证到达 ADFS 服务器的流量。
我遇到的问题是 ADFS 在生成证书时需要旧配置,这显然会限制密码。我在事件查看器中看到的错误代码是:
“错误:从远程客户端应用程序收到 TLS 1.0 连接请求,但服务器不支持客户端应用程序支持的任何密码套件。SSL 连接请求失败。
生成了致命警报并发送到远程端点。这可能会导致连接终止。TLS 协议定义的致命错误代码为 40。Windows SChannel 错误状态为 1204”
我尝试使用 openssl 导入然后导出证书以“解锁”所有密码,但似乎无法让它工作。感谢大家阅读,任何建议都将不胜感激。
答案1
你已经知道了这里的根本原因:
- 根本原因:出现此问题的原因是所使用的证书采用了称为下一代加密 (CNG) 的较新加密技术。CNG 允许使用一套与 ADFS 不兼容的较新公钥提供程序。
所以这里的解决方案是:
解决方案:
- 如果您使用 Microsoft 证书颁发机构颁发证书,则可以使用指定旧式加密服务提供程序的证书模板来确保使用旧式 API。
- 如果您从公共证书颁发机构收到证书,则需要联系他们 (GD) 使用旧式 CSP 重新颁发证书,以便 ADFS 向导可以接受该证书。
- 或者使用证书实用程序像下面这样导入证书:
certutil.exe -csp “Microsoft 增强型 RSA 和 AES 加密提供程序” -importpfx C:\Cert\YourCNGCertFile.pfx