我们有一个在 Win2003 Server 上运行的旧产品。它调用第三方服务以允许用户进行安全支付。我们已收到通知,第三方将切换到 TLS 1.2。Windows Server 2003 不支持 TLS 1.2。由于超出此问题范围的原因,我们无法轻松地将代码移动到新服务器,并且我们不愿冒险将操作系统升级到生产机器。我正在寻找最简单的解决方案,以便在我们努力将该产品迁移到云端时为我们争取一些时间。我正在考虑以下想法。
- 使用某种代理来连接 TLS 1.0 和 1.2(如果可能的话,我不确定如何处理这个问题。)
- 创建一个路由请求/响应的服务,并修改服务器中的主机文件以指向新的端点。
我无法想象我是第一个处理这个问题的人——而且我宁愿不重新发明轮子。我有足够的经验,如果有人给我一个通用的方法和一些关键词,我就可以解决剩下的问题。
问题:在升级到 TLS 1.2 后,哪种方法可以允许在 Windows 2003 服务器上运行的代码继续调用现有端点?
答案1
现在是“安全”支付服务升级其 TLS 1.0 的时候了,这次更新早就应该进行了。
我看到以下选项:
- 克隆服务器(如果可以的话克隆到虚拟机),尝试离线升级
- 设置 SSL 代理 - 需要终止 TLS 1.0 套接字并将数据传输到 TLS 1.2 套接字;这很可能包括一些 DNS 操作,并可能需要使用自定义 CA 证书