据微软报告,它将仅支持至少具有以下一种密码的 TLS 1.2:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
https://docs.microsoft.com/en-us/power-platform/admin/server-cipher-tls-requirements
然而,当我测试我网站的 TLS 密码时,我看到最接近的等效密码被报告为“ECDSA”,而不是“RSA”。例如:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
我测试的端点是 Cloudflare。他们的密码列表表明支持 RSA,但我在 ssllabs.com 上测试时没有在列表中看到 RSA。
https://developers.cloudflare.com/ssl/ssl-tls/cipher-suites
ECDSA 和 RSA 是否等效?这种差异会给 Microsoft 带来问题吗?
答案1
RSA 和 ECDSA 并不是等效术语,而是当今证书签名的两种主要替代方案。
RSA 在 TLS 中使用更为流行(主要基于传统),但 ECDSA 是一个非常有效的选择,而且可能更具前瞻性。
这Microsoft Power 平台文档仅列出了 RSA“轨道”的密码套件要求(可能是因为它很受欢迎),他们的总体情绪非常明确,他们拒绝过时的 TLS 参数。但是,不允许 ECDSA 并不符合这种情绪,如果他们拒绝 ECDSA,总体来说会有点奇怪。
这可能只是文档疏忽,但您应该尝试要求他们澄清情况;ECDSA 很可能有效,但假设他们的文档有误并可能让您陷入困境并不好。
否则,请查看 Cloudflare 是否可以为您提供基于 RSA 的证书,或者自己提供此类证书。
答案2
ECDSA 和 RSA 等效吗?
不可以。只有证书有 RSA 公钥时才可使用 RSA 密码。只有证书有 ECC 公钥时才可使用 ECDSA 密码。如果您想使用所需的密码,则必须将证书更改为具有 RSA 公钥的证书。
这种差异会给微软带来问题吗?
由于您引用的部分没有任何内容表明他们也会接受 ECDSA 密码,因此这很可能会导致问题。