উইন্ডোর এসএসএল সিফার-স্যুট নির্দিষ্ট এসএসএল শংসাপত্রের আওতায় কেন সীমাবদ্ধ থাকবে?

সমস্যা: উইন্ডোজ সার্ভার ২০০৮ আর 2 সার্ভারে কিছু শংসাপত্র ব্যবহার করার সময় কেবলমাত্র নিম্নলিখিত এসএসএল সিফার স্যুটগুলিকে সমর্থন করবে:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

এটি এক্সপি ক্লায়েন্টদের সার্ভারের সাথে সংযোগ স্থাপন থেকে বাধা দেয় কারণ এক্সপি ক্রিপ্টোগ্রাফিক এপিআই ডিফল্টরূপে কোনও এইএস সিফার সমর্থন করে না।
ফলস্বরূপ, ইন্টারনেট এক্সপ্লোরার বা দূরবর্তী ডেস্কটপ ব্যবহার করে সংযোগ করার চেষ্টা করার সময় সার্ভার লগগুলিতে নিম্নলিখিত ত্রুটিগুলি উপস্থিত হয়। (যেহেতু তারা মাইক্রোসফ্টরের সিএপিআই ব্যবহার করে)

স্ক্যানেল ত্রুটি 36874 "একটি রিমোট ক্লায়েন্ট অ্যাপ্লিকেশন থেকে একটি টিএলএস 1.0 সংযোগ প্রাপ্ত হয়েছিল, তবে ক্লায়েন্ট দ্বারা সমর্থিত সাইফার স্যুটগুলির ডডনে সার্ভার দ্বারা সমর্থিত। এসএসএল সংযোগের অনুরোধটি ব্যর্থ হয়েছে" "
স্ক্যানেল ত্রুটি 36888 "নিম্নলিখিত মারাত্মক সতর্কতা উত্পন্ন হয়েছিল: 40. অভ্যন্তরীণ ত্রুটির অবস্থা 1204"

যদি সার্ভারে ব্যবহৃত শংসাপত্রটি শংসাপত্রের অনুরোধ ফর্মটিতে লেগ্যাসি কী বিকল্পটি ব্যবহার করে উত্পন্ন হয়, তবে সেই শংসাপত্রের জন্য ব্যক্তিগত কী মাইক্রোসফ্টের উত্তরাধিকার ক্রিপ্টোগ্রাফিক এপিআই ফ্রেমওয়ার্কে সংরক্ষণ করা হবে। ওয়েব সার্ভার যখন তার নতুন, ক্রিপ্টোগ্রাফিক নেক্সট জেনারেশন (সিএনজি) ফ্রেমওয়ার্কটি ব্যবহার করে অনুরোধগুলি প্রক্রিয়া করার চেষ্টা করে, তখন দেখা যায় যে উত্তরাধিকার কাঠামোর মধ্যে সংরক্ষিত আরএসএ প্রাইভেট কী সম্পর্কিত কিছু নতুন ফ্রেমওয়ার্কের কাছে অনুপলব্ধ। ফলস্বরূপ, আরএসএ সাইফার স্যুটগুলির ব্যবহার মারাত্মকভাবে সীমাবদ্ধ।

সমাধান:
কাস্টম শংসাপত্রের অনুরোধ উইজার্ডে সিএনজি কী টেম্পলেট ব্যবহার করে শংসাপত্রের অনুরোধ তৈরি করুন।

এমএমসি | স্থানীয় কম্পিউটার শংসাপত্র ব্যবস্থাপক | ব্যক্তিগত শংসাপত্র ফোল্ডার | (ডান ক্লিক করুন) | সমস্ত টাস্ক -> উন্নত অপারেশনস | কাস্টম অনুরোধ তৈরি করুন "তালিকাভুক্তি নীতি ছাড়াই এগিয়ে যান" | নির্বাচন করুন "(কোন টেমপ্লেট) সিএনজি কী" | আপনার প্রয়োজন অনুসারে শংসাপত্রের অনুরোধটি সম্পূর্ণ করতে এগিয়ে যান।

কীটি সঠিক জায়গায় রয়েছে তা যাচাই করা হচ্ছে:
http://msdn.microsoft.com/en-us/library/bb204778(VS.85).aspx
http://www.jensign.com/KeyPal/index.html

সঠিক সাইফার-স্যুট যাচাই করার জন্য সরঞ্জামগুলি:
http://pentestit.com/2010/05/16/ssltls-audit-audit-web-servers-ssl-ciphers/
https://www.ssllabs.com/

এসএসএল সাইফার-স্যুট সেটিংস:
http://support.microsoft.com/kb/245030
http://blogs.technet.com/b/teriley/archive/2007/11/06/changing-the-ssl-cipher-order ইন-ইন্টারনেট এক্সপ্লোরার -7-অন-জানালা-vista.aspx

এটি বের করতে আমাদের এক সপ্তাহ লেগেছিল। আমি আশা করি এটি কারও একই সমস্যা বাঁচায়।

এই একই একই সমস্যাটি আমি নিজেই পেয়েছি এবং এই পোস্টটি আমাকে অনেক সময় বাঁচিয়েছে তাই সবাইকে ধন্যবাদ!

গ্যারিটির সমাধানটি স্পট রয়েছে তবে আমি পিএফএক্সকে পিইএম তে রূপান্তর করে এবং তারপর ওপেনসেল ব্যবহার করে আবার পিএফএক্সে ফিরে এসে সমস্যার সমাধান করতে পেরেছি। নতুন পিএফএক্স আইআইএসে শংসাপত্রটি আমদানি করে ঠিক একই পার্থক্যের সাথে আমি অনুপস্থিত সাইফার দেখতে পাচ্ছি।

এই হল কিভাবে:

openssl pkcs12 -in mycert.pfx -out mycert.cer -nodes

তারপরে সেরি ফাইলটি তিনটি, কী, শংসাপত্র এবং মধ্যবর্তী শংসাপত্র [গুলি] এ বিভক্ত করুন

openssl pkcs12 -export -out mycert-new.pfx -inkey mycert.key \
-in mycert.crt -certfile mycert-intermediate.crt

তারপরে আপনি যদি নতুন .pfx ফাইলটি আইআইএস-এ আমদানি করেন তবে এটি আপনার দেখার প্রত্যাশা করা সমস্ত সিফার ব্যবহার করবে।

সুতরাং শংসাপত্র পুনরায় প্রকাশ করার দরকার নেই।

ধন্যবাদ, আপনার পোস্টটি আমাকে সহায়তা করেছিল, যদিও আমার সমস্যাটি একরকম ছিল না।

তবে, কারণটি ছিল আমার পক্ষ থেকে একটি WINHTTP সার্ভার এপিআই কনফিগারেশন ভুল mistake আমার আইপি পরিবর্তন হয়েছে এবং আমি যখন "এমওয়াই" মেশিনে একটি নতুন সার্ভার শংসাপত্র রেখেছি তখন আমি এইচটিটিপিএসসেটস সার্ভিস কনফিগারেশনের ALREADY_EXISTS রিটার্ন কোডটিকে উপেক্ষা করেছি।

সুতরাং আমি একটি পূর্ববর্তী সার্ভার টিএলএস শংসাপত্র ব্যবহার করেছি যার ভুল সাধারণ নাম ছিল এবং আমার নতুন সার্ভারের নামের সাথে মেলে না।

আপনি যদি এইচটিটিপিডিলেটসেসিওর কনফিগারেশন () না করেন বা কমান্ড লাইন "নেট স্পোর্টস ডিলিট স্ল্যাসার্ট 0.0.0.0:8443" সঠিকভাবে পাবেন তবে আপনি এই লক্ষণগুলির সাথে একটি বাজে ত্রুটি পাবেন:

1) টিএলএসে, আপনার ক্লায়েন্ট হ্যালো সাথে সাথেই আপনার সার্ভারের টিসিপি প্যাকেটের সাথে আক এবং রিসেট পতাকা বিট সেট সহ দেখা হবে। (একটি হ্যান্ডশেক ব্যর্থতা সতর্কতা, আমি মনে করি?)

2) ইভেন্টের দর্শক "নিম্নলিখিত মারাত্মক সতর্কতা উত্পন্ন হয়েছিল: 40. অভ্যন্তরীণ ত্রুটির অবস্থা 107" "

"একটি রিমোট ক্লায়েন্ট অ্যাপ্লিকেশন থেকে একটি এসএসএল 3.0 সংযোগের অনুরোধ পাওয়া গেছে, তবে ক্লায়েন্ট অ্যাপ্লিকেশন দ্বারা সমর্থিত সাইফার স্যুটগুলির কোনওটিই সার্ভার দ্বারা সমর্থিত নয় The এসএসএল সংযোগের অনুরোধটি ব্যর্থ হয়েছে" "

সুতরাং আপনি একটি সাইফার স্যুট মেলে না তাড়া করার আগে, নিশ্চিত হয়ে নিন যে আপনি যে সার্ভার শংসাপত্রটি ব্যবহার করতে চান তা সত্যই ব্যবহার করছেন:

         netsh http show sslcert

এবং হ্যাশ মান পরীক্ষা করে দেখুন!

এটি কীস্পেক = 2 - AT_SIGNATURE সমস্যা হতে পারে

certutil -verifystore -v কীসপেক মানটি যাচাই করতে আমার "সার্টের থাম্বপ্রিন্ট"। যদি এটির 2 হয় তবে আপনাকে একটি পিএফএক্স ফাইল হিসাবে শংসাপত্রটি রফতানি করতে হবে এবং তারপরে এটি ঠিক করার জন্য সার্টুটিয়েল-ইম্পোর্টপএফএক্স এT_KEYEXCHANGE চালনা করুন।