这个问题已经让我发疯了很长时间了。 我们有三个Web服务器,服务于东,西和中央办事处。 我们首先构build了中央服务器,对其进行了映像,并在通过内部安全扫描后将映像复制到其他两个站点,并确保符合FIPS 140-2标准。 这些服务器运行的是Windows 2008 Standard R2,IIS 7.5,并且与它们各自的环境所允许的接近。 所有这三个Web服务器在端口443上都被限制为https。每个服务器的证书都是使用相同的证书颁发机构和encryptionalgorithm生成的。
我们的用户可以很好地连接到东部和中部。 但是,当他们访问West时,除非启用SSL 2.0,否则一些(不是全部,但有些)不能连接。 我们的大多数用户在他们的工作站和笔记本电脑上都有一个标准的设置:Windows 7,IE8。 既然不会发生在每个人身上,而那些不能进入西方的用户也不会遇到别人的麻烦,那么对我来说就不是一个客户端的问题。
任何服务器上都不启用SSL 2.0。 仅启用TLS – 在任何服务器上都不启用SSL版本,甚至不支持3.0。 我运行了诊断软件来检查安装的密码,他们回来确认服务器上没有运行SSL 2.0。 我甚至运行过实际的testing:我已经禁用了浏览器中的TLS,并尝试使用SSL 2.0,3.0或两者进行连接。 我的联系被拒绝,因为它应该是。 我还在我的位置上运行了几个networking嗅探器,然后IT检测到我并closures了我,并确认SSL 2.0被禁用。
我认为encryption的连接必须是直接的和未修改的,以保持安全。 但是,在我们的服务器和客户端请求之间的networking上是否会有某种东西 – 例如一个糟糕的代理 – 在某些情况下会干扰连接?
如果有人有任何build议,我会很感激。 我在我的智慧结束。
(请注意,我不在这三个地点的任何一个地方,而且我也没有直接访问networking基础设施进行诊断,我必须知道我想在解决IT问题之前要解决的具体问题。 !)