在Windows Server 2012 R2上启用SSL后发生SChannel错误
我在Azure上有一个Windows Server 2012 R2实例。 对于一个新的网站,我已经订购了GlobalSign的证书。 从他们获得证书后,我已经在IIS中完成了证书请求,并安装了根证书。
我把网站移到了一个新的实例,所以我已经用自己的私钥导出了证书,并将它导入到新的实例中。
这是我的安装,它似乎工作得很好。
现在我收到很多SChannel错误。 他们是:
- 带有SNI + ELB的AWS cloudfront,其中443到80redirect到EC2问题
- CURL和SSL在特定网站上失败
- locking后报告的Windows Server 2012 R2 IIS弱密码
- 无法使用perl NET :: LDAPS采取安全的LDAP连接
- 将密钥/证书移至其他计算机后,SSLconfiguration在Apache中失败
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 40. The Windows SChannel error state is 1205.
A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.
An SSL 3.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.
这是我第一次使用SSL,说实话,我不知道我在做什么。 对于我来说,当我请求网站( http://laola.biz )时,它看起来很好。
我已经使用GlobalSign的SSL检查,它给了我C级。https: //sslcheck.globalsign.com/zh_CN/sslcheck?host = laola.biz#191.233.85.240-cert-ssl
这里是来自mmc的证书列表(我的网站是laola.biz ):
中间 
根 
个人 
任何想法,我可以做错了吗?
由于不同的人(善意的和其他的)试图从各种操作系统上运行各种浏览器的各种设备访问你的站点,这取决于他们select保护这种通信的协议,你最终会看到schannel源的消息。
以下博客应该可以帮助您了解您在日志中看到的一些消息。 http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx
你到那里的等级有一点关系。 如果您直接向Azure网站发布网站,则不会启用SSL3。
您可以使用这里的指导禁用SSL3 http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx
如果您可以将该网站从虚拟机移动到Azure网站本身,那会更好。 这将节省您不得不修补和保护用于托pipe网站的虚拟机。 而是依靠Azure PaaS提供托pipe网站的平台。 当Azure确保和维护IIS /平台时,您负责pipe理网站代码。
从TLSangular度对平台的即将发生的更改反映在https://testsslclient.trafficmanager.net/中 。 如果要直接将网站迁移到Azure网站,则可以testing此function以查看网站的评分。