身份服务器4对安全密码套件的支持

Question

我们目前正在使用标识服务器3，并希望升级到标识服务器4。

我们最近为我们的一个大客户做了渗透测试，他们发现我们允许TLS_RSA_WITH_3DES_EDE_CBC_SHA密码套件。这是一个不安全的密码套件，有已知的漏洞。当我们不允许的时候，Identity Server 3就停止工作了。

在禁用此密码套件时，是否有办法使IdentityServer3工作？我们的证书是正确的，符合要求。

如果我们不允许的话，身份服务器4会起作用吗？还是会产生同样的问题。我们得到的错误如下:客户端和服务器无法通信，因为它们没有通用的算法。

Answer 1

经过一些调查，正如“最少特权”所指出的，这是微软的问题。在使用.net4.5及以下版本时，默认情况下它们不使用tls1.2，并且总是恢复到tls1.1。因此，如果您使用的是.net4.5，那么您需要通过设置本文所示的注册表设置告诉它使用tls1.2：https://techsupport.osisoft.com/Troubleshooting/KB/KB01625

一旦配置了这些注册表设置，那么使用tls1.2，一切都会正常工作。