MS Server 2012 TLS连接问题

Question

我们使用一个众所周知的支付系统，从我们的RDS服务器(MS server 2012)访问已经完全停止今天。

我情不自禁地认为这与cihpers和/或TLS/SSL版本有关。

应用程序抛出(看起来像是一般的Win错误)的..。

HttpSendRequestFailed with error 12029.

然后，如果我开车进入事件日志，我可以找到多个日志显示这..

A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 70.

然而，奇怪的是，我可以在我的服务器2008 R2机器上完美地连接到这个支付提供商，赢得7台客户端机器和10台机器。

我在这里找到了几个修补程序

https://support.microsoft.com/en-gb/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in

但是我没有太多的喜悦，任何帮助都是非常感谢的。

Answer 1

原来我需要的是‘使用TLS 1.1’和‘使用TLS 1.2’。我没有使用浏览器，但我假设应用程序对web请求使用这些设置，而正如其他答案中提到的，TLS 1.0作为PCI 3.1的一部分被关闭了。

请参阅Internet Explorer > Internet Options > Advanced > Settings

Answer 2

错误代码70是protocol_version错误。简单地说，客户端试图使用的协议版本是被识别的，但不受支持。

https://www.rfc-editor.org/rfc/rfc5246#appendix-A.3

这可能不是最好的解决方案，但我会尝试在7、10和2008上使用IISCrypto，看看哪些协议、密码、哈希和密钥交换在使用中，并将它们与2012年使用的协议进行比较。

请注意，有为客户端和服务器端启用协议/密码的设置。因此，您可以在服务器端为2012年启用协议/密码，但忽略将2012年协议/密码设置为客户端。这是ISSCrypto派上用场的地方，因为它为服务器和客户端提供了协议/密码设置的图形视图。

由于您提到了一个支付系统，我怀疑PCI的遵从性涉及到，而在PCI 3.1要求中，您不能再使用TLS 1.0协议。您2012年的TLS 1.1和TLS 1.2可能是在服务器端启用的，而不是在客户端启用的(在这方面，您的2012年是客户端)。错误代码70将适合这种情况。