在Windows 2012 SChannel上启用SSL后出现的SChannel错误

Question

我在Azure上有一个Windows 2012 R2实例。对于一个新的网站，我已经订购了一个GlobalSign证书。从它们获得证书之后，我在IIS中完成了证书请求，并安装了根证书。

我将网站移动到一个新实例，因此我导出了带有私钥的证书，并将其导入到新实例中。

那是我的装置，它似乎运行得很好。

现在我收到了很多SChannel错误。它们是：

A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 40. The Windows SChannel error state is 1205.

A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 20. The Windows SChannel error state is 960.

An SSL 3.0 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed.

这是我第一次使用SSL，老实说，我不知道自己在做什么。对我来说，当我请求网站(http://laola.biz)时，它看起来很好。

我已经使用了GlobalSign的SSL检查，这给了我C级的https://sslcheck.globalsign.com/en_US/sslcheck?host=laola.biz#191.233.85.240-cert-ssl

这里是mmc的证书列表(我的网站是laola.biz)：

中级

根部

个人

知道我在这里做错了什么吗？

Answer 1

由于不同的人(好意或其他方面)试图从不同操作系统上运行不同浏览器的各种设备访问您的站点，这取决于他们为保护通信而选择的协议，您最终会看到schannel源看到的消息。

下面的博客应该可以帮助您理解在日志中看到的一些消息。http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

你的成绩有点让人担心。如果您将站点直接发布到Azure网站，则不会启用SSL3。

您可以在这里使用指南禁用SSL3，http://blogs.msdn.com/b/kaushal/archive/2014/10/22/poodle-vulnerability-padding-oracle-on-downgraded-legacy-encryption.aspx

如果您可以将站点从VM移动到Azure网站本身，那就更好了。它将节省您必须修补和安全的VM(s)用来主持网站。相反，您依赖Azure PaaS来提供网站托管平台。在Azure保护和维护IIS/平台时，您负责处理网站代码。

从TLS的角度来看，平台即将发生的变化反映在https://testsslclient.trafficmanager.net/中。您可以测试这个，以查看您的网站可以得到的评分，如果您要迁移到一个Azure网站直接。