在一台Windows 2016上, 依據TLS與加密套件設定
只保留TLS 1.1/1.2, 沒有問題, 但要去掉CBC類加密套件時, 用gpedit.msc, 在 [電腦設定][系統管理範本][網路][SSL 組態設定][SSL 加密套件順序]
中設定加密套件為:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
重開機後, 網站不能連: Firefox說PR_CONNECT_RESET_ERROR, Chrome說ERR_CONNECTION_RESET,
糟糕的是RDP出現TLS錯誤,拒絕連接. 我連進同網段另一臺Windows, 用遠端桌面連, 也被拒絕. 我並未修改RDP的安全設定強制使用TLS. 目前只有到現場一途. 或進行系統備份回復.
這四個加密套件用Google搜尋過各類和RDP, TLS, cipher suites, 相關的關鍵字都遍尋不到答案, 有人遇過嗎?
我用IIS Crypto在另一臺Windows上設定, 設定移所有CBC加密套件, 如上用gpedit.msc檢查, 在 [電腦設定][系統管理範本][網路][SSL 組態設定][SSL 加密套件順序]
看到的是未設定, 用regedit檢查SChannel的設定, ciphersuites只有預設值, IIS上也沒看到, 請問IIS Crypto設定跑到那?
我使用Linux+Nginx設定TLS和加密套件是簡單的事, 只須在設定檔設定就好了, 但在Windows+IIS設定這些卻是如此隱晦分散? RDP還能拒絕連線?