विंडोज सर्वर 2019 पर मिसिंग सिफर सूट
मैं विंडोज सर्वर 2019 चलाने वाले सर्वर बनाने के लिए एक MEMCM टास्क सीक्वेंस का उपयोग कर रहा हूं। अब तक, मैं इस ओएस के साथ 22 सर्वर का निर्माण करता हूं। ओएसडी के अंत में, उनमें से 20 पर मेरे पास उपयोग के लिए केवल 10 सिफर सूट उपलब्ध हैं।
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
अधिक सिफर सुइट वाले दो सर्वरों पर, मेरे पास 31 निम्न सिफर सुइट उपलब्ध हैं।
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_NULL_SHA256
TLS_RSA_WITH_NULL_SHA
TLS_PSK_WITH_AES_256_GCM_SHA384
TLS_PSK_WITH_AES_128_GCM_SHA256
TLS_PSK_WITH_AES_256_CBC_SHA384
TLS_PSK_WITH_AES_128_CBC_SHA256
TLS_PSK_WITH_NULL_SHA384
TLS_PSK_WITH_NULL_SHA256
सिफर सूट के सीमित सेट के साथ सर्वर पर, मैंने टीएलएस 1.2 को सक्षम करने के लिए आवश्यक रजिस्ट्री कुंजियों को जोड़ा है HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
और एक रिबूट का प्रदर्शन किया है, लेकिन अभी भी अधिक कुछ नहीं है। और 31 सिफर सुइट्स वाले सर्वर पर, मुझे नहीं पता कि क्या बदला गया है इसलिए वे उपलब्ध हैं। मैंने भी Enable-TlsCipherSuite -Name XXX
बिना किसी सफलता के साथ उपयोग करने की कोशिश की है । अंत में, सर्वर अगस्त 2020 के अपडेट के साथ अपडेट किए जाते हैं।
कोई भी विचार क्यों लापता सिफर हैं और मैं उन्हें कैसे जोड़ सकता हूं?
जवाब
TLS 1.2 डिफ़ॉल्ट रूप से सक्षम है।
सिफर के लिए रजिस्ट्री कुंजी है:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/demystifying-schannel/ba-p/259233
मूर्खतापूर्ण कारण। एक पुराना GPO था जो सिफर सूची को उस 10 सिफर तक सीमित कर रहा था। rsop
कुछ भी नहीं gpresult /h
दिखा रहा था लेकिन मुझे जो चाहिए वह दिखा रहा था। :)