Windows

檢查 Windows Server 2008R2 是否可以使用 TLS 1.2

  • August 22, 2018

隨著 SalesForce 下周放棄 TLS 1.0,我們被迫在 API 呼叫中使用 TLS 1.1 或 1.2,我們使用 SSIS 自定義 CozyRoc 組件從 Windows Server 2008R2 中提取 DWH 數據。我們安裝了更新檔並確保系統資料庫具有本文所述的必需條目。雖然我們沒有向 SCHANNEL 添加任何密鑰,但現在列出的唯一協議是 SSL 2.0。

接下來,當然,在重新啟動後,我用 Wireshark 記錄了一個跟踪,以發現我們在 SSIS 包中的 CozyRoc 組件使用 TLS 1.0,就像在 Server Hello 消息中我們在握手協議部分獲得 TLS 1.0 一樣。建構呼叫的 CozyRoc 組件支持 TLS 1.2。

我的問題是:如何測試我們的伺服器是否可以使用 TLS 1.2 與 SalesForce 通信?我知道禁用 TLS 1.0 可能會弄亂其他連接,所以我不想這樣做。理想情況下,我想知道我的 SSIS 包使用 TLS 1.2。

更新:我嘗試連接到我們的測試 Salesforce 站點,在該站點上禁用了 TLS 1.0。現在嘗試連接時,我收到一條錯誤消息

“UNSUPPORTED_CLIENT:TLS 1.0 已在此組織中禁用。使用 https 連接到 Salesforce 時,請使用 TLS 1.1 或更高版本。(System.Web.Services)”|

我仍然不知道應該歸咎於我的伺服器設置還是 CozyRoc 組件,所以我現在正在尋找任何方法來確保 TLS 1.2 在伺服器上工作,獨立於 SSIS 設置。有任何想法嗎?

我的問題的答案非常簡單,訪問https://www.howsmyssl.com/就足夠了。此外,Wireshark 跟踪表明我的伺服器在測試連接時使用 TLS 1.2 與 Salesforce 站點交換握手。

就我而言,瓶頸是 Cozyroc SSIS+ 版本 - 目前它是 1.6.103,您至少需要 1.6.104 才能使用 TLS 1.1 或更高版本,因此請務必檢查。

請注意,在 Windows 2008 中預設禁用 TLS 1.2(請參閱此處)。因此,您需要在每次系統資料庫更改時啟用它(見下文),您還需要了解有一個客戶端配置和一個伺服器配置。因此,例如,如果您在客戶端級別而不是伺服器級別啟用 TLS 1.2,則針對埠 443 的 nMAP 將不會顯示 TLS 1.2 已啟用,因為它僅對客戶端啟用。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000

您在這裡需要什麼幾乎不取決於您的應用程序以及它如何與遠端服務互動。因此,例如,如果第 3 方應用程序將對您的環境使用 https 會話,那麼這將是伺服器端配置。但是,如果您有一個作為服務執行的 3rd 方外掛,它與 3rd 方伺服器執行連接,那麼這是一個客戶端配置。

此外,還有一個修補程序允許使用 WinHTTP 編寫的用於安全套接字層 (SSL) 連接的應用程序和服務使用您應該安裝的 TLS 1.1 或 TLS 1.2 協議(它尚未完成,因為這是一個較舊的修復程序;請參閱此處)。

此外,如果第 3 方組件未從 Microsoft SCHANNEL 實施中使用,則系統資料庫方面的任何更改都將不起作用。因為可能是第 3 方組件正在使用另一種 SSL 實現,例如 OpenSSL。在這種情況下,您需要與供應商聯繫以檢查如何在此處啟用 TLS 1.2。例如,在使用 Java 組件(例如 TomCat)時也是如此。然後調整 Microsoft SCHANNEL 實現不會影響它們。

SalesForce 本身有一個非常好的文件,上面有更多詳細資訊,然後我可以在這裡給出。所以你也應該檢查一下(見這裡)。此外,它們提供了多種“如何測試”的方式來測試您可以執行的 TLS 配置。

引用自:https://serverfault.com/questions/862509