Windows Server 2008 R2 supporta solo le seguenti suite di crittografia SSL quando si utilizzano alcuni certificati sul server:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Questo impedisce ai client Windows XP di connettersi al server dopo l’XP Cryptographic API che non supporta le crittografie AES per impostazione predefinita.
Di conseguenza, i seguenti errori vengono visualizzati nei log dei server quando si tenta di connettersi utilizzando Internet Explorer o desktop remoto. (dato che usano CAPI di Microsoft)
Schannel Error 36874 “An TLS 1.0 connection was recieved from a remote client application, but dodne of the cipher suites supported by the client are supported by the server. The SSL connection request has failed.”
Schannel Error 36888 “The following fatal alert was generated: 40. The internal error state is 1204”
Se il certificato utilizzato sul server è stato generato utilizzando l’opzione Legacy Key nel modulo di richiesta del certificato, la chiave privata per il certificato verrà memorizzata in Microsoft’s legacy Cryptographic API framework.
Quando il server Web tenta di elaborare le richieste utilizzando il suo Cryptographic Next Generation (CNG) framework, sembra che qualcosa legato alla chiave privata RSA memorizzata nel framework legacy non è disponibile per il nuovo framework.
La soluzione quindi è generare un certificato utilizzando l’opzione (No Template) CNG Key
Di seguito riporto i semplici passi per la generazione di un ceritifcato utilizzando CNG:
Lanciare una MMC da Esegui
Quindi selezionare dal menù File l’opzione Add/Remove Snap-In…
Selezionare Certificates quindi cliccare su Add
Selezionare Computer Account quindi Next
Lasciare tutto inviariato e cliccare su Finish
Cliccare Ok per aggiungere lo Snap-In
Posizionarsi su Personal e cliccando di destro selezionare All Task quindi Advanced Operations e Create Custom Request…
Cliccare su Next
Selezionare Custom Request quindi Next
A questo punto selezionare l’opzione (No Template) CNG Key quindi proseguire inserendo tutte le informazioni richieste
Se invece avete la necessità di creare un certificato di tipo Legacy Key potete disattivare il log Schannel per eveitare di intasare l’event viewer System del vostro Server seguendo questa guida:
Aprire il registro di sistema e posizionarsi al seguente percorso:
|
0 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL |
Selezionare la DWORD EventLogging quindi inserire 0 al posto di 1 per disattivare il log
NOTA BENE: Il valore predefinito per la registrazione di eventi Schannel è 0x0001, il che significa che vengono registrati tutti i messaggi di errori relativi all’Schannel.
E’ possibile registrare più eventi specificando il valore esadecimale corrispondente per le opzioni di registrazione desiderato.
Ad esempio, per registrare i messaggi di errore (0x0001) e avvisi (0x0002), impostare il valore su 0x0003.
Di seguito una tabella che indica i codici utilizzabili con le relative azioni.
| VALORE | DESCRIZIONE |
| 0x0000 | Non registrare |
| 0x0001 | Registrare messaggi di errore |
| 0x0002 | Avvisi del Registro |
| 0x0004 | Registro informativo ed eventi di successo |
Sono Raffaele Chiatto, un appassionato di informatica a 360°…
Mi sono avvicinato al mondo dell’informatica nel lontano 1996 con Windows 95 e da allora non ho più smesso di dedicarmi allo studio ed approfondimento di questo settore.
Laureato in Ingegneria Informatica nel 2009, lavoro nel campo dell’IT dal lontano 2001.
0 commenti