前几天有些郁闷,安全工程师给服务器设定了禁用的CipherSuite,然后我们发现用来做远程登录的Privileged Access Management(PAM)连不上某些服务器了。我回退了我们所做的所有安全性设定,问题还是没解决。我在有问题的服务器Event Viewer里面找到了如下错误:
An TLS 1.2 connection request was received from a remote client application, but none of the cipher suites supported by the client application are supported by the server. The SSL connection request has failed."
这摆明了就是cipher suite禁用的问题嘛,为什么有的可以,有的不可以呢?那我就比较嘛?有啥命令能知道所有使能的cipherSuite?这个powershell命令:get-tlsciphersuite
有问题的和没问题的一比较还真的发现有问题的少了下面两个ciphersuite:
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
然后我们又问PAM的支持,这两个ciphersuite你们需要嘛,他们说要的要的。
赶快让安全工程师加上,今天问题顺利解决了。