PRB: Невозможно посетить веб-узлы SSL после включения FIPS-совместимого шифрования

Переводы статьи Переводы статьи
Код статьи: 811834 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

При использовании Microsoft Internet Explorer на веб-узел протокол SSL (Secure Sockets Layer) «Не удается найти сервер» не отображается в строке заголовка и в области содержимого Internet Explorer появляется следующее сообщение об ошибке:
Не удается отобразить страницу.
Страница сейчас недоступна. Веб-узел испытывает технические трудности, или может потребоваться изменение настроек обозревателя.
Попробуйте выполнить следующие действия:
  • Нажмите кнопку "Обновить" и повторите попытку позже.
  • При вводе адреса страницы в адресной строке убедитесь в том, что он введен правильно.
  • Проверьте параметры подключения, выберите в меню Сервис и выберите пункт Свойства обозревателя. На вкладке подключения нажмите кнопку Настройка. Настройка должна соответствовать сведениям, предоставленным администратором локальной сети (LAN) или поставщика услуг Интернета (ISP)
  • Если сетевой администратор включил его, Microsoft Windows можно проверить вашу сеть и автоматически определить параметры подключения
  • Если вы хотите попробовать и их обнаружения, нажмите кнопку определить параметры сети
  • Для некоторых узлов требуется 128-битное шифрование. Выберите меню «Справка» и выберите команду О программе определить степень шифрования установки
  • Если вы пытаетесь достичь безопасного веб-узла, убедитесь, что он поддерживает параметры безопасности. Выберите в меню Сервис и выберите пункт Свойства обозревателя. На вкладке Дополнительно прокрутите список до раздела Безопасность и установите флажок для SSL 2.0, SSL 3.0, TLS 1.0, PCT 1.0.
  • Нажмите кнопку "Назад", чтобы использовать другую ссылку. И, наконец в самом низу IE панели содержимого, появится сообщение об ошибке не удается найти сервер или ошибка DNS
При использовании Microsoft Windows Update веб-узла:
http://Update.Microsoft.com
и нажать кнопку Просмотр и поиск обновлений Кнопка, может появиться следующее сообщение об ошибке:
Ошибка при обновлении Windows
Это номер ошибки 0x800C0008. Эта ошибка возникает, если обновления Windows не удается загрузить каталог обновлений программного обеспечения по протоколу SSL.

Причина

Эта ошибка может возникнуть, если включен следующий параметр локальной безопасности (или параметр был включен как часть групповой политике домена):

Системная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания.

Если эта политика включена, поставщик канала безопасности операционной системы вынуждены использовать только следующие алгоритмы безопасности: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Это вынуждает поставщика безопасности канала для согласования только более надежный протокол Trasnport уровня безопасности TLS 1.0, посетите веб-узлы SSL с помощью приложений, таких как Microsoft Windows Messenger, Microsoft MSN Messenger и Internet Explorer.

Сообщение об ошибке, описанное в разделе «Проблема», при выполнении одного из следующих сценариев:
  • Посетите веб-узел, который использует Интернет информации Microsoft Services (IIS) версии 4.0 или более поздней версии и Internet Explorer настроен для поддержки TLS 1.0. По умолчанию во всех версиях Internet Explorer не включен протокол TLS 1.0.
  • Посетите веб-узел, на котором выполняется программное обеспечение, кроме служб IIS, не поддерживает шифрование, хэширование или подписи алгоритмов, которые являются федеральным обработки информации стандартный (FIPS) совместимым. Например протокол SSL3 используется много вне IIS веб - серверов для HTPPS. Тем не менее поскольку SSL3 использует алгоритм MD5 (алгоритм, который не является FIPS-совместимым), чьи локальной политики безопасности принудительно использовать только FIPS-совместимых алгоритмов сводя документированных ошибок.

Решение

Для решения этой проблемы используйте один из следующих способов:
  • Способ 1

    Сначала включите поддержку протокола TLS 1.0 в обозревателе Internet Explorer. Если при посещении веб-узла, на котором запущен Internet Information Services 4.0 или выше, Настройка Internet Explorer для поддержки TLS 1.0 помогает обеспечить безопасность подключения (если удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол). Чтобы настроить обозреватель Internet Explorer для поддержки TLS 1.0, выполните следующие действия.
    1. На Сервис меню, нажмите кнопку Параметры Интернета.
    2. На Дополнительно Вкладка в области Безопасность, убедитесь, что выбраны следующие флажки:
      • Использовать SSL 2.0
      • Использовать SSL 3.0
      • Использовать протокол TLS 1.0
    3. Нажмите кнопку Применение, а затем нажмите кнопку ОК.
    После включения TLS 1.0, попробуйте снова посетите веб-узел. Если по-прежнему не удается использовать SSL, удаленном веб-сервере скорее всего не поддерживает TLS 1.0.
  • Способ 2

    Если при посещении веб-сервер не поддерживает TLS 1.0, необходимо отключить системную политику, которая требует FIPS-совместимых алгоритмов. Чтобы сделать это, выполните следующие действия.
    1. На панели управления нажмите кнопку Администрирование, а затем дважды щелкните значок Локальная политика безопасности.
    2. В Локальные параметры безопасности, разверните узел Локальные политики, а затем нажмите кнопку Параметры безопасности.
    3. В группе Политика в правой области дважды щелкните значок Системная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания, а затем нажмите кнопку Отключено.
    Изменения вступят в силу после локальной политики безопасности перезагружается.

Свойства

Код статьи: 811834 - Последний отзыв: 14 июня 2011 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbprb kbmt KB811834 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:811834

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com