PRB: زيارة مواقع SSL بعد تمكين تشفير المتوافقة مع FIPS

ينطبق على: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

الأعراض


"لا يمكن العثور على ملقم" عند استخدام Microsoft Internet Explorer على زيارة موقع ويب طبقة مأخذ توصيل آمنة (SSL)، يتم عرض شريط العنوان، وتتلقى رسالة الخطأ التالية في جزء "المحتويات" في Internet Explorer:
لا يمكن عرض الصفحة.
الصفحة الذي تبحث عنه غير متوفر حاليا. قد يكون الموقع يواجه صعوبات تقنية، أو قد تحتاج إلى ضبط إعدادات المستعرض.
الرجاء محاولة ما يلي:
  • انقر فوق الزر "تحديث"، أو حاول مرة أخرى لاحقاً.
  • إذا قمت بكتابة عنوان الصفحة في شريط العناوين، تأكد من كتابته بشكل صحيح.
  • للتحقق من إعدادات الاتصال وانقر فوق القائمة أدوات ثم انقر فوق "خيارات إنترنت". ضمن علامة التبويب "اتصالات"، انقر فوق إعدادات. يجب أن تطابق الإعدادات تلك التي يوفرها موفر خدمة إنترنت (ISP) أو مسؤول شبكة الاتصال المحلية (LAN) الخاصة بك
  • إذا قام مسؤول الشبكة بتمكين أنه، يمكن ل Microsoft Windows اختبار شبكة الاتصال لديك واكتشاف إعدادات اتصال شبكة الاتصال تلقائياً
  • إذا أردت أن يقوم Windows بمحاولة اكتشافها، انقر فوق "الكشف عن إعدادات شبكة الاتصال"
  • تتطلب بعض المواقع أمان اتصال 128 بت. انقر فوق القائمة تعليمات ومن ثم انقر فوق حول Internet Explorer معرفة قوة الأمان تثبيت
  • إذا كنت تحاول الوصول إلى موقع أمن، تأكد من أن إعدادات الأمان الخاصة بك يمكن اعتماده. انقر فوق القائمة أدوات، ومن ثم انقر فوق "خيارات إنترنت". في التبويب خيارات متقدمة، قم بالتمرير إلى المقطع أمان وتحقق من إعدادات SSL 2.0، SSL 3.0، TLS 1.0، PCT 1.0.
  • انقر فوق الزر "الخلف" لتجربة ارتباط آخر. وأخيراً، في الجزء السفلي من أي جزء المحتوى تشاهد الخطأ لا يمكن العثور على ملقم أو خطأ DNS
عند استخدام موقع Microsoft Windows Update على ويب التالي:وانقر فوق زر البحث عن تحديثات ، قد تتلقى رسالة الخطأ التالية:
خطأ Windows Update
وهذا رقم الخطأ 0x800C0008. يحدث هذا الخطأ نظراً لفشل Windows Update تحميل كتالوج تحديث البرامج عبر SSL.

السبب


قد يحدث هذا الخطأ إذا قمت بتمكين إعداد الأمان المحلي التالية (أو تم تمكين الإعداد كجزء من إعداد "نهج المجموعة" المجال):

تشفير النظام: استخدام FIPS الخوارزميات المتوافقة مع التشفير، والتجزئة والتوقيع.

إذا تم تمكين هذا الإعداد، يتم فرض موفر قناة الأمان لنظام التشغيل لاستخدام خوارزميات الأمان التالية: TLS_RSA_WITH_3DES_EDE_CBC_SHA. يفرض هذا السلوك موفر قناة الأمان للتفاوض بشأن بروتوكول أمن طبقة تراسنبورت (TLS) 1.0 أقوى عند استخدام تطبيقات مثل Microsoft Windows Messenger و Microsoft MSN Messenger Internet Explorer لزيارة مواقع SSL.

تتلقى الخطأ الموضحة في قسم "الأعراض" إذا تحققت إحدى الحالات التالية:
  • زيارة موقع ويب يستخدم Microsoft إنترنت خدمات معلومات (IIS) 4.0 أو أحدث، ولم يتم تكوين برنامج Internet Explorer لدعم TLS 1.0. بشكل افتراضي، لا يتم تمكين TLS 1.0 في كافة إصدارات برنامج Internet Explorer.
  • زيارة موقع ويب يقوم بتشغيل البرامج خلاف "خدمات معلومات إنترنت" يدعم التشفير، تجزئة أو الخوارزميات الفيدرالية معالجة المعلومات القياسية (FIPS) متوافقة مع التوقيع. على سبيل المثال، يتم استخدام بروتوكول SSL3 بالعديد من ملقمات "ويب" غير IIS هتبس. ومع ذلك، لأن SSL3 يستخدم خوارزمية MD5 (خوارزمية غير المتوافقة مع FIPS)، تواجه المستخدمين استخدام الخوارزميات المتوافقة مع FIPS فقط فرض نهج الأمان المحلي الخاص به خطأ الموثقة.

الحل


لحل هذه المشكلة، استخدم إحدى الطرق التالية.
  • الطريقة الأولى

    تمكين دعم بروتوكول TLS 1.0 في Internet Explorer أولاً. إذا قمت بزيارة موقع ويب الذي يقوم بتشغيل Internet Information Services 4.0 أو أعلى، تكوين Internet Explorer لدعم TLS 1.0 يساعد على تأمين الاتصال (إذا كان يدعم ملقم ويب البعيد الذي تحاول استخدام هذا البروتوكول). لتكوين برنامج Internet Explorer لدعم TLS 1.0، اتبع الخطوات التالية:
    1. من القائمة أدوات ، انقر فوق " خيارات إنترنت".
    2. في التبويب خيارات متقدمة ، تحت الأمان، تأكد من تحديد خانتي الاختيار التاليتين:
      • استخدام SSL 2.0
      • استخدام SSL 3.0
      • استخدام TLS 1.0
    3. انقر فوق تطبيق، ومن ثم انقر فوق موافق.
    بعد تمكين TLS 1.0، حاول زيارة موقع ويب مرة أخرى. إذا تعذر استخدام SSL، ملقم ويب البعيد ربما لا يعتمد TLS 1.0.
  • الطريقة الثانية

    لا يعتمد ملقم ويب التي تزورها TLS 1.0، يجب عليك تعطيل نهج النظام الذي يتطلب المتوافقة مع fips. للقيام بذلك، اتبع الخطوات التالية:
    1. في "لوحة التحكم"، انقر فوق أدوات إدارية، ومن ثم انقر نقراً مزدوجاً فوق نهج الأمان المحلي.
    2. في إعدادات الأمان المحلي، قم بتوسيع النهج المحليةومن ثم انقر فوق خيارات الأمان.
    3. تحت نهج في الجزء الأيسر، انقر نقراً مزدوجاً فوق تشفير النظام: استخدام المتوافقة مع fips من أجل التشفير, والتجزئة، والتوقيع، ثم انقر فوق معطل.
    التغيير ساري المفعول بعد إعادة تطبيق نهج الأمان المحلي.