PRB︰ 不能访问 SSL 站点启用 FIPS 兼容加密后

适用于: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

症状


当您使用 Microsoft Internet Explorer 访问的安全套接字层 (SSL) Web 站点时,"找不到服务器"是显示标题栏,并在 Internet Explorer 的内容窗格中收到以下错误消息︰
不显示此页。
您正在寻找的页面是当前不可用。网站可能遇到技术困难,或者您需要调整您的浏览器设置。
请尝试以下操作:
  • 单击刷新按钮,或稍后再试。
  • 如果在地址栏中键入页面地址,请确保拼写正确。
  • 要检查您的连接设置,请单击工具菜单,然后单击 Internet 选项。在连接选项卡上,单击设置。设置应匹配所提供的您的局域网 (LAN) 管理员或 Internet 服务提供商 (ISP)
  • 如果网络管理员启用了它,Microsoft Windows 可以检查您的网络并自动发现网络连接设置
  • 如果您希望 Windows 尝试并发现它们,请单击检测网络设置
  • 某些站点要求 128-位的连接安全。单击帮助菜单,然后单击 Internet Explorer 以确定安装了哪些强度安全关于
  • 如果您要访问某安全站点,请确保您的安全设置能够支持。单击工具菜单,然后单击 Internet 选项。在高级选项卡上,滚动至安全部分,检查设置 SSL 2.0,SSL 3.0、 TLS 1.0,PCT 1.0。
  • 单击后退按钮尝试另一个链接。最后,在 IE 的最底部找不到内容窗格中看到错误,服务器或 DNS 错误
当您使用下面的 Microsoft Windows 更新 Web 站点︰并单击更新扫描按钮,您可能会收到以下错误消息︰
Windows 更新错误
这是错误编号 0x800C0008。因为下载软件更新目录通过 SSL Windows 更新失败,将发生此错误。

原因


如果启用了以下的本地安全设置 (或属于一个域组策略设置已启用设置),则可能发生此错误︰

系统加密︰ 使用 FIPS 兼容的算法来加密、 哈希和签名。

如果启用此设置,则操作系统的安全通道提供商被迫使用仅以下安全算法︰ TLS_RSA_WITH_3DES_EDE_CBC_SHA。这种强制安全频道提供商协商只更强的 Trasnport 层安全性 (TLS) 1.0 协议,当您使用应用程序,如 Microsoft Windows Messenger,Microsoft MSN Messenger,并且 Internet Explorer 访问 SSL 站点。

您会收到下列方案之一为真时"症状"一节中描述的错误︰
  • 访问一个 Web 站点,使用 Microsoft Internet Information Services (IIS) 4.0 版或更高版本,并且 Internet Explorer 不配置为支持 TLS 1.0。默认情况下,所有版本的 Internet Explorer 中未启用 TLS 1.0。
  • 访问正在运行软件不是 Internet Information Services 不支持加密、 哈希或签名算法的联邦信息处理标准 (FIPS) 兼容的网站。 例如,SSL3 将使用协议的 IIS Web 服务器 HTPPS。但是,由于 SSL3 使用 MD5 算法 (不符合 FIPS 算法),其本地安全策略强制使用仅 FIPS 兼容的算法的用户会遇到有案可稽的错误。

解决方案


若要解决此问题,请使用下列方法之一:
  • 方法 1

    第一次启用 Internet Explorer 中的 TLS 1.0 协议支持。 如果访问 Web 站点运行 Internet Information Services 4.0 或更高版本,配置到支持 TLS 1.0 的 Internet Explorer 有助于保护您的连接 (如果您正在使用远程 Web 服务器支持此协议)。 若要配置 Internet Explorer 以支持 TLS 1.0,请按照下列步骤操作︰
    1. 工具菜单上,单击Internet 选项
    2. 高级选项卡上,在安全下,请确保选中下面的复选框︰
      • 使用 SSL 2.0
      • 使用 SSL 3.0
      • 使用 TLS 1.0
    3. 单击应用,然后单击确定
    启用了 TLS 1.0 之后,尝试再次访问该 Web 站点。如果您仍然无法使用 SSL,远程 Web 服务器可能不支持 TLS 1.0。
  • 方法 2

    如果您访问的 Web 服务器不支持 TLS 1.0,则必须禁用系统策略,它要求 FIPS 兼容的算法。 若要执行此操作,请执行以下步骤:
    1. 在控制面板中,单击管理工具,然后双击本地安全策略
    2. 本地安全设置中,展开本地策略,然后单击安全选项
    3. 在右窗格中的策略中,双击系统加密︰ 使用 FIPS 兼容的算法来加密、 哈希和签名,然后单击禁用
    重新应用本地安全策略后,则更改将生效。