Zum Inhalt wechseln


Foto

Exchange Unterstützung für TLS 1.2?

Exchange

  • Bitte melde dich an um zu Antworten
53 Antworten in diesem Thema

#1 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 09. Januar 2015 - 10:53

Hallo allerseits, wie kann ich feststellen das mein Exchange Server 2012 TLS 1.2 unterstützt und dies auch funktioniert. In der Registry ist es zumindest mal aktiviert. Ich möchte aber wissen obs auch funktioniert. gruesse


Bearbeitet von Lian, 12. Januar 2015 - 20:35.


#2 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Januar 2015 - 10:54

Exchange 2013 meinst du? Der unterstützt es ab CU7. Testen kann man das sicher mit openssl oder Seiten wie dieser hier: http://www.checktls.com/

 

Bye

Norbert


Bearbeitet von NorbertFe, 09. Januar 2015 - 10:56.

Make something i***-proof and they will build a better i***.


#3 RobertWi

RobertWi

    Expert Member

  • 4.987 Beiträge

 

Geschrieben 09. Januar 2015 - 10:57

Moin,

ich benutze dafür SSLyze:
https://github.com/n...sslyze/releases

Ist Python und gibt es für Windows in einer einzelnen EXE.

Aufruf mit:
sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp

Tipp: Zwei Stunden Try&Error können 10 Minuten lesen im Technet sparen!


#4 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 09. Januar 2015 - 11:14

Hallo,

 

danke für die Antworten. Ich habe das Tool von Robert ausprobiert und bekomme beim Punkt TLSV1_ Cipher Suites die Ausgabe: Server rejected all cipher suites.

 

Bedeutet das das TLS v.1.1 nicht funktioniert?

 

gruesse



#5 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Januar 2015 - 11:20

Kannst du bitte sagen welche Exchange Version du einsetzt?


Make something i***-proof and they will build a better i***.


#6 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 09. Januar 2015 - 11:24

OH :) Klar. Exchange Server 2013 Std CU3

 

gruesse



#7 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Januar 2015 - 11:26

Du brauchst CU7! Steht in der ersten Antwort. Und damit du mir das auch glaubst: http://support.micro....com/kb/3001217


Bearbeitet von NorbertFe, 09. Januar 2015 - 11:27.

Make something i***-proof and they will build a better i***.


#8 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 09. Januar 2015 - 11:29

Hallo,

 

super, danke. Dann installiere ich mal das CU7.

 

Vielen Dank

 

gruesse



#9 RobertWi

RobertWi

    Expert Member

  • 4.987 Beiträge

 

Geschrieben 09. Januar 2015 - 11:33

Hallo,
 
danke für die Antworten. Ich habe das Tool von Robert ausprobiert und bekomme beim Punkt TLSV1_ Cipher Suites die Ausgabe: Server rejected all cipher suites.
 
Bedeutet das das TLS v.1.1 nicht funktioniert?
 
gruesse


Das heißt, dass der Server auf TLS 1.1 nicht antwortet.

Das sieht so aus (Beispiele sind von HTTPS):

Funktioniert nicht oder ist deaktiviert:
 * SSLV2 Cipher Suites:
      Undefined - An unexpected error happened: 
                 RC4-MD5                             timeout - timed out                
                 RC2-CBC-MD5                         timeout - timed out                
usw.

Funktioniert und ist aktiviert:
 * TLSV1_2 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA384       ECDH-521 bits  256 bits      HTTP 200 OK                        
      Accepted:                        
                 ECDHE-RSA-AES256-SHA384       ECDH-521 bits  256 bits      HTTP 200 OK                        
                 ECDHE-RSA-AES256-SHA          ECDH-521 bits  256 bits      HTTP 200 OK                        
                 AES256-SHA256                 -              256 bits      HTTP 200 OK                        
                 AES256-SHA                    -              256 bits      HTTP 200 OK
Unter "Prefered" sollten Cipher stehen, die ein "DHE" im Namen haben, am besten "ECDHE". Dann wirde PFS unterstützt. Ob man bei den "Accepted" auch Nicht-PFS haben will, muss man selbst sehen.

Tipp: Zwei Stunden Try&Error können 10 Minuten lesen im Technet sparen!


#10 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 09. Januar 2015 - 11:36

DANKE :)



#11 Lian

Lian

    Moderator

  • 19.990 Beiträge

 

Geschrieben 09. Januar 2015 - 12:14

Bitte wähle über den Button "Beste Lösung" die Antwort aus, die Dir geholfen hat - Danke!


–––
Microsoft MVP [Cloud and Datacenter Management - High Availability]

#12 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 13. Januar 2015 - 10:04

Hallo,

 

ich habe nun das Update auf CU7gemacht. Direkt von CU3 auf CU7. Leider ist TLS1.1 und 1.2 immer noch nicht aktiviert bzw. funktioniert nicht. Was mache ich nun?

 

gruesse



#13 RobertWi

RobertWi

    Expert Member

  • 4.987 Beiträge

 

Geschrieben 13. Januar 2015 - 10:09

Moin,

teste mal, ob TLS bei dem Server überhaupt aktiviert ist:
http://support.micro...b/2709167/en-us

Ich benutze zur Config der gerne das hier:
https://www.nartac.c...ucts/IISCrypto/

Tipp: Zwei Stunden Try&Error können 10 Minuten lesen im Technet sparen!


#14 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 13. Januar 2015 - 10:36

Hallo,

 

also laut dem Tool ist alles aktiviert. In der Registry habe ich auch nochmal nachgesehen, da passt auch alles. Allerdings habe ich da keine Schlüssel names Client sondern nur Server.

 

Mein Aufruf:  .\sslyze\sslyze.exe mx.xxxxxxxxxxxxxxx.eu:2525 --regular --starttls=smtp

 

TLSV1_2 Cipher Suites:
  Server rejected all cipher suites.

 

gruesse

Angehängte Dateien


Bearbeitet von bill_mustermann, 13. Januar 2015 - 10:44.


#15 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 14. Januar 2015 - 07:40

Hallo,

 

keiner mehr eine Idee?

 

gruesse