Srv 2019 - TLS 1.2 schwache Cipher Suite übergangsweise intern erlauben

[Tom_L3 10]

Guten Tag,

 

ich habe ein Problem mit Verbindungen von einem Server 2019 über TLS 1.2 zu einem erst in zwei Woche migrierbaren 2012 R2

 

Der 2019 kann nach außen über 443 keine schwachen Cipher Suites mehr anbieten weil sonst ein Kundennetzwerk nicht mehr darauf zugreifen darf.

 

Die letzte verbliebene aus dem schwachen Pool ist TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - deaktivieren wir diese verlieren wir die interne Verbindung zum 2012 R2 und die Seite funkitoniert nicht mehr.

 

"Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung empfangen, aber keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, wird vom Server unterstützt. Fehler bei der TLS-Verbindungsanforderung. Schannel - Fehler ID 36874"

 

Kennt jemand eventuell einen Workaround eine schwache Cipher nur ins interne Netz oder gezielt zu einem Client zeitweise zu erlauben und nach außen zu deaktivieren?

 

Danke im Voraus.

Viele Grüße Tom

 

bearbeitet 24. Februar 2024 von Tom_L3

[NorbertFe 2.283]

Reverse Proxy dahin stellen, wo man meint und darüber dann die notwendigen Protokolle und ciphers zulassen.

[testperson 1.859]

Hi,

 

mit einem Reverse Proxy vor dem Server 2019 ist das bspw. machbar.

 

Welche Cipher Suites möchtest du denn erlauben?

 

Gruß

Jan

[Tom_L3 10]

Hallo,

 

danke euch für das Stichwort!

 

erlaubt werden soll intern

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

 

nach außen verbleiben nur

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

 

Danke und Grüße Tom

 

 

[testperson 1.859]

Okay, bei der Auswahl bleibt dann in der Tat nur ein Reverse Proxy davor.

[NorbertFe 2.283]

Wobei ich den eher nach extern positionieren würde oder sowohl intern als auch extern drüber führen würde. Nur eben mit unterschiedlichen security settings.