fragen stichworte

Prüfen Sie, ob Windows Server 2008R2 TLS 1.2 verwenden kann

Da SalesForce in der nächsten Woche TLS 1.0 abbricht, sind wir gezwungen, TLS 1.1 oder 1.2 in unseren API-Aufrufen zu verwenden, mit denen wir Daten für unser DWH aus Windows Server 2008R2 mithilfe von benutzerdefinierten SSIS-CozyRoc-Komponenten extrahieren. Wir haben die Patches installiert und sichergestellt, dass die Registrierung Einträge enthält, wie in diesem Artikel angegeben. Wir haben SCHANNEL jedoch keine Schlüssel hinzugefügt. Jetzt ist das einzige Protokoll, das dort aufgelistet ist, SSL 2.0.

Nach einem Neustart habe ich natürlich eine Spur mit Wireshark aufgenommen, um herauszufinden, dass unsere CozyRoc-Komponenten in SSIS-Paketen TLS 1.0 verwenden, da in der Nachricht "Server Hello" TLS 1.0 im Abschnitt "Handshake-Protokoll" angezeigt wird. Die CozyRoc-Komponenten, die den Aufruf erstellen, unterstützen TLS 1.2.

Meine Frage ist: Wie kann ich testen, ob unser Server TLS 1.2 für die Kommunikation mit SalesForce verwenden kann? Ich weiß, dass das Deaktivieren von TLS 1.0 andere Verbindungen möglicherweise durcheinanderbringen kann, daher möchte ich das nicht. Idealerweise würde ich gerne wissen, dass meine SSIS-Pakete TLS 1.2 verwenden.

UPDATE: Ich habe versucht, eine Verbindung zu unserer Salesforce-Test-Site herzustellen, auf der TLS 1.0 deaktiviert ist. Beim Versuch, eine Verbindung herzustellen, erhalte ich die Fehlermeldung

"UNSUPPORTED_CLIENT: TLS 1.0 has been disabled in this organization. Please use TLS 1.1 or higher when connecting to Salesforce using https. (System.Web.Services)"|

Ich weiß immer noch nicht, ob das Server-Setup oder die CozyRoc-Komponente dafür verantwortlich ist. Daher suche ich jetzt nach einer Möglichkeit, um sicherzustellen, dass TLS 1.2 unabhängig von der SSIS-Konfiguration auf dem Server funktioniert. Irgendwelche Ideen?

antworten

Bitte beachten Sie, dass TLS 1.2 in Windows 2008 standardmäßig deaktiviert ist (siehe hier). Sie müssen es also pro Registrierungsänderung aktivieren (siehe unten). Außerdem müssen Sie wissen, dass es eine Client-Konfiguration und eine Serverkonfiguration gibt. Wenn Sie z. B. TLS 1.2 auf Clientebene, jedoch nicht auf Serverebene aktivieren, zeigt ein nMAP an Port 443 nicht an, dass TLS 1.2 als einzige für einen Client aktiviert ist.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000

Was Sie hier brauchen, hängt kaum von Ihrer Anwendung ab und davon, wie sie mit einem Remote-Service interagiert. Wenn beispielsweise die Drittanbieteranwendung eine https-Sitzung für Ihre Umgebung verwendet, wäre dies eine serverseitige Konfiguration. Wenn Sie jedoch ein Drittanbieter-Plug-In als Dienst ausführen, das Verbindungen zum Drittanbieter-Server herstellt, handelt es sich hierbei um eine Client-Konfiguration.

Darüber hinaus gibt es einen Hotfix, der es Anwendungen und Diensten, die mithilfe von WinHTTP für SSL-Verbindungen (Secure Sockets Layer) geschrieben wurden, ermöglicht, TLS 1.1- oder TLS 1.2-Protokolle zu verwenden, die Sie installieren sollten (dies ist noch nicht geschehen, da dies ein älterer Fix ist.) ; siehe hier).

Wenn die Komponente von Drittanbietern von der Microsoft SCHANNEL-Implementierung nicht verwendet wird, funktionieren die Änderungen auf der Registrierungsseite nicht. Möglicherweise verwendet die Drittanbieter-Komponente eine andere SSL-Implementierung wie OpenSSL. In diesem Fall müssen Sie sich mit dem Hersteller in Verbindung setzen, um zu prüfen, wie Sie TLS 1.2 hier aktivieren können. Dies gilt beispielsweise auch für die Verwendung von Java-Komponenten (z. B. TomCat). Die Anpassung der Microsoft SCHANNEL-Implementierung hat keine Auswirkungen auf sie.

SalesForce selbst hat eine sehr gute Dokumentation aus den oben genannten Informationen, die ich hier genauer beschreiben könnte. Sie sollten das also auch überprüfen (siehe hier). Darüber hinaus bieten sie mehrere Testmethoden zum Testen der TLS-Konfiguration, die Sie dann ausführen können.

Die Antwort auf meine Frage ist sehr einfach. Es reicht aus, https://www.howsmyssl.com/ zu besuchen. Wireshark trace gibt außerdem an, dass mein Server TLS 1.2 verwendet, um beim Testen der Verbindung Handshakes mit der Salesforce-Site auszutauschen.

Engpass ist in meinem Fall die Cozyroc SSIS + -Version - derzeit ist es 1.6.103, und Sie benötigen mindestens 1.6.104, um TLS 1.1 oder höher zu verwenden. Vergewissern Sie sich, dass dies der Fall ist.

Schritte: Auch auf Windows Server 2010

überprüft
  • Schritt 1: Eingabeaufforderung öffnen und "regedit" ohne Anführungszeichen eingeben
  • Schritt 2: Wenn Sie nach einer Administratorberechtigung gefragt werden, geben Sie dies bitte an.
  • Schritt 3: Durchsuchen Sie den Pfad, den ich hier im Bild gezeigt habe ->

Browse the Path for TLS check

Wenn diese Option aktiviert ist, werden Sie als aktiviert angezeigt (siehe Abbildung). Ich hoffe du hast es jetzt verstanden oder schreibe hier einen Kommentar