web-dev-qa-db-fra.com

SQL Server 2016: Activer TLS 1.2 pour la connexion SQL Server

J'ai SQL server 2016 exécuté sur windows 2012 R2 et j'ai appliqué le correctif pour la prise en charge de TLSv1.2 et redémarré la machine virtuelle, https://support.Microsoft.com/en-us/help/3135244/tls-1-2-support- for-Microsoft-sql-server Je vois que TLS 1.2 est activé à l'aide de l'outil IISCrypto sur la machine virtuelle SQL Server

Nous avons une application Web Java 8 et avons forcé l’application Web à utiliser uniquement TLS1.2 en utilisant l’argument JVM -Djdk.tls.client.protocols="TLSv1.2" (si je supprime cette application d’argument JVM se connecte bien au serveur SQL), mais nous voyons une erreur ci-dessous bien que TLSv1.2 soit activé pour Serveur SQL

org.Apache.commons.dbcp.SQLNestedException: Cannot create PoolableConnectionFactory (The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption. Error: "Server chose TLSv1, but that protocol version is not enabled or not supported by the client.". ClientConnectionId:7564b6a1-60c0-4a24-8baa-7bd21f9512cf)

Nous avons également un service Windows .Net 2.0 (seul TLSv1.2 est activé dans le registre), qui ne parvient pas non plus à se connecter à SQL Server 2016

System.Data.OleDb.OleDbException: [DBNETLIB][ConnectionOpen (SECCreateCredentials()).]SSL Security error.
at System.Data.OleDb.OleDbConnectionInternal..ctor(OleDbConnectionString constr, OleDbConnection connection)
at System.Data.OleDb.OleDbConnectionFactory.CreateConnection(DbConnectionOptions options, Object poolGroupProviderInfo, DbConnectionPool pool, DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionFactory.CreateNonPooledConnection(DbConnection owningConnection, DbConnectionPoolGroup poolGroup)
at System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
at System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
at System.Data.OleDb.OleDbConnection.Open()

Mais si j'active SSL3 et TLS1.0 dans le registre, le service Windows .Net 2.0 se connecte à SQL Server 2016 sans problème.

Je soupçonne que le problème est que SQL Server n’utilise pas TLSv1.2 bien que TLSv1.2 soit activé sur la machine virtuelle SQL Server. Quelqu'un peut-il s’il vous plaît, aidez-moi si la configuration ou les correctifs ne doivent plus être appliqués pour que SQL Server puisse prendre en charge TLSv1.2?

java.netsql-serversql-server-2016tls1.2
7
RanPaul

Microsoft Windows Server stocke des informations sur différents protocoles de canal à sécurité renforcée pris en charge par Windows Server. Ces informations sont stockées dans la clé de registre suivante:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

En règle générale, cette clé contient les sous-clés suivantes:

PCT 1.0, SSL 2.0, SSL 3.0, TLS 1.0 ...

Chaque clé contient des informations sur le protocole de la clé. N'importe lequel de ces protocoles peut être activé sur le serveur. Pour ce faire, vous créez une nouvelle valeur DWORD dans la sous-clé de serveur du protocole. Vous définissez la valeur DWORD sur "1".

Important: sauvegardez le registre avant de le modifier. Ensuite, vous pouvez restaurer le registre en cas de problème. 

Pour activer le protocole TLS 1.x, procédez comme suit:

Cliquez sur Démarrer, sur Exécuter, tapez regedt32 ou tapez regedit, puis cliquez sur OK . Dans l'Éditeur du Registre, recherchez la clé de registre suivante:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.x\Server

Dans le menu Edition, cliquez sur Ajouter une valeur . Dans la liste Type de données, cliquez sur DWORD . Dans la zone Nom de la valeur, tapez Enabled, puis cliquez sur OK.

Remarque Si cette valeur est présente, double-cliquez sur la valeur pour modifier sa valeur actuelle.

Tapez 11111111 dans l'éditeur binaire pour définir la valeur de la nouvelle clé égale à "1" . Cliquez sur OK. Redémarrer le PC.

J'espère que cela t'aides...

4
Murat Yıldız

Vérifiez les certificats impliqués. On peut être invalide.

Si les machines valident leurs certificats, essayez:

Script de registre pour la désactivation des chiffrements stupides: Enregistrez-le sous .reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"Enabled"=dword:00000000
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Vous devrez ajuster votre .NET Framework. Si vous utilisez réellement .Net 2.0 (old!), Les deux dernières touches doivent être

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001

Voici un fichier .ps1 de Chris Duck pour vérifier les cryptages activés

    <#
 .DESCRIPTION
   Outputs the SSL protocols that the client is able to successfully use to connect to a server.

 .NOTES

   Copyright 2014 Chris Duck
   http://blog.whatsupduck.net

   Licensed under the Apache License, Version 2.0 (the "License");
   you may not use this file except in compliance with the License.
   You may obtain a copy of the License at

     http://www.Apache.org/licenses/LICENSE-2.0

   Unless required by applicable law or agreed to in writing, software
   distributed under the License is distributed on an "AS IS" BASIS,
   WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
   See the License for the specific language governing permissions and
   limitations under the License.

 .PARAMETER ComputerName
   The name of the remote computer to connect to.

 .PARAMETER Port
   The remote port to connect to. The default is 443.

 .EXAMPLE
   Test-SslProtocols -ComputerName "www.google.com"

   ComputerName       : www.google.com
   Port               : 443
   KeyLength          : 2048
   SignatureAlgorithm : rsa-sha1
   Ssl2               : False
   Ssl3               : True
   Tls                : True
   Tls11              : True
   Tls12              : True
 #>
 function Test-SslProtocols {
   param(
     [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true,ValueFromPipeline=$true)]
     $ComputerName,

     [Parameter(ValueFromPipelineByPropertyName=$true)]
     [int]$Port = 443
   )
   begin {
     $ProtocolNames = [System.Security.Authentication.SslProtocols] | gm -static -MemberType Property | ?{$_.Name -notin @("Default","None")} | %{$_.Name}
   }
   process {
     $ProtocolStatus = [Ordered]@{}
     $ProtocolStatus.Add("ComputerName", $ComputerName)
     $ProtocolStatus.Add("Port", $Port)
     $ProtocolStatus.Add("KeyLength", $null)
     $ProtocolStatus.Add("SignatureAlgorithm", $null)

     $ProtocolNames | %{
       $ProtocolName = $_
       $Socket = New-Object System.Net.Sockets.Socket([System.Net.Sockets.SocketType]::Stream, [System.Net.Sockets.ProtocolType]::Tcp)
       $Socket.Connect($ComputerName, $Port)
       try {
         $NetStream = New-Object System.Net.Sockets.NetworkStream($Socket, $true)
         $SslStream = New-Object System.Net.Security.SslStream($NetStream, $true)
         $SslStream.AuthenticateAsClient($ComputerName,  $null, $ProtocolName, $false )
         $RemoteCertificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]$SslStream.RemoteCertificate
         $ProtocolStatus["KeyLength"] = $RemoteCertificate.PublicKey.Key.KeySize
         $ProtocolStatus["SignatureAlgorithm"] = $RemoteCertificate.SignatureAlgorithm.FriendlyName
         $ProtocolStatus["Certificate"] = $RemoteCertificate
         $ProtocolStatus.Add($ProtocolName, $true)
       } catch  {
         $ProtocolStatus.Add($ProtocolName, $false)
       } finally {
         $SslStream.Close()
       }
     }
     [PSCustomObject]$ProtocolStatus
   }
 }
1
toornt