web-dev-qa-db-fra.com

Vérifiez si Windows Server 2008R2 peut utiliser TLS 1.2

comme SalesForce abandonne TLS 1.0 la semaine prochaine, nous sommes obligés d'utiliser TLS 1.1 ou 1.2 dans nos appels d'API, que nous utilisons pour extraire les données de notre DWH à partir de Windows Server 2008R2 en utilisant des composants CozyRoc personnalisés SSIS. Nous avons installé les correctifs et veillé à ce que le registre ait des entrées requises comme indiqué dans l'article this . Nous n'avons ajouté aucune clé à SCHANNEL, maintenant le seul protocole répertorié est SSL 2.0.

Ensuite, après le redémarrage bien sûr, j'ai enregistré une trace avec Wireshark pour découvrir que nos composants CozyRoc dans les packages SSIS utilisent TLS 1.0, comme dans le message Server Hello, nous obtenons TLS 1.0 dans la section du protocole de prise de contact. Les composants CozyRoc qui construisent l'appel prennent en charge TLS 1.2.

Ma question est: comment puis-je tester si notre serveur peut utiliser TLS 1.2 pour communiquer avec SalesForce? Je sais que la désactivation de TLS 1.0 peut éventuellement gâcher d'autres connexions, donc je ne veux pas le faire. Idéalement, je voudrais savoir que mes packages SSIS utilisent TLS 1.2.

MISE À JOUR: J'ai essayé de me connecter à notre site de test Salesforce, sur lequel TLS 1.0 est désactivé. Maintenant, lorsque j'essaye de me connecter, je reçois une erreur disant

"UNSUPPORTED_CLIENT: TLS 1.0 a été désactivé dans cette organisation. Veuillez utiliser TLS 1.1 ou supérieur lors de la connexion à Salesforce à l'aide de https. (System.Web.Services)" |

Je ne sais toujours pas si la faute est ma configuration de serveur ou le composant CozyRoc, donc je cherche maintenant un moyen de garantir que TLS 1.2 fonctionne sur le serveur, indépendamment de la configuration SSIS. Des idées?

3
PacoDePaco

La réponse à ma question est terriblement simple, il suffit de visiter https://www.howsmyssl.com/ . De plus, la trace Wireshark indique que mon serveur utilise TLS 1.2 pour échanger des poignées de main avec le site Salesforce pendant le test de la connexion.

Le goulot d'étranglement dans mon cas est la version Cozyroc SSIS + - actuellement c'est 1.6.103 et vous avez besoin d'au moins 1.6.104 pour utiliser TLS 1.1 ou supérieur, alors assurez-vous de vérifier cela.

2
PacoDePaco

Veuillez noter que TLS 1.2 est désactivé par défaut dans Windows 2008 (voir ici ). Vous devez donc l'activer par changement de registre (voir ci-dessous), vous devez également comprendre qu'il existe une configuration client et une configuration serveur. Ainsi, si vous activez par exemple TLS 1.2 au niveau client mais pas au niveau serveur, un nMAP sur le port 443 ne montrera pas que TLS 1.2 est activé car il est uniquement activé pour un client.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000

Ce dont vous avez besoin ici ne dépend guère de votre application et de la façon dont elle interagit avec un service distant. Ainsi, par exemple, si l'application tierce utilisera une session https vers votre environnement, ce serait une configuration côté serveur. Cependant, si vous disposez d'un plug-in tiers en tant que service qui effectue des connexions avec le serveur tiers, il s'agit d'une configuration client.

De plus, il existe un correctif qui permet aux applications et services écrits à l'aide de WinHTTP pour les connexions SSL (Secure Sockets Layer) d'utiliser les protocoles TLS 1.1 ou TLS 1.2 que vous devez installer (ce n'est pas déjà fait car il s'agit d'un ancien correctif; voir - ici ).

De plus, si le composant tiers n'a pas été utilisé à partir de la mise en œuvre de Microsoft SCHANNEL, aucune modification du côté du registre ne fonctionnera. Parce qu'il se pourrait que le composant tiers utilise une autre implémentation SSL comme OpenSSL. Dans ce cas, vous devez entrer en contact avec le fournisseur pour vérifier comment vous pouvez activer TLS 1.2 ici. Cela est par exemple également vrai lorsque vous utilisez Java composants (par exemple Tomcat). Ensuite, l'ajustement de l'implémentation de Microsoft SCHANNEL ne les affectera pas.

SalesForce lui-même a une très bonne documentation de ce qui précède dans beaucoup plus de détails que je pourrais donner ici. Vous devriez donc vérifier cela également (voir ici ). De plus, ils offrent plusieurs façons de tester la configuration TLS que vous pouvez ensuite effectuer.

6
BastianW

Étapes: Vérifié également sur Windows Server 2010

  • Étape 1: ouvrez l'invite de commande et tapez "regedit" sans le devis
  • Étape 2: Si vous êtes invité à autoriser l'administrateur, veuillez l'autoriser à dire oui.
  • Étape 3: Parcourez le chemin que j'ai montré dans l'image ici ->

Browse the Path for TLS check

S'il est activé, il vous montrera aussi activé que le montre la photo. J'espère que vous avez compris ou laissez un commentaire ici

0
Soumitra Mandal