Pac*_*aco 4 windows windows-server-2008 ssl
随着 SalesForce 下周放弃 TLS 1.0,我们被迫在 API 调用中使用 TLS 1.1 或 1.2,我们使用它们从 Windows Server 2008R2 使用 SSIS 自定义 CozyRoc 组件提取 DWH 的数据。我们安装补丁,并确保该登记已要求项,因为它是在说这个文章。不过,我们没有向 SCHANNEL 添加密钥,现在列出的唯一协议是 SSL 2.0。
接下来,当然重启后,我用 Wireshark 记录了一个跟踪,发现我们在 SSIS 包中的 CozyRoc 组件使用 TLS 1.0,就像在 Server Hello 消息中,我们在握手协议部分获得了 TLS 1.0。构建调用的 CozyRoc 组件支持 TLS 1.2。
我的问题是:如何测试我们的服务器是否可以使用 TLS 1.2 与 SalesForce 通信?我知道禁用 TLS 1.0 可能会弄乱其他连接,所以我不想这样做。理想情况下,我想知道我的 SSIS 包使用 TLS 1.2。
更新:我尝试连接到我们的测试 Salesforce 站点,在该站点上禁用了 TLS 1.0。现在尝试连接时,我收到一条错误消息
"UNSUPPORTED_CLIENT: TLS 1.0 已在该组织中禁用。使用 https 连接到 Salesforce 时,请使用 TLS 1.1 或更高版本。(System.Web.Services)"|
我仍然不知道应该归咎于我的服务器设置还是 CozyRoc 组件,所以我现在正在寻找任何方法来确保 TLS 1.2 在服务器上运行,而与 SSIS 设置无关。有任何想法吗?
请注意,Windows 2008 中默认禁用 TLS 1.2(请参阅此处)。因此,您需要在每次注册表更改时启用它(见下文),您还需要了解有一个客户端配置和一个服务器配置。因此,例如,如果您在客户端级别而不是在服务器级别启用 TLS 1.2,则针对端口 443 的 nMAP 将不会显示 TLS 1.2 已启用,因为它仅对客户端启用。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:ffffffff
"DisabledByDefault"=dword:00000000
您在这里需要什么几乎不取决于您的应用程序以及它如何与远程服务交互。因此,例如,如果 3rd 方应用程序将使用 https 会话针对您的环境,那么这将是服务器端配置。但是,如果您有一个作为服务运行的 3rd 方插件,它与 3rd 方服务器执行连接,那么这是一个客户端配置。
此外,还有一个修补程序,它允许使用 WinHTTP 为安全套接字层 (SSL) 连接编写的应用程序和服务使用您应该安装的 TLS 1.1 或 TLS 1.2 协议(它还没有完成,因为这是一个较旧的修复程序;请参阅此处)。
此外,如果第 3 方组件没有使用 Microsoft SCHANNEL 实现,则注册表端的任何更改都将不起作用。因为可能是第 3 方组件正在使用另一个 SSL 实现,如 OpenSSL。在这种情况下,您需要与供应商联系以检查如何在此处启用 TLS 1.2。例如,在使用 Java 组件(例如 TomCat)时也是如此。然后调整 Microsoft SCHANNEL 实现不会影响它们。
SalesForce 本身有来自上面的非常好的文档,其中包含更多详细信息,然后我可以在这里提供。所以你也应该检查一下(见这里)。此外,他们提供了多种“如何测试”方式来测试您可以执行的 TLS 配置。
我的问题的答案非常简单,访问https://www.howsmyssl.com/就足够了。此外,Wireshark 跟踪表明我的服务器在测试连接时使用 TLS 1.2 与 Salesforce 站点交换握手。
在我的例子中,瓶颈是 Cozyroc SSIS+ 版本 - 目前它是 1.6.103,您至少需要 1.6.104 才能使用 TLS 1.1 或更高版本,因此请务必进行检查。
| 归档时间: |
|
| 查看次数: |
48323 次 |
| 最近记录: |