TLS协议定义的致命警报代码是70

Question

我正在尝试从 Windows 浏览器访问另一台运行 Tomcat 的计算机上的 SSL URL，但我在 Windows 计算机上的系统事件日志中看到来自 Schannel 的错误 36887，其描述如下：

TLS协议定义的致命警报代码是70

根据 MS 文档：

我已在 Windows 计算机上打开 Schannel 日志记录（最大值 = 7），并且可以从事件日志中看到 SSL 握手已正确协商：

An SSL server handshake completed successfully. The negotiated cryptographic parameters are as follows.
  Protocol: TLS 1.2
  CipherSuite: 0xC028
  Exchange strength: 256

这似乎与代码 70 错误相矛盾。

密码套件 0xC028 是 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384。我检查了 Tomcat 机器，可以看到这是可用的，并且两台机器上也启用了 TLS1.2，因此成功的握手是有意义的。

与代码 70 错误相关的进程 ID 属于 lsass.exe - 我的 Windows 知识非常有限，所以我不知道它的作用。

我在 Tomcat 机器上的 catalina.out 日志中找不到任何内容，代码 70 似乎是在请求实际发送之前发生的。我确信证书都已正确配置，因为我可以从其他计算机成功访问 URL。

我怎样才能从这里进步？

Answer 1

事实证明，问题是我们的一个客户端应用程序使用 .NET 4.5.2 并默认为 TLS1.1，该应用程序已通过某些修补程序在服务器端被禁用。最终 .NET 更新到 4.7.2 解决了这个问题。