Condividi tramite

Errore "Client non in grado di stabilire la connessione" dopo l'implementazione dei criteri della suite di crittografia in un computer SQL Server

  • Articolo

Questo articolo illustra come risolvere i problemi che si verificano dopo l'implementazione dei criteri della suite di crittografia in un server. Se i pacchetti di crittografia supportati in un client e in un server non corrispondono, la connessione potrebbe non riuscire.

Sintomi

Dopo aver implementato i criteri della suite di crittografia in un server, viene visualizzato il messaggio di errore seguente:

Connessione in corso interrotta forzatamente dall'host remoto. [SQLSTATE 42000] (Errore 10054) Il provider OLE DB "" per il server collegato "NOME DB" ha restituito il messaggio "Client non è in grado di stabilire la connessione".

Causa 1: La crittografia Rivest 4 (RC4) non è inclusa

Se una suite di crittografia non include Rivest Cipher 4 (RC4), qualsiasi tentativo di usare RC4 per la crittografia non riesce. Analogamente, se una suite di crittografia include RC4 ma una delle parti coinvolte non, l'handshake ha esito negativo e non viene stabilita alcuna connessione.

Soluzione

Seguire questa procedura:

  1. Controllare se la msds-supportedEncryptionType proprietà è impostata. Se la proprietà non è impostata, viene abilitato solo RC4.
  2. Impostare il valore per questa proprietà su 28 per abilitare RC4, AES128 e AES256.

Causa 2: Mancata corrispondenza nelle versioni di Transport Layer Security (TLS)

C'è una mancata corrispondenza nelle versioni di Transport Layer Security (TLS). Questo problema può verificarsi se il client avvia la connessione usando TLS 1.0. I pacchetti di crittografia moderni spesso non supportano TLS 1.0 perché preferiscono versioni più sicure, ad esempio TLS 1.2.

Soluzione

Seguire questa procedura:

  1. Assicurarsi che il driver client supporti TLS 1.2. In caso contrario, aggiornare il driver.

  2. Aggiungere le crittografie seguenti ai criteri locali per supportare la comunicazione TLS 1.0:

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

Vedi anche

Una connessione esistente è stata chiusa forzatamente dall'host remoto (errore del sistema operativo 10054)