次の方法で共有

SQL Server のエンドポイント 5022 でSSL_PE_NO_CIPHER エラーが発生する

  • [アーティクル]

この記事は、エンドポイント 5022 で発生する SSL_PE_NO_CIPHER に関連するエラーを解決するのに役立ちます。 また、さまざまなバージョンの .NET Framework でトランスポート層セキュリティ (TLS) を適用するためのスクリプトも提供します。

現象

エンドポイント ポート 5022 でセキュリティ ソケット レイヤー (SSL) "SSL_PE_NO_CIPHER" エラーが発生し、15 秒を超える時間遅延が発生し、タイムアウトが発生する可能性があります。 これは、クライアントとサーバーの間に互換性のある暗号スイートがないために SSL ハンドシェイクが失敗した場合に発生します。 これは、古い暗号化アルゴリズムまたは脆弱な暗号化アルゴリズムが使用されている場合に発生する可能性があります。

解決方法

このエラーを解決するには、次の手順に従います。

  1. SSL または TLS ライブラリを更新します。 クライアントとサーバーの両方に最新の SSL または TLS ライブラリがインストールされていることを確認します。 古いバージョンでは、最新のセキュリティで保護された暗号スイートがサポートされていない可能性があります。

  2. クライアントとサーバーの両方で暗号スイートの構成を確認します。 最新かつ安全な暗号スイートが許可されていることを確認します。 古い暗号スイートまたは脆弱な暗号スイートを無効にすることを検討してください。

  3. SSL または TLS プロトコルのバージョンを確認します。 クライアントとサーバーの両方で、同じ SSL または TLS プロトコル バージョンがサポートされていることを確認します。 古いプロトコル バージョンは、特定の暗号スイートと互換性がない可能性があります。 サーバーに TLS 1.2 が存在しない場合は、次のスクリプトを実行して.NET Framework に TLS 1.2 を適用します。

    # .NET Framework v2.0.50727 
New-Item -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Force | Out-Null 
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Name "AspNetEnforceViewStateMac" -Value 1 
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Name "SystemDefaultTlsVersions" -Value 1 
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Name "SchUseStrongCrypto" -Value 1

    # .NET Framework v4.0.30319 
New-Item -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Force | Out-Null 
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Name "AspNetEnforceViewStateMac" -Value 1 
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Name "SystemDefaultTlsVersions" -Value 1 
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Name "SchUseStrongCrypto" -Value 1

    # Wow6432Node\Microsoft\.NETFramework\v2.0.50727 
New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Name "AspNetEnforceViewStateMac" -Value 1
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Name "SystemDefaultTlsVersions" -Value 1
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Name "SchUseStrongCrypto" -Value 1

    # Wow6432Node\Microsoft\.NETFramework\v4.0.30319 
New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Name "AspNetEnforceViewStateMac" -Value 1
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Name "SystemDefaultTlsVersions" -Value 1
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Name "SchUseStrongCrypto" -Value 1

    # WinHTTP
New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" -Name "DefaultSecureProtocols" -Value 0x00000800

    # Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp 
New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet  Settings\WinHttp" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" -Name "DefaultSecureProtocols" -Value 0x00000800

  4. 次のスクリプトを実行して TLS を有効にします。

    # Enable TLS 1.2
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Name "DisabledByDefault" -Value 0
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Name "Enabled" -Value 1
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Name "DisabledByDefault" -Value 0
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Name "Enabled" -Value 1

  5. 次のスクリプトを実行して TLS を無効にします。

    # Disable TLS 1.1 
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "DisabledByDefault" -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "Enabled" -Value 0
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "DisabledByDefault" -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 0
# Disable TLS 1.0 
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Force | Out-Null 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "DisabledByDefault" -Value 1 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "Enabled" -Value 0 
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Force | Out-Null 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "DisabledByDefault" -Va. ue 1 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 0

  6. システムの時刻と日付を確認します。 SSL 証明書の検証には、正確なシステム時刻と日付が不可欠です。 クライアントとサーバーの両方でシステム時刻と日付が正しいことを確認します。

  7. 証明書を確認します。 サーバーにインストールされている SSL 証明書が有効であり、有効期限が切れていないことを確認します。 クライアントがサーバーの証明書を正常に検証できるかどうかを確認します。

  8. ファイアウォールとプロキシの設定を確認します。 必要なポートが開き、SSL ハンドシェイクをブロックしているファイアウォールまたはプロキシ設定がないことを確認します。

  9. クライアント コンピューターとサーバー コンピューターの両方で管理者としてスクリプトを実行します。

  10. スクリプトを実行した後、サーバーを再起動します。

    これらの手順を完了すると、"SSL_PE_NO_CIPHER" エラーが解決されます。

Note

Microsoft では、Windows レジストリをバックアップすることをお勧めします。

関連項目

既存の接続がリモート ホストによって強制的に閉じられました (OS エラー 10054)