Błąd SSL_PE_NO_CIPHER występuje w punkcie końcowym 5022 w programie SQL Server

Ten artykuł ułatwia rozwiązanie błędu związanego z SSL_PE_NO_CIPHER tym, który występuje w punkcie końcowym 5022. Udostępnia również skrypty wymuszające protokół Transport Layer Security (TLS) w różnych wersjach programu .NET Framework.

Symptomy

Błąd "SSL_PE_NO_CIPHER" w warstwie Security Socket Layer (SSL) występuje na porcie punktu końcowego 5022 i występuje opóźnienie czasowe dłuższe niż 15 sekund, co potencjalnie prowadzi do przekroczenia limitu czasu. Występuje, gdy uzgadnianie SSL kończy się niepowodzeniem z powodu braku zgodnych zestawów szyfrowania między klientem a serwerem. Może się to zdarzyć, jeśli są używane nieaktualne lub słabe algorytmy szyfrowania.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

1. Zaktualizuj biblioteki SSL lub TLS. Upewnij się, że zarówno klient, jak i serwer mają zainstalowane aktualne biblioteki SSL lub TLS. Nieaktualne wersje mogą nie obsługiwać nowoczesnych i bezpiecznych zestawów szyfrowania.

2. Sprawdź konfiguracje pakietu szyfrowania zarówno na kliencie, jak i serwerze. Upewnij się, że nowoczesne i bezpieczne zestawy szyfrowania są dozwolone. Rozważ wyłączenie nieaktualnych lub słabych zestawów szyfrowania.

3. Sprawdź wersje protokołu SSL lub TLS. Upewnij się, że zarówno klient, jak i serwer obsługują te same wersje protokołu SSL lub TLS. Nieaktualne wersje protokołu mogą nie być zgodne z niektórymi zestawami szyfrowania. Jeśli protokół TLS 1.2 nie jest obecny na serwerach, uruchom następujący skrypt, aby wymusić protokół TLS 1.2 na platformie .NET Framework:

   # .NET Framework v2.0.50727 
   New-Item -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Force | Out-Null 
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Name "AspNetEnforceViewStateMac" -Value 1 
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Name "SystemDefaultTlsVersions" -Value 1 
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727" -Name "SchUseStrongCrypto" -Value 1
   

   # .NET Framework v4.0.30319 
   New-Item -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Force | Out-Null 
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Name "AspNetEnforceViewStateMac" -Value 1 
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Name "SystemDefaultTlsVersions" -Value 1 
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" -Name "SchUseStrongCrypto" -Value 1
   

   # Wow6432Node\Microsoft\.NETFramework\v2.0.50727 
   New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Name "AspNetEnforceViewStateMac" -Value 1
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Name "SystemDefaultTlsVersions" -Value 1
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727" -Name "SchUseStrongCrypto" -Value 1
   

   # Wow6432Node\Microsoft\.NETFramework\v4.0.30319 
   New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Name "AspNetEnforceViewStateMac" -Value 1
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Name "SystemDefaultTlsVersions" -Value 1
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319" -Name "SchUseStrongCrypto" -Value 1
   

   # WinHTTP
   New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" -Name "DefaultSecureProtocols" -Value 0x00000800
   

   # Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp 
   New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet  Settings\WinHttp" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" -Name "DefaultSecureProtocols" -Value 0x00000800
   

4. Włącz protokół TLS, uruchamiając następujący skrypt:

   # Enable TLS 1.2
   New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Name "DisabledByDefault" -Value 0
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" -Name "Enabled" -Value 1
   New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Name "DisabledByDefault" -Value 0
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Name "Enabled" -Value 1
   

5. Wyłącz protokół TLS, uruchamiając następujący skrypt:

   # Disable TLS 1.1 
   New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "DisabledByDefault" -Value 1
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "Enabled" -Value 0
   New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Force | Out-Null
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "DisabledByDefault" -Value 1
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 0
   # Disable TLS 1.0 
   New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Force | Out-Null 
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "DisabledByDefault" -Value 1 
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "Enabled" -Value 0 
   New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Force | Out-Null 
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "DisabledByDefault" -Va. ue 1 
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 0
   

6. Sprawdź godzinę i datę systemu. Dokładna godzina i data systemu są niezbędne do weryfikacji certyfikatu SSL. Sprawdź, czy godzina systemowa i data są poprawne zarówno na kliencie, jak i serwerze.

7. Weryfikowanie certyfikatów. Upewnij się, że certyfikat SSL zainstalowany na serwerze jest prawidłowy i nie wygasł. Sprawdź, czy klient może pomyślnie zweryfikować certyfikat serwera.

8. Sprawdź ustawienia zapory i serwera proxy. Sprawdź, czy wymagane porty są otwarte i czy żadne ustawienia zapory lub serwera proxy nie blokują uzgadniania protokołu SSL.

9. Uruchom skrypt jako administrator na komputerach klienckich i serwerowych.

10. Uruchom ponownie serwery po uruchomieniu skryptu.

    Po wykonaniu tych kroków powinien zostać rozwiązany błąd "SSL_PE_NO_CIPHER".

Uwaga 16.

Firma Microsoft zaleca tworzenie kopii zapasowej rejestru systemu Windows.

Zobacz też

Istniejące połączenie zostało wymuszone przez hosta zdalnego (błąd systemu operacyjnego 10054)